本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon DataZone 的動作、資源和條件索引鍵
Amazon DataZone (服務字首:datazone) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon DataZone 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AcceptPredictions | 准許接受預測 | 寫入 | |||
| AcceptSubscriptionRequest | 准許核准資料資產的訂閱請求 | 寫入 | |||
| AddEntityOwner | 准許將擁有者新增至網域單位等實體 | 寫入 | |||
| AddPolicyGrant | 准許新增政策授予 | 許可管理 | |||
| AssociateEnvironmentRole | 准許在預設服務藍圖環境中關聯角色 | 寫入 | |||
| AssociateGovernedTerms | 准許將受管條款與資產建立關聯 | 寫入 | |||
| BatchDeleteLinkedTypes [僅限許可] | 准許從 Amazon DataZone 網域移除連結的類型項目 | 寫入 | |||
| BatchPutLinkedTypes [僅限許可] | 准許將連結的類型項目放入 Amazon DataZone 網域 | 寫入 | |||
| CancelMetadataGenerationRun | 准許取消中繼資料產生執行 | 寫入 | |||
| CancelSubscription | 准許撤銷或取消訂閱已核准的資料資產訂閱 | 寫入 | |||
| CreateAccountPool | 准許建立帳戶集區 | 寫入 | |||
| CreateAsset | 准許建立資產 | 寫入 | |||
| CreateAssetFilter | 准許建立資產篩選條件 | 寫入 | |||
| CreateAssetRevision | 准許建立資產的新修訂 | 寫入 | |||
| CreateAssetType | 准許建立資產類型 | 寫入 | |||
| CreateConnection | 准許建立連線 | 寫入 | |||
| CreateDataProduct | 准許建立資料產品 | 寫入 | |||
| CreateDataProductRevision | 准許建立資料產品修訂 | 寫入 | |||
| CreateDataSource | 准許建立新 DataSource | 寫入 | |||
| CreateDomain | 准許佈建網域,該網域為包含其他 Amazon DataZone 資源的頂層實體 | 寫入 | |||
| CreateDomainUnit | 准許建立網域單位 | 寫入 | |||
| CreateEnvironment | 准許建立用來發佈和訂閱資料的已設定資源的集合 | 寫入 | |||
| CreateEnvironmentAction | 准許在預設服務藍圖環境中建立環境動作 | 寫入 | |||
| CreateEnvironmentBlueprint | 准許建立讓使用者能將環境新增至其專案的自訂環境藍圖 | 寫入 | |||
| CreateEnvironmentProfile | 准許從藍圖中建立可用來建立環境的範本 | 寫入 | |||
| CreateFormType | 准許建立表單類型或表單類型的新修訂 | 寫入 | |||
| CreateGlossary | 准許建立業務詞彙表 | 寫入 | |||
| CreateGlossaryTerm | 准許建立詞彙表術語 | 寫入 | |||
| CreateGroupProfile | 准許建立用於 IAM Identity Center 群組的 DataZone 群組設定檔 | 寫入 | |||
| CreateListingChangeSet | 准許建立列表變更集 | 寫入 | |||
| CreateProject | 准許建立能讓您的團隊發佈和訂閱資料的專案 | 寫入 | |||
| CreateProjectMembership | 准許將使用者新增至專案 | 寫入 | |||
| CreateProjectProfile | 准許建立專案設定檔 | 寫入 | |||
| CreateRule | 准許建立規則 | 寫入 | |||
| CreateSubscriptionGrant | 准許建立訂閱目標上已核准訂閱的授予 | 寫入 | |||
| CreateSubscriptionRequest | 准許建立資料資產的訂閱請求 | 寫入 | |||
