設定使用 Amazon DataZone 管理主控台所需的 IAM 許可 - Amazon DataZone
將必要和選用政策連接到使用者、群組或角色,以進行管理主控台存取建立 IAM 許可的自訂政策,以啟用管理服務主控台簡化的角色建立建立自訂政策以取得許可,以管理與網域相關聯的帳戶(選用) 建立AWS Identity Center 許可的自訂政策,以新增和移除對網域的 SSO 使用者和 SSO 群組存取權(選用) 將您的 IAM 主體新增為金鑰使用者,以使用AWS KMS 的客戶受管金鑰建立您的網域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定使用 Amazon DataZone 管理主控台所需的 IAM 許可

若要存取和設定 Amazon DataZone 網域、藍圖和使用者,以及建立 Amazon DataZone 資料入口網站,您必須使用 Amazon DataZone 管理主控台。

您必須完成下列程序,才能為想要使用 Amazon DataZone 管理主控台的任何使用者、群組或角色設定必要的和/或選用許可。

將必要和選用政策連接到 Amazon DataZone 主控台存取的使用者、群組或角色

完成下列程序,將必要和選用的自訂政策連接至使用者、群組或角色。如需詳細資訊,請參閱AWS Amazon DataZone 的 受管政策

  1. 登入AWS管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇政策

  3. 選擇要連接至使用者、群組或角色的下列政策。

  4. 選擇 Actions (動作),然後選擇 Attach (連接)

  5. 選擇您要連接政策的使用者、群組或角色。您可用篩選功能表和搜尋方塊來篩選主體實體清單。選擇使用者、群組或角色後,選擇連接政策

建立 IAM 許可的自訂政策,以啟用 Amazon DataZone 服務主控台簡化的角色建立

完成下列程序來建立自訂內嵌政策,以擁有必要的許可,讓 Amazon DataZone 代表您在AWS管理主控台中建立必要的角色。

注意

如需設定許可以允許建立服務角色的最佳實務資訊,請參閱 https://https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

  1. 登入AWS管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇群組使用者

  3. 在清單中,選擇要內嵌政策的使用者或群組名稱。

  4. 選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。

  5. 選擇新增許可建立內嵌政策連結。

  6. 建立政策畫面上的政策編輯器區段中,選擇 JSON

    使用下列 JSON 陳述式建立政策文件,然後選擇下一步

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        }
    ]
}

  7. 檢閱政策畫面上,輸入政策的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。

建立自訂政策以取得許可,以管理與 Amazon DataZone 網域相關聯的帳戶

完成下列程序,以建立自訂內嵌政策,讓關聯AWS帳戶中具備必要許可,以列出、接受和拒絕網域的資源共用,然後在關聯帳戶中啟用、設定和停用環境藍圖。若要啟用藍圖組態期間可用的選用 Amazon DataZone 服務主控台簡化角色建立,您也必須 建立 IAM 許可的自訂政策,以啟用 Amazon DataZone 服務主控台簡化的角色建立

注意

如需設定許可以允許建立服務角色的最佳實務資訊,請參閱 https://https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

  1. 登入AWS管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇群組使用者

  3. 在清單中,選擇要內嵌政策的使用者或群組名稱。

  4. 選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。

  5. 選擇新增許可建立內嵌政策連結。

  6. 建立政策畫面上的政策編輯器區段中,選擇 JSON。使用下列 JSON 陳述式建立政策文件,然後選擇下一步

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "datazone:ListEnvironmentBlueprintConfigurations",
                "datazone:PutEnvironmentBlueprintConfiguration",
                "datazone:GetDomain",
                "datazone:ListDomains",
                "datazone:GetEnvironmentBlueprintConfiguration",
                "datazone:ListEnvironmentBlueprints",
                "datazone:GetEnvironmentBlueprint",
                "datazone:ListAccountEnvironments",
                "datazone:DeleteEnvironmentBlueprintConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/AmazonDataZone",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:passedToService": "datazone.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::aws:policy/AmazonDataZone*",
                        "arn:aws:iam::*:policy/service-role/AmazonDataZone*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:policy/service-role/AmazonDataZone*",
                "arn:aws:iam::*:role/service-role/AmazonDataZone*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ram:GetResourceShareInvitations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:CreateBucket",
            "Resource": "arn:aws:s3:::amazon-datazone*"
        }
    ]
}

  7. 檢閱政策畫面上,輸入政策的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。

(選用) 建立AWS Identity Center 許可的自訂政策,以新增和移除對 Amazon DataZone 網域的 SSO 使用者和 SSO 群組存取權

完成下列程序來建立自訂內嵌政策,以擁有必要許可,以新增和移除對 Amazon DataZone 網域的 SSO 使用者和 SSO 群組存取權。

  1. 登入AWS管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇群組使用者

  3. 在清單中,選擇要內嵌政策的使用者或群組名稱。

  4. 選擇 Permissions (許可) 索引標籤,並在必要時,展開 Permissions policies (許可政策) 部分。

  5. 選擇新增許可建立內嵌政策

  6. 建立政策畫面上的政策編輯器區段中,選擇 JSON

    使用下列 JSON 陳述式建立政策文件,然後選擇下一步

    JSON
    
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sso:GetManagedApplicationInstance",
        "sso:ListProfiles",
        "sso:AssociateProfile",
        "sso:DisassociateProfile",
        "sso:GetProfile"
      ],
      "Resource": "*"
    }
  ]
}

  7. 檢閱政策畫面上,輸入政策的名稱。當您滿意時,選擇 Create policy (建立政策)。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。

(選用) 將您的 IAM 主體新增為金鑰使用者,以使用AWS Key Management Service (KMS) 的客戶受管金鑰建立 Amazon DataZone 網域

在您可以選擇從AWS Key Management Service (KMS) 使用客戶受管金鑰 (CMK) 建立 Amazon DataZone 網域之前,請完成下列程序,讓您的 IAM 主體成為 KMS 金鑰的使用者。

  1. 登入AWS管理主控台,並在 https://https://console.aws.amazon.com/kms/ 開啟 KMS 主控台。

  2. 若要檢視您所建立及管理帳戶中的金鑰,請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。

  3. 在 KMS 金鑰清單中,選擇您要檢查之 KMS 金鑰的別名或金鑰 ID。

  4. 若要新增或移除金鑰使用者,以及允許或不允許外部AWS帳戶使用 KMS 金鑰,請使用頁面金鑰使用者區段中的控制項。金鑰使用者可以在密碼編譯操作中使用 KMS 金鑰,例如加密、解密、重新加密和產生資料金鑰。