기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AmazonDataZoneProjectDeploymentPermissionsBoundary
**설명**: Amazon DataZone은 데이터 분석 프로젝트를 배포하는 데 사용하는 IAM 역할을 생성합니다. DataZone은 이러한 역할을 생성할 때 이 정책을 사용하여 권한의 경계를 정의합니다.
`AmazonDataZoneProjectDeploymentPermissionsBoundary`은(는) [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)입니다.
## 이 정책 사용
사용자, 그룹 및 역할에 `AmazonDataZoneProjectDeploymentPermissionsBoundary`를 연결할 수 있습니다.
## 정책 세부 정보
+ **Type**: AWS managed 정책
+ **생성 시간**: 2023년 3월 21일, 02:54 UTC
+ **편집된 시간:** 2023년 4월 4일, 02:48 UTC
+ **ARN**: `arn:aws:iam::aws:policy/AmazonDataZoneProjectDeploymentPermissionsBoundary`
## 정책 버전
**정책 버전:** v2(기본값)
정책의 기본 버전은 정책에 대한 권한을 정의하는 버전입니다. 정책이 있는 사용자 또는 역할이 AWS 리소스에 대한 액세스를 요청하면는 정책의 기본 버전을 AWS 확인하여 요청을 허용할지 여부를 결정합니다.
## JSON 정책 문서
```
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource" : "arn:aws:iam::*:role/*datazone*",
"Condition" : {
"StringEquals" : {
"iam:PermissionsBoundary" : "arn:aws:iam::aws:policy/AmazonDataZoneProjectRolePermissionsBoundary"
}
}
},
{
"Effect" : "Allow",
"Action" : [
"iam:DeleteRole"
],
"Resource" : [
"arn:aws:iam::*:role/*datazone*"
]
},
{
"Effect" : "Allow",
"Action" : [
"kms:CreateKey",
"kms:TagResource",
"athena:CreateWorkGroup",
"athena:TagResource",
"iam:TagRole",
"iam:TagPolicy",
"logs:CreateLogGroup",
"logs:TagLogGroup",
"ssm:AddTagsToResource"
],
"Resource" : "*",
"Condition" : {
"ForAnyValue:StringLike" : {
"aws:TagKeys" : "datazone:*"
},
"StringLike" : {
"aws:ResourceTag/datazone:projectId" : "proj-*"
}
}
},
{
"Effect" : "Allow",
"Action" : [
"athena:DeleteWorkGroup",
"kms:ScheduleKeyDeletion",
"kms:DescribeKey",
"kms:EnableKeyRotation",
"kms:DisableKeyRotation",
"kms:GenerateDataKey",
"kms:Encrypt",
"kms:Decrypt",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource" : "*",
"Condition" : {
"StringLike" : {
"aws:ResourceTag/datazone:projectId" : "proj-*"
}
}
},
{
"Effect" : "Allow",
"Action" : [
"ec2:CreateTags"
],
"Resource" : "*",
"Condition" : {
"ForAnyValue:StringLike" : {
"aws:TagKeys" : "datazone:projectId"
}
}
},
{
"Effect" : "Allow",
"Action" : [
"iam:DeletePolicy",
"s3:DeleteBucket"
],
"Resource" : [
"arn:aws:iam::*:policy/datazone*",
"arn:aws:s3:::datazone*"
]
},
{
"Effect" : "Allow",
"Action" : [
"ssm:GetParameter*",
"ssm:PutParameter",
"ssm:DeleteParameter"
],
"Resource" : [
"arn:aws:ssm:*:*:parameter/*datazone*"
]
},
{
"Effect" : "Allow",
"Action" : [
"iam:GetRole",
"iam:GetPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicy",
"iam:ListPolicyVersions",
"lakeformation:RegisterResource",
"lakeformation:DeregisterResource",
"lakeformation:GrantPermissions",
"lakeformation:PutDataLakeSettings",
"lakeformation:GetDataLakeSettings",
"lakeformation:RevokePermissions",
"lakeformation:ListPermissions",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabases",
"glue:GetDatabase",
"sts:GetCallerIdentity"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"iam:PassRole"
],
"Resource" : [
"arn:aws:iam::*:role/*datazone*"
]
},
{
"Effect" : "Allow",
"Action" : [
"s3:PutEncryptionConfiguration",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucketPolicy",
"s3:CreateBucket",
"s3:PutBucketPolicy",
"s3:PutBucketAcl",
"s3:PutBucketVersioning",
"s3:PutBucketTagging",
"s3:PutBucketLogging",
"s3:GetObject*",
"s3:GetBucket*",
"s3:List*",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject*",
"s3:PutObject*",
"s3:Abort*"
],
"Resource" : "arn:aws:s3:::*datazone*",
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Effect" : "Allow",