| CreateSubscriptionTarget | 准許在專案中建立環境的訂閱目標 | 寫入 | |||
| CreateUserProfile | 准許為客戶 IAM Identity Center 中現有的使用者建立使用者設定檔 | 寫入 | |||
| DeleteAccountPool | 准許刪除帳戶集區 | 寫入 | |||
| DeleteAsset | 准許刪除資產 | 寫入 | |||
| DeleteAssetFilter | 准許刪除資產篩選條件 | 寫入 | |||
| DeleteAssetType | 准許刪除資產類型 | 寫入 | |||
| DeleteConnection | 准許刪除連線 | 寫入 | |||
| DeleteDataProduct | 准許刪除資料產品 | 寫入 | |||
| DeleteDataSource | 准許更新現有 DataSource | 寫入 | |||
| DeleteDomain | 准許刪除已佈建的網域 | 寫入 | |||
| DeleteDomainSharingPolicy [僅限許可] | 准許刪除 DataZone 網域的資源政策 | 許可管理 | |||
| DeleteDomainUnit | 准許刪除現有的網域單位 | 寫入 | |||
| DeleteEnvironment | 准許刪除環境 | 寫入 | |||
| DeleteEnvironmentAction | 准許刪除預設服務藍圖環境中的環境動作 | 寫入 | |||
| DeleteEnvironmentBlueprint | 准許刪除環境藍圖 | 寫入 | |||
| DeleteEnvironmentBlueprintConfiguration | 准許刪除環境藍圖組態 | 寫入 | |||
| DeleteEnvironmentProfile | 准許刪除環境設定檔 | 寫入 | |||
| DeleteFormType | 准許刪除表單類型 | 寫入 | |||
| DeleteGlossary | 准許刪除業務詞彙表 | 寫入 | |||
| DeleteGlossaryTerm | 准許刪除詞彙表術語 | 寫入 | |||
| DeleteListing | 准許刪除列表 | 寫入 | |||
| DeleteProject | 准許刪除能讓您的團隊發佈和訂閱資料的專案 | 寫入 | |||
| DeleteProjectMembership | 准許從專案移除使用者 | 寫入 | |||
| DeleteProjectProfile | 准許刪除專案設定檔 | 寫入 | |||
| DeleteRule | 准許刪除規則 | 寫入 | |||
| DeleteSubscriptionGrant | 准許從訂閱目標刪除訂閱授予 | 寫入 | |||
| DeleteSubscriptionRequest | 准許刪除資料資產的待處理訂閱請求 | 寫入 | |||
| DeleteSubscriptionTarget | 准許從專案的環境中刪除訂閱目標 | 寫入 | |||
| DeleteTimeSeriesDataPoints | 准許刪除現有的 TimeSeriesDataPoints | 寫入 | |||
| DisassociateEnvironmentRole | 准許在預設服務藍圖環境中取消角色的關聯 | 寫入 | |||
| DisassociateGovernedTerms | 准許取消受管條款與資產的關聯 | 寫入 | |||
| GetAccountPool | 准許取得帳戶集區詳細資訊 | 閱讀 | |||
| GetAsset | 准許擷取資產 | 閱讀 | |||
| GetAssetFilter | 准許取得資產篩選條件 | 閱讀 | |||
| GetAssetType | 准許取得資產類型 | 閱讀 | |||
| GetConnection | 准許取得連線 | 閱讀 | |||
| GetDataProduct | 准許取得資料產品 | 閱讀 | |||
| GetDataSource | 准許使用其識別碼取得 Amazon DataZone 中現有的 DataSource | 閱讀 | |||
| GetDataSourceRun | 准許使用其識別碼取得 Amazon DataZone 中的 DataSource 執行工作 | 閱讀 | |||
| GetDomain | 准許擷取網域的相關資訊 | 閱讀 | |||
| GetDomainExecutionRoleCredentials [僅限許可] | 准許使用需要存取網域執行角色登入資料的功能 | 閱讀 | |||
| GetDomainSharingPolicy [僅限許可] | 准許擷取 DataZone 網域的資源政策 | 閱讀 | |||
