기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성
Amazon DataZone 도메인, 블루프린트 및 사용자에 액세스하고 구성하며 Amazon DataZone 데이터 포털을 생성하려면 Amazon DataZone 관리 콘솔을 사용해야 합니다.
Amazon DataZone 관리 콘솔을 사용하려는 사용자, 그룹 또는 역할에 필요한 및/또는 선택적 권한을 구성하려면 다음 절차를 완료해야 합니다.
**Topics**
+ [Amazon DataZone 콘솔 액세스를 위한 사용자, 그룹 또는 역할에 필수 및 선택적 정책 연결](#attach-managed)
+ [Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성](#create-custom-to-manage-EZCRZ)
+ [Amazon DataZone 도메인과 연결된 계정을 관리할 수 있는 권한에 대한 사용자 지정 정책 생성](#create-custom-to-manage-associated-account)
+ [(선택 사항) AWS Identity Center 권한에 대한 사용자 지정 정책을 생성하여 Amazon DataZone 도메인에 대한 SSO 사용자 및 SSO 그룹 액세스 추가 및 제거](#create-custom-to-manage-add-remove-sso)
+ [(선택 사항) IAM 보안 주체를 키 사용자로 추가하여 AWS Key Management Service(KMS)의 고객 관리형 키로 Amazon DataZone 도메인을 생성합니다.](#create-custom-to-manage-kms)
## Amazon DataZone 콘솔 액세스를 위한 사용자, 그룹 또는 역할에 필수 및 선택적 정책 연결
다음 절차를 완료하여 필수 및 선택적 사용자 지정 정책을 사용자, 그룹 또는 역할에 연결합니다. 자세한 내용은 [AWS Amazon DataZone에 대한 관리형 정책](security-iam-awsmanpol.md) 단원을 참조하십시오.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **Policies**를 선택합니다.
1. 사용자, 그룹 또는 역할에 연결된 다음 권한 정책을 선택합니다.
+ 정책 목록에서 **AmazonDataZoneFullAccess** 옆의 확인란을 선택합니다. [**Filter**] 메뉴와 검색 상자를 사용하여 정책 목록을 필터링할 수 있습니다. 자세한 내용은 [AWS 관리형 정책: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md) 섹션을 참조하세요.
+ [(선택 사항) Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하기 위해 IAM 권한에 대한 사용자 지정 정책을 생성합니다.](#create-custom-to-manage-EZCRZ)
+ [(선택 사항) AWS Identity Center 권한에 대한 사용자 지정 정책을 생성하여 Amazon DataZone 도메인에 대한 SSO 사용자 및 SSO 그룹 액세스를 추가 및 제거합니다.](#create-custom-to-manage-add-remove-sso)
1. **작업(Actions)**을 선택한 후 **연결(Attach)**을 선택합니다.
1. 정책을 연결할 사용자, 그룹 또는 역할을 선택합니다. **필터** 메뉴와 검색 상자를 사용하면 보안 주체 개체 목록을 필터링할 수 있습니다. 사용자, 그룹 또는 역할을 선택한 후 **정책 연결**을 선택합니다.
## Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성
다음 절차를 완료하여 사용자 지정 인라인 정책을 생성하여 Amazon DataZone이 사용자를 대신하여 AWS Management Console에서 필요한 역할을 생성할 수 있도록 하는 데 필요한 권한을 갖습니다.
**참고**
서비스 역할 생성을 허용하도록 권한을 구성하는 모범 사례 정보는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\$1roles\$1create\$1for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **사용자** 또는 **사용자 그룹**을 선택합니다.
1. 목록에서 정책을 삽입할 사용자 또는 그룹 이름을 선택합니다.
1. **권한** 탭을 선택하고 필요하다면 **Permissions policies(권한 정책)** 섹션을 확장합니다.
1. **권한 추가**를 선택한 후 **인라인 정책 생성**을 선택합니다.
1. **정책 생성** 페이지의 **정책 편집기** 섹션에서 **JSON**을 선택합니다.
다음 JSON 설명으로 정책 문서를 만든 다음 **다음**을 선택합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. **정책 검토** 화면에서 정책의 이름을 입력합니다. 정책에 만족하면 **정책 생성**을 선택합니다. 화면 상단에 있는 빨간색 상자에 표시되는 오류가 있지 않은지 확인합니다. 표시되는 오류가 있다면 수정합니다.
