As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS política gerenciada: AmazonDataZoneFullAccess
É possível anexar a política AmazonDataZoneFullAccess
às identidades do IAM.
Esta política fornece acesso total à Amazon DataZone por meio do AWS Management Console. Essa política também tem permissões para o AWS KMS para parâmetros SSM criptografados. A chave KMS deve ser marcada com EnableKeyForAmazonDataZone para permitir a descriptografia dos parâmetros do SSM.
Detalhes de permissões
Esta política inclui as seguintes permissões:
-
datazone
— concede aos diretores acesso total à Amazon DataZone por meio do AWS Management Console. -
kms
— Permite que os diretores listem aliases, descrevam chaves e descriptografem chaves. -
s3
— Permite que os diretores escolham buckets S3 existentes ou criem novos para armazenar dados da Amazon. DataZone -
ram
— Permite que os diretores compartilhem DataZone domínios da Amazon entre. Contas da AWS -
iam
: permite que as entidades principais passem perfis e obtenham políticas. -
sso
: permite que as entidades principais obtenham as regiões em que o AWS IAM Identity Center está habilitado. -
secretsmanager
: permite que as entidades principais criem, marquem e listem os segredos com um prefixo específico. -
aoss
— permite que os diretores criem e recuperem informações para políticas de segurança OpenSearch sem servidor. -
bedrock
— permite que os diretores criem, listem e recuperem informações para perfis de inferência e modelos básicos. -
codeconnections
— permite que os diretores excluam, recuperem informações, listem conexões e gerenciem tags para conexões. -
codewhisperer
— Permite que os diretores listem CodeWhisperer perfis. -
ssm
— Permite que os diretores coloquem, excluam e recuperem informações para os parâmetros. -
redshift
— Permite que os diretores descrevam clusters e listem grupos de trabalho sem servidor -
glue
— Permite que os diretores obtenham bancos de dados.
Para visualizar as permissões para esta política, consulte AmazonDataZoneFullAccess na Referência de políticas gerenciadas pela AWS .
Considerações e limitações da política
Há certas funcionalidades que a política AmazonDataZoneFullAccess
não cobre.
-
Se você criar um DataZone domínio da Amazon com sua própria AWS KMS chave, deverá ter as permissões
kms:CreateGrant
para que a criação do domínio seja bem-sucedida ekms:Decrypt
parakms:GenerateDataKey
que essa chave invoque outra Amazon DataZoneAPIs , comolistDataSources
e.createDataSource
E você também deve ter as permissões parakms:CreateGrant
,kms:Decrypt
,kms:GenerateDataKey
ekms:DescribeKey
na política de recursos dessa chave.Se você usar a chave do KMS padrão de propriedade do serviço, isso não será necessário.
Para obter mais informações, consulte AWS Key Management Service.
-
Se você quiser usar as funcionalidades de criação e atualização de funções no DataZone console da Amazon, você deve ter privilégios de administrador ou ter as permissões necessárias do IAM para criar funções do IAM e criar/atualizar políticas. As permissões necessárias incluem as permissões
iam:CreateRole
,iam:CreatePolicy
,iam:CreatePolicyVersion
,iam:DeletePolicyVersion
eiam:AttachRolePolicy
. -
Se você criar um novo domínio na Amazon DataZone com o login de AWS IAM Identity Center usuário ativado, ou se você ativá-lo para um domínio existente na Amazon DataZone, você deve ter permissões para o seguinte:
-
organizações: DescribeOrganization
-
organizações: ListDelegatedAdministrators
-
então: CreateInstance
-
então: ListInstances
-
então: GetSharedSsoConfiguration
-
então: PutApplicationGrant
-
então: PutApplicationAssignmentConfiguration
-
então: PutApplicationAuthenticationMethod
-
então: PutApplicationAccessScope
-
então: CreateApplication
-
então: DeleteApplication
-
então: CreateApplicationAssignment
-
então: DeleteApplicationAssignment
-
diretório sso: CreateUser
-
diretório sso: SearchUsers
-
então: ListApplications
-
-
Para aceitar uma solicitação de associação de AWS conta na Amazon DataZone, você deve ter a
ram:AcceptResourceShareInvitation
permissão. -
Se você quiser criar o recurso necessário para a configuração de rede do SageMaker Unified Studio, você deve ter permissões para o seguinte e anexar a AmazonVpcFullAccess política:
-
objetivo: PassRole
-
formação de nuvens: CreateStack
-