AWS 受管政策： AmazonDataZoneFullAccess

datazone – 透過 授予委託人對 Amazon DataZone 的完整存取權 AWS Management Console。

kms – 允許主體列出別名、描述金鑰和解密金鑰。

s3 – 允許主體選擇現有或建立新的 S3 儲存貯體來存放 Amazon DataZone 資料。

ram – 允許主體跨 共用 Amazon DataZone 網域 AWS 帳戶。

iam – 允許主體列出和傳遞角色並取得政策。

sso – 允許主體取得 AWS IAM Identity Center 已啟用 的區域。

secretsmanager – 允許主體建立、標記和列出具有特定字首的秘密。

aoss – 允許主體建立和擷取 OpenSearch Serverless 安全政策的資訊。

bedrock – 允許主體建立、列出和擷取推論設定檔和基礎模型的資訊。

codeconnections – 允許主體刪除、擷取資訊、列出連線和管理連線的標籤。

codewhisperer – 允許主體列出 CodeWhisperer 設定檔。

ssm – 允許主體放置、刪除和擷取參數的資訊。

redshift – 允許主體描述叢集並列出無伺服器工作群組

glue – 允許主體取得資料庫。

如果您使用自己的 AWS KMS 金鑰建立 Amazon DataZone 網域，您必須擁有 kms:CreateGrant 的許可，才能成功建立網域，以及擁有 kms:Decrypt的許可kms:GenerateDataKey，才能叫用 listDataSources和 等其他 Amazon DataZone APIscreateDataSource。此外，您還必須在該金鑰的資源政策kms:DescribeKey中擁有 kms:CreateGrant、kms:GenerateDataKey、 kms:Decrypt和 的許可。

如果您使用預設服務擁有的 KMS 金鑰，則不需要這麼做。

如需詳細資訊，請參閱AWS Key Management Service。

如果您想要在 Amazon DataZone 主控台中使用建立和更新角色功能，您必須具有管理員權限，或具有建立 IAM 角色和建立/更新政策所需的 IAM 許可。所需的許可包括 iam:CreateRole、iam:CreatePolicy、iam:DeletePolicyVersion、 iam:CreatePolicyVersion和 iam:AttachRolePolicy許可。

如果您在啟用 AWS IAM Identity Center 使用者登入的 Amazon DataZone 中建立新的網域，或者如果您為 Amazon DataZone 中的現有網域啟用該網域，則必須具有下列許可：

若要在 Amazon DataZone 中接受 AWS 帳戶關聯請求，您必須擁有 ram:AcceptResourceShareInvitation許可。

如果您想要為 SageMaker Unified Studio 網路設定建立必要的資源，您必須具有下列許可，並連接 AmazonVpcFullAccess 政策：