## Amazon DataZone 도메인과 연결된 계정을 관리할 수 있는 권한에 대한 사용자 지정 정책 생성
다음 절차를 완료하여 연결된 AWS 계정에서 도메인의 리소스 공유를 나열, 수락 및 거부하는 데 필요한 권한을 갖도록 사용자 지정 인라인 정책을 생성한 다음 연결된 계정에서 환경 블루프린트를 활성화, 구성 및 비활성화합니다. 블루프린트 구성 중에 사용할 수 있는 선택적 Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하려면 [Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성](#create-custom-to-manage-EZCRZ)도 해야 합니다.
**참고**
서비스 역할 생성을 허용하도록 권한을 구성하는 모범 사례 정보는 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\$1roles\$1create\$1for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **사용자** 또는 **사용자 그룹**을 선택합니다.
1. 목록에서 정책을 삽입할 사용자 또는 그룹 이름을 선택합니다.
1. **권한** 탭을 선택하고 필요하다면 **Permissions policies(권한 정책)** 섹션을 확장합니다.
1. **권한 추가**를 선택한 후 **인라인 정책 생성**을 선택합니다.
1. **정책 생성** 페이지의 **정책 편집기** 섹션에서 **JSON**을 선택합니다. 다음 JSON 설명으로 정책 문서를 만든 다음 **다음**을 선택합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. **정책 검토** 화면에서 정책의 이름을 입력합니다. 정책에 만족하면 **정책 생성**을 선택합니다. 화면 상단에 있는 빨간색 상자에 표시되는 오류가 있지 않은지 확인합니다. 표시되는 오류가 있다면 수정합니다.
## (선택 사항) AWS Identity Center 권한에 대한 사용자 지정 정책을 생성하여 Amazon DataZone 도메인에 대한 SSO 사용자 및 SSO 그룹 액세스 추가 및 제거
다음 절차를 완료하여 사용자 지정 인라인 정책을 생성하여 Amazon DataZone 도메인에 대한 SSO 사용자 및 SSO 그룹 액세스를 추가 및 제거하는 데 필요한 권한을 갖습니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **사용자** 또는 **사용자 그룹**을 선택합니다.
1. 목록에서 정책을 삽입할 사용자 또는 그룹 이름을 선택합니다.
1. **권한** 탭을 선택하고 필요하다면 **Permissions policies(권한 정책)** 섹션을 확장합니다.
1. **권한 추가**를 선택한 후 **인라인 정책 생성**을 선택합니다.
1. **정책 생성** 페이지의 **정책 편집기** 섹션에서 **JSON**을 선택합니다.
다음 JSON 설명으로 정책 문서를 만든 다음 **다음**을 선택합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. **정책 검토** 화면에서 정책의 이름을 입력합니다. 정책에 만족하면 **정책 생성**을 선택합니다. 화면 상단에 있는 빨간색 상자에 표시되는 오류가 있지 않은지 확인합니다. 표시되는 오류가 있다면 수정합니다.
## (선택 사항) IAM 보안 주체를 키 사용자로 추가하여 AWS Key Management Service(KMS)의 고객 관리형 키로 Amazon DataZone 도메인을 생성합니다.
선택적으로 AWS Key Management Service(KMS)의 고객 관리형 키(CMK)를 사용하여 Amazon DataZone 도메인을 생성하려면 먼저 다음 절차를 완료하여 IAM 보안 주체를 KMS 키의 사용자로 설정합니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/) KMS 콘솔을 엽니다.
1. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. KMS 키 목록에서 검사하려는 KMS 키의 별칭 또는 키 ID를 선택합니다.
1. 키 사용자를 추가 또는 제거하고 외부 AWS 계정이 KMS 키를 사용하도록 허용하거나 허용하지 않으려면 페이지의 **키 사용자** 섹션에 있는 컨트롤을 사용합니다. 키 사용자는 암호화, 암호 해독, 재암호화 및 데이터 키 생성 같은 암호화 작업에서 KMS 키를 사용할 수 있습니다.