| GetDomainUnit | 准許取得現有的網域單位 | 閱讀 | |||
| GetEnvironment | 准許取得環境詳細資訊 | 閱讀 | |||
| GetEnvironmentAction | 准許在預設服務藍圖環境中取得環境動作 | 閱讀 | |||
| GetEnvironmentActionLink [僅限許可] | 准許取得環境動作連結 | 閱讀 | |||
| GetEnvironmentBlueprint | 准許取得環境藍圖詳細資訊 | 閱讀 | |||
| GetEnvironmentBlueprintConfiguration | 准許取得環境藍圖組態 | 閱讀 | |||
| GetEnvironmentCredentials | 准許取得承擔環境使用者角色的短期憑證 | 閱讀 | |||
| GetEnvironmentProfile | 准許取得環境設定檔詳細資訊 | 閱讀 | |||
| GetFormType | 准許取得表單類型 | 閱讀 | |||
| GetGlossary | 准許取得業務詞彙表 | 閱讀 | |||
| GetGlossaryTerm | 准許取得詞彙表術語 | 閱讀 | |||
| GetGroupProfile | 准許擷取現有的 DataZone 群組設定檔 | 閱讀 | |||
| GetIamPortalLoginUrl | 准許 IAM 主體登入 DataZone 入口網站 | 許可管理 | |||
| GetJobRun | 准許取得任務執行 | 閱讀 | |||
| GetLineageEvent | 准許取得歷程事件 | 閱讀 | |||
| GetLineageNode | 准許取得歷程節點 | 閱讀 | |||
| GetListing | 准許取得列表 | 閱讀 | |||
| GetMetadataGenerationRun | 准許取得中繼資料產生執行 | 閱讀 | |||
| GetProject | 准許取得專案詳細資訊 | 閱讀 | |||
| GetProjectProfile | 准許取得專案設定檔詳細資訊 | 閱讀 | |||
| GetRule | 准許取得規則 | 閱讀 | |||
| GetSubscription | 准許擷取訂閱 | 閱讀 | |||
| GetSubscriptionEligibility [僅限許可] | 准許取得訂閱資格 | 閱讀 | |||
| GetSubscriptionGrant | 准許擷取訂閱授予 | 閱讀 | |||
| GetSubscriptionRequestDetails | 准許拒絕資料資產的訂閱請求 | 閱讀 | |||
| GetSubscriptionTarget | 准許擷取訂閱目標的詳細資訊 | 閱讀 | |||
| GetTimeSeriesDataPoint | 准許使用其識別符在 Amazon DataZone 中取得現有的 TimeSeriesDataPoints | 閱讀 | |||
| GetUpdateEligibility | 准許取得專案建構的更新資格狀態 | 閱讀 | |||
| GetUserProfile | 准許擷取 DataCenter 網域中現有使用者的使用者設定檔 | 閱讀 | |||
| ListAccountEnvironments | 准許列出 AWS 帳戶中所有網域的環境 | 清單 | |||
| ListAccountPools | 准許列出帳戶集區 | 清單 | |||
| ListAccountsInAccountPool | 准許列出帳戶集區中的帳戶 | 清單 | |||
| ListAssetFilters | 准許列出資產篩選條件 | 清單 | |||
| ListAssetRevisions | 准許列出資產的修訂 | 清單 | |||
| ListConnections | 准許列出連線 | 清單 | |||
| ListDataProductRevisions | 准許列出資料產品修訂 | 清單 | |||
| ListDataSourceRunActivities | 准許列出資產上 DataSource 執行工作的活動 | 清單 | |||
| ListDataSourceRuns | 准許列出 DataSource 執行工作 | 清單 | |||
| ListDataSources | 准許列出現有的 DataSource | 清單 | |||
| ListDomainUnitsForParent | 准許列出指定父系網域單位的子網域單位 | 清單 | |||
| ListDomains | 准許擷取所有網域 | 清單 | |||
| ListEntityOwners | 准許列出網域單位等實體的擁有者 | 清單 | |||
| ListEnvironmentActions | 准許列出預設服務藍圖環境中的環境動作 | 清單 | |||
