本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限
要访问和配置您的亚马逊 DataZone 域名、蓝图和用户,以及创建亚马逊 DataZone 数据门户,您必须使用亚马逊管理控制台。 DataZone
要为想要使用亚马逊 DataZone管理控制台的任何用户、群组或角色配置必需和/或可选权限,您必须完成以下步骤。
**Topics**
+ [将必需和可选策略附加到用户、群组或角色以访问 Amazon DataZone 控制台](#attach-managed)
+ [为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](#create-custom-to-manage-EZCRZ)
+ [为管理与 Amazon DataZone 域名关联的账户的权限创建自定义策略](#create-custom-to-manage-associated-account)
+ [(可选)为 AWS 身份中心权限创建自定义策略,以添加和移除 SSO 用户和 SSO 群组对 Amazon 域的访问权限 DataZone](#create-custom-to-manage-add-remove-sso)
+ [(可选)将您的 IAM 委托人添加为密钥用户,使用密钥管理服务 (KMS) 中的 AWS 客户管理密钥创建您的 Amazon DataZone 域](#create-custom-to-manage-kms)
## 将必需和可选策略附加到用户、群组或角色以访问 Amazon DataZone 控制台
完成以下过程,将必需和可选的自定义策略附加到用户、组或角色。有关更多信息,请参阅 [AWS Amazon 的托管政策 DataZone](security-iam-awsmanpol.md)。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 选择要附加到用户、组或角色的以下策略。
+ 在策略列表中,选中旁边的复选框**AmazonDataZoneFullAccess**。您可以使用 **Filter** 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 [AWS 托管策略:AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md)。
+ [(可选)为 IAM 权限创建自定义策略,以简化亚马逊 DataZone 服务控制台的角色创建。](#create-custom-to-manage-EZCRZ)
+ [(可选)为 AWS 身份中心权限创建自定义策略,以添加和移除 SSO 用户和 SSO 群组对您的 Ama DataZone zon 域的访问权限。](#create-custom-to-manage-add-remove-sso)
1. 选择 **Actions**(操作),然后选择 **Attach**(附加)。
1. 选择要将该策略附加到的用户、组或角色。您可以使用 **Filter**(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择**附加策略**。
## 为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建
完成以下步骤以创建自定义内联策略,使其拥有必要的权限,让 Amazon DataZone 能够代表您在 AWS 管理控制台中创建必要的角色。
**注意**
有关配置权限以允许创建服务角色的最佳实践信息,请参阅 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**或**用户组**。
1. 在列表中,请选择要在其中嵌入策略的用户或组的名称。
1. 选择 **Permissions (权限)** 选项卡,然后展开 **Permissions policies (权限策略)** 部分(如有必要)。
1. 选择**添加权限**,然后选择**创建内联策略**链接。
1. 在**创建策略**屏幕上的**策略编辑器**部分中,选择 **JSON**。
使用以下 JSON 语句创建策略文档,然后选择**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. 在**查看策略**屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 **Create policy (创建策略)**。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
## 为管理与 Amazon DataZone 域名关联的账户的权限创建自定义策略
完成以下过程以创建自定义内联策略,使关联 AWS 账户拥有列出、接受和拒绝域资源共享所需的权限,然后在关联账户中启用、配置和禁用环境蓝图。要在蓝图配置期间启用可选的 Amazon DataZone 服务控制台简化角色创建,您还必须这样做[为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](#create-custom-to-manage-EZCRZ)。
**注意**
有关配置权限以允许创建服务角色的最佳实践信息,请参阅 [https://docs.aws.amazon.com/IAM/latest/UserGuide/id\_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**或**用户组**。
1. 在列表中,请选择要在其中嵌入策略的用户或组的名称。
1. 选择 **Permissions (权限)** 选项卡,然后展开 **Permissions policies (权限策略)** 部分(如有必要)。
1. 选择**添加权限**,然后选择**创建内联策略**链接。
1. 在**创建策略**屏幕上的**策略编辑器**部分中,选择 **JSON**。使用以下 JSON 语句创建策略文档,然后选择**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. 在**查看策略**屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 **Create policy (创建策略)**。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
## (可选)为 AWS 身份中心权限创建自定义策略,以添加和移除 SSO 用户和 SSO 群组对 Amazon 域的访问权限 DataZone
完成以下步骤以创建自定义内联策略,以获得添加和删除 SSO 用户和 SSO 群组对您的 Ama DataZone zon 域的访问权限所需的权限。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**或**用户组**。
1. 在列表中,请选择要在其中嵌入策略的用户或组的名称。
1. 选择 **Permissions (权限)** 选项卡,然后展开 **Permissions policies (权限策略)** 部分(如有必要)。
1. 选择**添加权限**和**创建内联策略**。
1. 在**创建策略**屏幕上的**策略编辑器**部分中,选择 **JSON**。
使用以下 JSON 语句创建策略文档,然后选择**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. 在**查看策略**屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 **Create policy (创建策略)**。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
## (可选)将您的 IAM 委托人添加为密钥用户,使用密钥管理服务 (KMS) 中的 AWS 客户管理密钥创建您的 Amazon DataZone 域
在您可以选择使用密钥管理服务 (KMS) 中的客户托管密钥 (CMK) 创建 Amazon DataZone 域之前,请完成以下步骤,使您的 IAM 委托人成为您的 KMS 密钥的用户。 AWS
1. 登录 AWS 管理控制台并打开 KMS 控制台,网址为[https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/)。
1. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 **Customer managed keys (客户托管密钥)**。
1. 在 KMS 密钥列表中,选择要检查的 KMS 密钥的别名或密钥 ID。
1. 要添加或删除密钥用户,以及允许或禁止外部 AWS 账户使用 KMS 密钥,请使用页面**密钥用户**部分中的控件。密钥用户可以在加密操作(如加密、解密、重新加密和生成数据密钥)中使用 KMS 密钥。