AWS política gerenciada: AmazonDataZoneFullAccess - Amazon DataZone

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS política gerenciada: AmazonDataZoneFullAccess

É possível anexar a política AmazonDataZoneFullAccess às identidades do IAM.

Esta política fornece acesso total à Amazon DataZone por meio do AWS Management Console. Essa política também tem permissões para o AWS KMS para parâmetros SSM criptografados. A chave KMS deve ser marcada com EnableKeyForAmazonDataZone para permitir a descriptografia dos parâmetros do SSM.

Detalhes de permissões

Esta política inclui as seguintes permissões:

  • datazone— concede aos diretores acesso total à Amazon DataZone por meio do AWS Management Console.

  • kms— Permite que os diretores listem aliases, descrevam chaves e descriptografem chaves.

  • s3— Permite que os diretores escolham buckets S3 existentes ou criem novos para armazenar dados da Amazon. DataZone

  • ram— Permite que os diretores compartilhem DataZone domínios da Amazon entre. Contas da AWS

  • iam: permite que as entidades principais passem perfis e obtenham políticas.

  • sso: permite que as entidades principais obtenham as regiões em que o AWS IAM Identity Center está habilitado.

  • secretsmanager: permite que as entidades principais criem, marquem e listem os segredos com um prefixo específico.

  • aoss— permite que os diretores criem e recuperem informações para políticas de segurança OpenSearch sem servidor.

  • bedrock— permite que os diretores criem, listem e recuperem informações para perfis de inferência e modelos básicos.

  • codeconnections— permite que os diretores excluam, recuperem informações, listem conexões e gerenciem tags para conexões.

  • codewhisperer— Permite que os diretores listem CodeWhisperer perfis.

  • ssm— Permite que os diretores coloquem, excluam e recuperem informações para os parâmetros.

  • redshift— Permite que os diretores descrevam clusters e listem grupos de trabalho sem servidor

  • glue— Permite que os diretores obtenham bancos de dados.

Para visualizar as permissões para esta política, consulte AmazonDataZoneFullAccess na Referência de políticas gerenciadas pela AWS .

Considerações e limitações da política

Há certas funcionalidades que a política AmazonDataZoneFullAccess não cobre.

  • Se você criar um DataZone domínio da Amazon com sua própria AWS KMS chave, deverá ter as permissões kms:CreateGrant para que a criação do domínio seja bem-sucedida e kms:Decrypt para kms:GenerateDataKey que essa chave invoque outra Amazon DataZoneAPIs , como listDataSources e. createDataSource E você também deve ter as permissões para kms:CreateGrant, kms:Decrypt, kms:GenerateDataKey e kms:DescribeKey na política de recursos dessa chave.

    Se você usar a chave do KMS padrão de propriedade do serviço, isso não será necessário.

    Para obter mais informações, consulte AWS Key Management Service.

  • Se você quiser usar as funcionalidades de criação e atualização de funções no DataZone console da Amazon, você deve ter privilégios de administrador ou ter as permissões necessárias do IAM para criar funções do IAM e criar/atualizar políticas. As permissões necessárias incluem as permissões iam:CreateRole, iam:CreatePolicy, iam:CreatePolicyVersion, iam:DeletePolicyVersion e iam:AttachRolePolicy.

  • Se você criar um novo domínio na Amazon DataZone com o login de AWS IAM Identity Center usuário ativado, ou se você ativá-lo para um domínio existente na Amazon DataZone, você deve ter permissões para o seguinte:

    • organizações: DescribeOrganization

    • organizações: ListDelegatedAdministrators

    • então: CreateInstance

    • então: ListInstances

    • então: GetSharedSsoConfiguration

    • então: PutApplicationGrant

    • então: PutApplicationAssignmentConfiguration

    • então: PutApplicationAuthenticationMethod

    • então: PutApplicationAccessScope

    • então: CreateApplication

    • então: DeleteApplication

    • então: CreateApplicationAssignment

    • então: DeleteApplicationAssignment

    • diretório sso: CreateUser

    • diretório sso: SearchUsers

    • então: ListApplications

  • Para aceitar uma solicitação de associação de AWS conta na Amazon DataZone, você deve ter a ram:AcceptResourceShareInvitation permissão.

  • Se você quiser criar o recurso necessário para a configuração de rede do SageMaker Unified Studio, você deve ter permissões para o seguinte e anexar a AmazonVpcFullAccess política:

    • objetivo: PassRole

    • formação de nuvens: CreateStack