"Action" : [
"athena:Get*",
"athena:List*",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:Describe*",
"ec2:Get*",
"ec2:List*",
"logs:PutRetentionPolicy",
"logs:DescribeLogGroups",
"logs:DeleteLogGroup",
"logs:DeleteRetentionPolicy"
],
"Resource" : "*"
},
{
"Effect" : "Allow",
"Action" : [
"kms:PutKeyPolicy"
],
"Resource" : "*",
"Condition" : {
"ForAnyValue:StringEquals" : {
"aws:CalledVia" : [
"cloudformation.amazonaws.com"
]
}
}
},
{
"Effect" : "Allow",
"Action" : "ec2:CreateVpcEndpoint",
"NotResource" : "arn:aws:ec2:*:*:vpc-endpoint/*"
},
{
"Effect" : "Allow",
"Action" : [
"ec2:CreateVpcEndpoint"
],
"Resource" : "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition" : {
"StringLike" : {
"ec2:VpceServiceName" : [
"com.amazonaws.*.logs",
"com.amazonaws.*.s3",
"com.amazonaws.*.glue",
"com.amazonaws.*.athena"
]
}
}
},
{
"Action" : [
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:DescribeChangeSet",
"cloudformation:CreateChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack",
"cloudformation:TagResource",
"cloudformation:GetTemplateSummary"
],
"Effect" : "Allow",
"Resource" : [
"arn:aws:cloudformation:*:*:stack/DataZone*"
]
},
{
"Effect" : "Deny",
"Action" : [
"s3:GetObject*",
"s3:GetBucket*",
"s3:List*",
"s3:GetEncryptionConfiguration",
"s3:DeleteObject*",
"s3:PutObject*",
"s3:Abort*",
"s3:DeleteBucket"
],
"NotResource" : [
"arn:aws:s3:::*datazone*"
]
},
{
"Effect" : "Deny",
"Action" : [
"kms:*"
],
"Resource" : "*",
"Condition" : {
"StringNotEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Effect" : "Deny",
"NotAction" : [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:AddTagsToResource",
"ssm:GetParameters",
"ssm:GetParameter",
"s3:PutEncryptionConfiguration",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteBucketPolicy",
"s3:CreateBucket",
"s3:PutBucketAcl",
"s3:PutBucketPolicy",
"s3:PutBucketVersioning",
"s3:PutBucketTagging",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:DeleteBucket",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:GetPolicy",
"iam:CreatePolicy",
"iam:ListPolicyVersions",
"iam:DeletePolicy",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:DescribeChangeSet",
"cloudformation:CreateChangeSet",
"cloudformation:ExecuteChangeSet",
"cloudformation:DeleteChangeSet",
"cloudformation:TagResource",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack",
"cloudformation:GetTemplateSummary",
"athena:*",
"kms:*",
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabases",
"glue:GetDatabase",
"lambda:*",
"ec2:*",
"logs:*",
"servicecatalog:CreateApplication",
"servicecatalog:DeleteApplication",
"servicecatalog:GetApplication",
"lakeformation:RegisterResource",
"lakeformation:DeregisterResource",
"lakeformation:GrantPermissions",
"lakeformation:PutDataLakeSettings",
"lakeformation:RevokePermissions",
"lakeformation:GetDataLakeSettings",
"lakeformation:ListPermissions",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:UntagRole",
"iam:PassRole",
"iam:TagRole",
"s3:GetBucket*",
"s3:GetObject*",
"s3:Abort*",
"s3:GetEncryptionConfiguration",
"s3:PutObject*"
],
"Resource" : [
"*"
]
}
]
}
```
## 자세히 알아보기
+ [IAM Identity Center에서 AWS 관리형 정책을 사용하여 권한 세트 생성](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)
+ [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
+ [IAM 정책의 버전 관리 이해](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-versioning.html)
+ [AWS 관리형 정책 시작하기 및 최소 권한으로 이동](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)