本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DataZone 中的域单元和授权策略
使用域单元可轻松地在特定的业务部门和团队下组织资产和其他域实体。要在组织的业务部门内和各个业务部门之间设置安全高效的数据共享,可以在 Amazon DataZone 中创建域单元,允许每个业务部门中的选定用户登录并将其资产共享到目录中。企业中任何地方的用户都可以轻松搜索这些业务部门下的资产,并请求对这些资产的访问权限。
此外,可通过域单元使资源所有者(例如 AWS 账户所有者)能够对其资源设置 Amazon DataZone 授权权限。域单元提供从账户所有者到域单元所有者的委托授权,他们可以代表账户所有者对环境配置文件(使用蓝图配置创建)设置授权权限。这可让您根据他们所属的业务部门来限制谁可以创建和使用哪些环境配置文件。Amazon DataZone 授权权限也可用于强制实施元数据标准,并仅允许选定的项目创建元数据表单和术语表。这有助于维护一致的高质量元数据。有关更多信息,请参阅 亚马逊 DataZone 术语和概念。
在 Amazon DataZone 域单元中,您可以将以下授权策略分配给您的用户和组来向他们授予特定权限:
-
域单元创建策略
-
项目创建策略
-
项目成员资格策略
-
域单元所有权代入策略
-
项目所有权代入策略
有关更多信息,请参阅 向 Amazon DataZone 域单元中的用户和组分配授权策略。
在 Amazon DataZone 域单元中,您可以将以下授权策略分配给项目来向其授予特定权限:
-
术语表创建策略
-
元数据表单创建策略
-
自定义资产类型创建策略
有关更多信息,请参阅 向 Amazon DataZone 域单元中的项目分配授权策略。
在 Amazon DataZone 中使用授权机制的另一种方法是,将授权策略应用于 Amazon DataZone 蓝图配置中的项目和域单元所有者。
Amazon DataZone 蓝图配置是一个实体,它可封装创建和配置用于发布和订阅用户工作流的资源所需的信息。此信息包含 AWS 账号和区域、CloudFormation 模板、账户级别参数(例如 VPC 和子网),还可包含数据库连接信息和凭证。为了控制成本并提高安全性,数据平台用户需要能够控制谁可以使用这些蓝图并创建环境。
在特定的蓝图配置中,您可以将以下授权策略分配给项目和域单元所有者:
-
使用此蓝图创建环境配置文件 - 可将此策略分配给 Amazon DataZone 项目,以便授权这些项目使用此蓝图创建环境配置文件。
-
授予使用此蓝图创建环境配置文件所需的权限 - 可将此策略分配给域单元所有者,以便授权他们允许项目使用此蓝图创建环境配置文件。
有关更多信息,请参阅 在 Amazon DataZone 蓝图配置中分配授权策略。
主题
