配置使用 Amazon DataZone 管理控制台所需的 IAM 权限 - Amazon DataZone
将必需和可选的策略附加到用户、组或角色,以便访问管理控制台为 IAM 权限创建自定义策略,以启用管理服务控制台简化角色创建创建自定义权限策略以管理与域关联的账户(可选)为 AWS Identity Center 权限创建自定义策略,以添加和删除 SSO 用户和 SSO 组对域的访问权限(可选)将 IAM 主体添加为密钥用户,以使用 AWS KMS 中的客户自主管理型密钥来创建域

配置使用 Amazon DataZone 管理控制台所需的 IAM 权限

要访问和配置您的 Amazon DataZone 域、蓝图和用户,以及创建 Amazon DataZone 数据门户,您必须使用 Amazon DataZone 管理控制台。

要为想使用 Amazon DataZone 管理控制台的任何用户、组或角色配置必需和/或可选的权限,您必须完成以下过程。

将必需和可选的策略附加到用户、组或角色,以便访问 Amazon DataZone 控制台

完成以下过程,将必需和可选的自定义策略附加到用户、组或角色。有关更多信息,请参阅 适用于 Amazon DataZone 的 AWS 托管式策略

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择要附加到用户、组或角色的以下策略。

  4. 选择 Actions(操作),然后选择 Attach(附加)。

  5. 选择要将该策略附加到的用户、组或角色。您可以使用 Filter(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择附加策略

(可选)为 IAM 权限创建自定义策略,以启用 Amazon DataZone 服务控制台简化角色创建

完成以下过程,创建自定义内联策略以获得必要的权限,以授权 Amazon DataZone 代表您在 AWS 管理控制台中创建必要的角色。

注意

有关配置权限以允许创建服务角色的最佳实践信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户用户组

  3. 在列表中,请选择要在其中嵌入策略的用户或组的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限,然后选择创建内联策略链接。

  6. 创建策略屏幕上的策略编辑器部分中,选择 JSON

    使用以下 JSON 语句创建策略文档,然后选择下一步

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        }
    ]
}

  7. 查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。

创建自定义权限策略以管理与 Amazon DataZone 域关联的账户

完成以下过程,创建自定义内联策略以获得关联的 AWS 账户中的必要权限,以便列出、接受和拒绝域资源共享,然后在关联账户中启用、配置和禁用环境蓝图。要启用可在蓝图配置期间使用的可选 Amazon DataZone 服务控制台简化角色创建,您还必须(可选)为 IAM 权限创建自定义策略,以启用 Amazon DataZone 服务控制台简化角色创建

注意

有关配置权限以允许创建服务角色的最佳实践信息,请参阅 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户用户组

  3. 在列表中,请选择要在其中嵌入策略的用户或组的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限,然后选择创建内联策略链接。

  6. 创建策略屏幕上的策略编辑器部分中,选择 JSON。使用以下 JSON 语句创建策略文档,然后选择下一步

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:ListEnvironmentBlueprintConfigurations",
                "datazone:PutEnvironmentBlueprintConfiguration",
                "datazone:GetDomain",
                "datazone:ListDomains",
                "datazone:GetEnvironmentBlueprintConfiguration",
                "datazone:ListEnvironmentBlueprints",
                "datazone:GetEnvironmentBlueprint",
                "datazone:ListAccountEnvironments",
                "datazone:DeleteEnvironmentBlueprintConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/AmazonDataZone",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:passedToService": "datazone.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ram:GetResourceShareInvitations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:CreateBucket",
            "Resource": "arn:aws:s3:::amazon-datazone*"
        }
    ]
}

  7. 查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。

(可选)为 AWS Identity Center 权限创建自定义策略,以添加和删除 SSO 用户和 SSO 组对 Amazon DataZone 域的访问权限

完成以下过程,创建自定义内联策略以获得必要权限,以便添加和删除 SSO 用户和 SSO 组对您的 Amazon DataZone 域的访问权限。

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户用户组

  3. 在列表中,请选择要在其中嵌入策略的用户或组的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限创建内联策略

  6. 创建策略屏幕上的策略编辑器部分中,选择 JSON

    使用以下 JSON 语句创建策略文档,然后选择下一步

    JSON
    
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sso:GetManagedApplicationInstance",
        "sso:ListProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile"
      ],
      "Resource": "*"
    }
  ]
}

  7. 查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。

(可选)将 IAM 主体添加为密钥用户,以使用 AWS Key Management Service(AWS KMS)中的客户自主管理型密钥来创建 Amazon DataZone 域

您必须先完成以下过程以使 IAM 主体成为 KMS 密钥用户,之后才能选择使用 AWS Key Management Service(AWS KMS)中的客户自主管理型密钥(CMK)来创建 Amazon DataZone 域。

  1. 登录 AWS 管理控制台,并打开 KMS 控制台,网址为 https://console.aws.amazon.com/kms/

  2. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)

  3. 在 KMS 密钥列表中,选择要检查的 KMS 密钥的别名或密钥 ID。

  4. 要添加或删除密钥用户以及允许或禁止外部 AWS 账户使用 KMS 密钥,请使用此页面的密钥用户部分中的控件。密钥用户可以在加密操作(如加密、解密、重新加密和生成数据密钥)中使用 KMS 密钥。