配置使用 Amazon DataZone 数据门户所需的 IAM 权限 - Amazon DataZone
将所需的策略附加到用户、组或角色以便访问数据门户将所需的策略附加到用户、组或角色以便访问目录如果您的域已使用 AWS KMS 中的客户自主管理型密钥进行加密,则将可选策略附加到用户、组或角色以访问数据门户或目录

配置使用 Amazon DataZone 数据门户所需的 IAM 权限

Amazon DataZone 数据门户(AWS 管理控制台外部)是一个基于浏览器的 Web 应用程序,用户可在其中以自助方式编目、发现、治理、共享和分析数据。数据门户使用 IAM 凭证或您的身份提供商提供的现有凭证通过 AWS IAM Identity Center 对用户进行身份验证。

要为想使用 Amazon DataZone 数据门户的任何用户、组或角色配置必需的权限,您必须完成以下过程:

将所需的策略附加到用户、组或角色以便访问 Amazon DataZone 数据门户

您可以使用 AWS 凭证或单点登录(SSO)凭证访问 Amazon DataZone 数据门户。按照以下部分中的说明操作,设置使用 AWS 凭证访问数据门户所需的权限。有关将 Amazon DataZone 与 SSO 结合使用的更多信息,请参阅为 Amazon DataZone 设置 AWS IAM Identity Center

注意

仅域的 AWS 账户中的 IAM 主体能够访问域的数据门户。其他 AWS 账户中的 IAM 主体无法访问域的数据门户。

完成以下过程以将所需的策略附加到用户、组或角色。有关更多信息,请参阅 适用于 Amazon DataZone 的 AWS 托管式策略

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户、“用户组”或“角色”。

  3. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限,然后选择创建内联策略链接。

  6. 创建策略屏幕上的策略编辑器部分中,选择 JSON。使用以下 JSON 语句创建策略文档,然后选择下一步

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:GetIamPortalLoginUrl"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  7. 查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。

将所需的策略附加到用户、组或角色以便访问 Amazon DataZone 目录

注意

仅域的 AWS 账户中的 IAM 主体能够访问域的目录。其他 AWS 账户中的 IAM 主体无法访问域的目录。

您可以使用以下过程,通过 API 和 SDK 向 IAM 身份授予对 Amazon DataZone 域的目录的访问权限。如果您希望这些 IAM 身份也有权访问 Amazon DataZone 数据门户,请另外执行上述过程以将所需的策略附加到用户、组或角色以便访问 Amazon DataZone 数据门户。有关更多信息,请参阅 适用于 Amazon DataZone 的 AWS 托管式策略

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 在策略列表中,选择 AmazonDataZoneFullUserAccess 策略旁边的单选按钮。您可以使用 Filter 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 AWS 托管式策略:AmazonDataZoneFullUserAccess

  4. 选择 Actions(操作),然后选择 Attach(附加)。

  5. 通过选中每个主体旁边的复选框来选择要将策略附加到的用户、组或角色。您可以使用 Filter(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择附加策略

如果您的域已使用 AWS Key Management Service(AWS KMS)中的客户自主管理型密钥进行加密,则将可选策略附加到用户、组或角色以访问 Amazon DataZone 数据门户或目录

如果您创建 Amazon DataZone 域并使用自己的 KMS 密钥进行数据加密,则还必须创建具有以下权限的内联策略并将其附加到 IAM 主体,以便他们能够访问 Amazon DataZone 数据门户或目录。

  1. 登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择用户、“用户组”或“角色”。

  3. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。

  4. 选择 Permissions (权限) 选项卡,然后展开 Permissions policies (权限策略) 部分(如有必要)。

  5. 选择添加权限,然后选择创建内联策略链接。

  6. 创建策略屏幕上的策略编辑器部分中,选择 JSON。使用以下 JSON 语句创建策略文档,然后选择下一步

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
            ]
        }
    ]
}

  7. 查看策略屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 Create policy (创建策略)。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。