本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 托管策略：AmazonDataZoneEnvironmentRolePermissionsBoundary
<a name="security-iam-awsmanpol-AmazonDataZoneEnvironmentRolePermissionsBoundary"></a>

**注意**  
此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Amazon DataZone 权限边界策略。亚马逊 DataZone 权限边界策略应仅附加到亚马逊 DataZone 托管角色。有关权限边界的更多信息，请参阅《IAM 用户指南》中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。

当您通过 Amazon DataZone 数据门户创建环境时，Amazon 会将此权限边界 DataZone 应用于在[创建环境期间生成的 IAM 角色](https://docs.aws.amazon.com//datazone/latest/userguide/roles-for-projects.html)。权限边界限制了 Amazon DataZone 创建的角色和您添加的任何角色的范围。

Amazon DataZone 使用`AmazonDataZoneEnvironmentRolePermissionsBoundary`托管策略来限制其所关联的预配置 IAM 委托人。委托人可以采用亚马逊 DataZone 可以代表交互式企业[用户或分析服务（例如）担任的用户角色](https://docs.aws.amazon.com//datazone/latest/userguide/Identitybasedroles.html)的形式AWS Glue，然后执行操作来处理数据，例如从 Amazon S3 读取和写入数据或运行。 AWS Glue 爬网程序

该`AmazonDataZoneEnvironmentRolePermissionsBoundary`政策授予亚马逊对诸如亚马逊 DataZone S3 AWS Glue、、Amazon Redshift 和亚马逊 Athena 等服务的读写权限。 AWS Lake Formation该策略还向使用这些服务所需的某些基础设施资源（例如网络接口和 AWS KMS 密钥）授予读写权限。

亚马逊 DataZone 将`AmazonDataZoneEnvironmentRolePermissionsBoundary` AWS 托管策略应用为所有亚马逊 DataZone 环境角色（所有者和贡献者）的权限边界。该权限边界限制这些角色只能访问环境所需的资源和操作。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AmazonDataZoneEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneEnvironmentRolePermissionsBoundary.html)**。