本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 托管策略：AmazonDataZoneFullAccess
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess"></a>

您可以将 `AmazonDataZoneFullAccess` 策略附加到 IAM 身份。

本政策允许 DataZone 通过以下方式访问亚马逊 AWS 管理控制台。此策略还具有 AWS KMS 访问加密 SSM 参数的权限。必须使用 KMS 密钥进行标记 EnableKeyForAmazonDataZone ，才能解密 SSM 参数。

**权限详细信息**

该策略包含以下权限：
+ `datazone`— 授予委托人 DataZone通过 Amazon 的完全访问权限。 AWS 管理控制台
+ `kms` – 允许主体列出别名、描述密钥和解密密钥。
+ `s3`— 允许委托人选择现有或创建新的 S3 存储桶来存储 Ama DataZone zon 数据。
+ `ram`— 允许委托人跨 DataZone 域共享 Amazon 域名。 AWS 账户
+ `iam` – 允许主体列出和传递角色并获取策略。
+ `sso` – 允许主体获取已启用 AWS IAM Identity Center 的区域。
+ `secretsmanager` – 允许主体创建、标记和列出带特定前缀的密钥。
+ `aoss`— 允许委托人创建和检索 OpenSearch 无服务器安全策略的信息。
+ `bedrock` – 允许主体创建、列出和检索推理配置文件和基础模型的信息。
+ `codeconnections` – 允许主体删除、检索信息、列出连接和管理连接的标签。
+ `codewhisperer`— 允许校长列出CodeWhisperer 个人资料。
+ `ssm` – 允许主体放置、删除和检索参数信息。
+ `redshift` – 允许主体描述集群和列出无服务器工作组
+ `glue` – 允许主体获取数据库。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html)**。

## 策略注意事项和限制
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess-limitations"></a>

`AmazonDataZoneFullAccess` 策略未涵盖某些功能。
+ 如果您使用自己的 AWS KMS 密钥创建亚马逊 DataZone 域名，则必须拥有成功创建域`kms:CreateGrant`名的权限，以及该密钥才能调用其他亚马逊（ DataZoneAPIs 例如`listDataSources`和）的权限`createDataSource`。`kms:GenerateDataKey` `kms:Decrypt`此外，您还必须在该密钥的资源策略中拥有 `kms:CreateGrant`、`kms:Decrypt`、`kms:GenerateDataKey` 和 `kms:DescribeKey` 的权限。

   如果您使用默认的服务拥有的 KMS 密钥，则无需达到此要求。

   有关更多信息，请参阅 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
+ 如果您想在 Amazon DataZone 控制台中使用*创建*和*更新*角色功能，则必须具有管理员权限或具有创建 IAM 角色和创建/更新策略所需的 IAM 权限。所需的权限包括 `iam:CreateRole`、`iam:CreatePolicy`、`iam:CreatePolicyVersion`、`iam:DeletePolicyVersion` 和 `iam:AttachRolePolicy` 权限。
+ 如果您在激活 AWS IAM Identity Center 用户登录的情况下在亚马逊 DataZone 创建新域名，或者如果您为亚马逊中的现有域名激活该域名 DataZone，则必须具有以下权限：
  + 组织：DescribeOrganization
  + 组织：ListDelegatedAdministrators
  + sso：CreateInstance
  + sso：ListInstances
  + sso：GetSharedSsoConfiguration
  + sso：PutApplicationGrant
  + sso：PutApplicationAssignmentConfiguration
  + sso：PutApplicationAuthenticationMethod
  + sso：PutApplicationAccessScope
  + sso：CreateApplication
  + sso：DeleteApplication
  + sso：CreateApplicationAssignment
  + sso：DeleteApplicationAssignment
  + sso 目录：CreateUser
  + sso 目录：SearchUsers
  + sso：ListApplications
+ 要在 Amazon 上接受 AWS 账户关联请求 DataZone，您必须`ram:AcceptResourceShareInvitation`获得许可。
+ 如果要为 SageMaker Unified Studio 网络设置创建所需的资源，则必须具有以下权限并附加AmazonVpcFullAccess 策略：
  + 我是：PassRole
  + 云层：CreateStack