As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Autorização na Amazon DataZone
A interface DataZone da Amazon consiste em um console de gerenciamento dentro AWS e um aplicativo web fora do console (portal de dados).
O console DataZone de gerenciamento da Amazon pode ser usado por AWS administradores para top-level-resource APIs, inclusive, criar e gerenciar domínios, associações de AWS contas para esses domínios e fontes de dados para as quais você deseja delegar o gerenciamento de acesso à Amazon. DataZone Você pode usar o console DataZone de gerenciamento da Amazon para gerenciar todas as funções e configurações do IAM necessárias para delegar o controle de gerenciamento de acesso ao DataZone serviço da Amazon para suas contas explicitamente configuradas AWS. O portal de DataZone dados da Amazon é um aplicativo primário do AWS Identity Center para usuários de SSO. Se ativado, o console também pode ser usado por entidades principais autorizadas do IAM para se federar no portal de dados em vez de usar uma identidade de SSO.
O portal DataZone de dados da Amazon foi projetado para ser usado principalmente por usuários autenticados pelo AWS IAM Identity Center para gerenciar o acesso aos dados e realizar tarefas de publicação, descoberta, assinatura e análise de dados.
Autorização no DataZone console da Amazon
O modelo de autorização DataZone do console da Amazon usa a autorização do IAM. O console é usado pelos administradores principalmente para configuração. A Amazon DataZone usa o conceito de AWS conta de administrador de domínio e AWS contas de membros, e o console é usado em todas essas contas para criar relações de confiança, respeitando os limites AWS da organização.
Autorização no DataZone portal da Amazon
O modelo de autorização do portal de DataZone dados da Amazon é uma ACL hierárquica com arquétipos de função (perfis) estáticos que incluem administradores e visualizadores. Por exemplo, os usuários podem ter um perfil de administrador ou de usuário. No nível de um domínio, eles podem ter uma designação de usuário de domínio como proprietário dos dados. No nível de um projeto, um usuário pode ser proprietário ou colaborador. Esses perfis podem ser configurados como um dos dois tipos: usuários e grupos. Esses perfis são então associados a domínios e projetos, e o estado dessas permissões é armazenado em uma tabela de associação.
Dentro desse modelo de autorização, a Amazon DataZone permite que os usuários gerenciem as permissões de usuários e grupos. Os usuários gerenciam a associação ao projeto, solicitam a associação a projetos e aprovam as associações. Os usuários publicam dados, assinam dados e aprovam assinaturas.
Os usuários realizam análises de dados em projetos específicos quando o cliente do portal de dados solicita credenciais de sessão do IAM que a Amazon DataZone gera com base no perfil efetivo do usuário no contexto específico do projeto. Essa sessão tem como escopo as permissões do usuário e também os recursos específicos do projeto. Em seguida, os usuários acessam o Athena ou o Redshift para consultar os dados relevantes, e todo o trabalho subjacente do IAM é completamente abstraído.
DataZone Perfis e funções da Amazon
Depois que um usuário é autenticado, o contexto autenticado é mapeado para um ID de perfil de usuário. Esse perfil de usuário pode ter várias associações diferentes (proprietário do projeto, administrador do domínio etc.) que são usadas para autorizar usuários. Cada associação (por exemplo, proprietário do projeto, administrador do domínio etc.) tem permissões para determinadas atividades com base no contexto. Por exemplo, um usuário que tenha uma associação de administrador de domínio pode criar domínios adicionais, atribuir outros administradores de domínio ao domínio e criar modelos de projeto em seu domínio. O proprietário de um projeto pode adicionar ou remover membros do projeto e publicar ativos em um domínio.