| ListEnvironmentBlueprintConfigurationSummaries [僅限許可] | 准許列出環境藍圖組態摘要 | 清單 | |||
| ListEnvironmentBlueprintConfigurations | 准許列出環境藍圖組態 | 清單 | |||
| ListEnvironmentBlueprints | 准許列出環境藍圖的網域 | 清單 | |||
| ListEnvironmentProfiles | 准許列出環境設定檔的網域 | 清單 | |||
| ListEnvironments | 准許顯示網域中的環境 | 清單 | |||
| ListGroupsForUser | 准許列出 DataZone 使用者設定檔所屬的所有 DataZone 群組設定檔 | 清單 | |||
| ListJobRuns | 准許列出任務執行 | 清單 | |||
| ListLineageEvents | 准許列出歷程事件 | 清單 | |||
| ListLineageNodeHistory | 准許列出歷程節點的歷史版本 | 清單 | |||
| ListLinkedTypes [僅限許可] | 准許列出連結至 Amazon DataZone 網域的連結類型項目 | 清單 | |||
| ListMetadataGenerationRuns | 准許列出中繼資料產生執行 | 清單 | |||
| ListNotifications | 准許列出 DataZone 使用者的通知和事件 | 清單 | |||
| ListPolicyGrants | 准許列出政策授予 | 清單 | |||
| ListProjectMemberships | 准許列出專案成員 | 清單 | |||
| ListProjectProfiles | 准許列出專案設定檔 | 清單 | |||
| ListProjects | 准許列出專案 | 清單 | |||
| ListRules | 准許列出規則 | 清單 | |||
| ListSubscriptionGrants | 准許列出已訂閱主體的訂閱授予 | 清單 | |||
| ListSubscriptionRequests | 准許列出訂閱請求 | 清單 | |||
| ListSubscriptionTargets | 准許列出訂閱目標 | 清單 | |||
| ListSubscriptions | 准許列出訂閱 | 清單 | |||
| ListTagsForResource | 准許擷取與資源相關聯的所有標籤 | 閱讀 | |||
| ListTimeSeriesDataPoints | 准許列出現有的 TimeSeriesDataPoints | 清單 | |||
| ListWarehouseMetadata [僅限許可] | 准許列出可用的 Manager Secret | 清單 | |||
| PostLineageEvent | 准許張貼歷程事件 | 寫入 | |||
| PostTimeSeriesDataPoints | 准許張貼新的 TimeSeriesDataPoints | 寫入 | |||
| ProvisionDomain [僅限許可] | 准許佈建網域及預設的專案設置 | 寫入 | |||
| PutDomainSharingPolicy [僅限許可] | 准許新增 DataZone 網域的資源政策 | 許可管理 | |||
| PutEnvironmentBlueprintConfiguration | 准許放置環境藍圖組態 | 寫入 | |||
| RefreshToken [僅限許可] | 准許重新整理字符 | 寫入 | |||
| RejectPredictions | 准許拒絕預測 | 寫入 | |||
| RejectSubscriptionRequest | 准許拒絕資料資產的訂閱請求 | 寫入 | |||
| RemoveEntityOwner | 准許移除網域單位等實體的現有擁有者 | 寫入 | |||
| RemovePolicyGrant | 准許移除政策授予 | 許可管理 | |||
| RevokeSubscription | 准許撤銷訂閱 | 許可管理 | |||
| Search | 准許搜尋 DataZone 實體 | 清單 | |||
| SearchGroupProfiles | 准許搜尋 DataZone 群組設定檔和 IAM Identity Center 群組 | 清單 | |||
| SearchListings | 准許搜尋列表 | 清單 | |||
| SearchRules [僅限許可] | 准許搜尋規則 | 清單 | |||
| SearchTypes | 准許搜尋類型,例如網域中的資產類型和表單類型 | 清單 | |||
| SearchUserProfiles | 准許搜尋 DataZone 使用者設定檔、IAM Identity Center 使用者和 DataZone IAM 主體設定檔 | 清單 | |||
| SsoLogin [僅限許可] | 准許使用 SSO 登入 | 寫入 | |||
| SsoLogout [僅限許可] | 准許以 SSO 使用者的身分登出 | 寫入 | |||
| StartAccountBootstrapAction [僅限許可] | 准許啟動網域的帳戶引導操作 | 寫入 | |||
| StartDataSourceRun | 准許啟動 DataSource 執行工作 | 寫入 | |||
| StartMetadataGenerationRun | 准許啟動中繼資料產生執行 | 寫入 | |||
| StopMetadataGenerationRun | 准許停止中繼資料產生執行 | 寫入 | |||
| TagResource | 准許新增或更新資源的標籤 | 標記 | |||
| UntagResource | 准許移除與資源相關聯的標籤 | 標記 | |||
| UpdateAccountPool | 准許更新帳戶集區 | 寫入 | |||
| UpdateAssetFilter | 准許更新資產篩選條件 | 寫入 | |||
| UpdateConnection | 准許更新連線 | 寫入 | |||
| UpdateDataSource | 准許更新現有 DataSource | 寫入 | |||
| UpdateDataSourceRunActivities [僅限許可] | 准許更新資料來源執行活動 | 寫入 | |||
| UpdateDomain | 准許更新網域的資訊 | 寫入 | |||
| UpdateDomainUnit | 准許更新現有的網域單位 | 寫入 | |||
| UpdateEnvironment | 准許更新環境設定 | 寫入 | |||
| UpdateEnvironmentAction | 准許更新預設服務藍圖環境中的環境動作 | 寫入 | |||
| UpdateEnvironmentBlueprint | 准許更新環境藍圖設定 | 寫入 | |||
| UpdateEnvironmentConfiguration [僅限許可] | 准許更新環境組態 | 寫入 | |||
| UpdateEnvironmentDeploymentStatus [僅限許可] | 准許更新環境部署的狀態 | 寫入 | |||
| UpdateEnvironmentProfile | 准許更新環境設定檔組態 | 寫入 | |||
| UpdateGlossary | 准許更新業務詞彙表 | 寫入 | |||
| UpdateGlossaryTerm | 准許更新詞彙表術語 | 寫入 | |||
| UpdateGroupProfile | 准許更新 DataZone 群組設定檔 | 寫入 | |||
| UpdateProject | 准許更新能讓您的團隊發佈和訂閱資料的專案 | 寫入 | |||
| UpdateProjectProfile | 准許更新專案設定檔 | 寫入 | |||
| UpdateRule | 准許更新規則 | 寫入 | |||
| UpdateSubscriptionGrantStatus | 准許更新自訂授予的訂閱授予狀態 | 寫入 | |||
| UpdateSubscriptionRequest | 准許更新資料資產訂閱請求的業務理由 | 寫入 | |||
| UpdateSubscriptionTarget | 准許更新訂閱目標 | 寫入 | |||
| UpdateUserProfile | 准許更新 DataZone 使用者設定檔 | 寫入 | |||
| ValidatePassRole [僅限許可] | 准許驗證傳遞角色 | 寫入 |
Amazon DataZone 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| domain |
arn:${Partition}:datazone:${Region}:${Account}:domain/${DomainId}
|
Amazon DataZone 的條件索引鍵
Amazon DataZone 定義以下條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
| datazone:domainId | 依請求中傳遞的網域 ID 篩選存取權 | String |
| datazone:projectId | 依請求中傳遞的專案 ID 篩選存取權 | String |
| datazone:userId | 依請求中傳遞的使用者 ID 篩選存取權 | String |
