Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer les autorisations IAM requises pour utiliser la console de DataZone gestion Amazon
Pour accéder à vos DataZone domaines, plans et utilisateurs Amazon et les configurer, et pour créer le portail de DataZone données Amazon, vous devez utiliser la console de gestion Amazon DataZone .
Vous devez suivre les procédures suivantes afin de configurer les autorisations requises et/ou facultatives pour tout utilisateur, groupe ou rôle souhaitant utiliser la console de DataZone gestion Amazon.
**Topics**
+ [Associer des politiques obligatoires et facultatives à un utilisateur, un groupe ou un rôle pour accéder à DataZone la console Amazon](#attach-managed)
+ [Créez une politique personnalisée pour les autorisations IAM afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles](#create-custom-to-manage-EZCRZ)
+ [Créez une politique personnalisée pour les autorisations nécessaires à la gestion d'un compte associé à un DataZone domaine Amazon](#create-custom-to-manage-associated-account)
+ [(Facultatif) Créez une politique personnalisée pour les autorisations AWS d'Identity Center afin d'ajouter et de supprimer l'accès des utilisateurs SSO et des groupes SSO aux domaines Amazon DataZone](#create-custom-to-manage-add-remove-sso)
+ [(Facultatif) Ajoutez votre principal IAM en tant qu'utilisateur clé pour créer votre DataZone domaine Amazon à l'aide d'une clé gérée par le client via AWS Key Management Service (KMS)](#create-custom-to-manage-kms)
## Associer des politiques obligatoires et facultatives à un utilisateur, un groupe ou un rôle pour accéder à DataZone la console Amazon
Procédez comme suit pour associer les politiques personnalisées obligatoires et facultatives à un utilisateur, un groupe ou un rôle. Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour Amazon DataZone](security-iam-awsmanpol.md).
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez les politiques suivantes à associer à votre utilisateur, à votre groupe ou à un rôle.
+ Dans la liste des politiques, cochez la case à côté de **AmazonDataZoneFullAccess**. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste de politiques. Pour de plus amples informations, veuillez consulter [AWS politique gérée : AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md).
+ [(Facultatif) Créez une politique personnalisée pour les autorisations IAM afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles.](#create-custom-to-manage-EZCRZ)
+ [(Facultatif) Créez une politique personnalisée pour les autorisations AWS Identity Center afin d'ajouter et de supprimer l'accès des utilisateurs SSO et des groupes SSO à votre domaine Amazon DataZone .](#create-custom-to-manage-add-remove-sso)
1. Sélectionnez **Actions**, puis **Attach** (Attacher).
1. Choisissez l'utilisateur, le groupe ou le rôle auquel vous souhaitez associer la politique. Vous pouvez utiliser le menu **Filtre** et la zone de recherche pour filtrer la liste des entités du principal. Après avoir choisi l'utilisateur, le groupe ou le rôle, choisissez **Attacher une politique**.
## Créez une politique personnalisée pour les autorisations IAM afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles
Suivez la procédure suivante pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires pour permettre DataZone à Amazon de créer les rôles nécessaires dans la console AWS de gestion en votre nom.
**Note**
Pour obtenir des informations sur les meilleures pratiques relatives à la configuration des autorisations permettant la création de rôles de service, consultez le [https://docs.aws.amazon.com/IAM/latest/UserGuide/idfichier \_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Utilisateurs** ou **Groupes d’utilisateurs**.
1. Dans la liste, sélectionnez le nom de l’utilisateur ou du groupe auquel intégrer une politique.
1. Sélectionnez l’onglet **Autorisations** et, si nécessaire, développez la section **Politiques d’autorisations**.
1. Choisissez **Ajouter des autorisations** et **Créer un lien de politique intégré**.
1. Sur l'écran **Create Policy**, dans la section **Policy editor**, sélectionnez **JSON**.
Créez un document de politique avec les instructions JSON suivantes, puis choisissez **Next**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. Sur l'écran **Révision de la politique**, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez **Create policy (Créer une politique)**. Assurez-vous qu’aucune erreur ne s’affiche dans un cadre rouge en haut de l’écran. Corrigez les erreurs signalées.
## Créez une politique personnalisée pour les autorisations nécessaires à la gestion d'un compte associé à un DataZone domaine Amazon
Suivez la procédure ci-dessous pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires dans un AWS compte associé pour répertorier, accepter et rejeter les partages de ressources d'un domaine, puis activer, configurer et désactiver les plans d'environnement dans le compte associé. Pour activer la création de rôles simplifiée optionnelle sur la console de DataZone service Amazon disponible lors de la configuration du Blueprint, vous devez également[Créez une politique personnalisée pour les autorisations IAM afin de permettre à la console de DataZone service Amazon de simplifier la création de rôles](#create-custom-to-manage-EZCRZ).
**Note**
Pour obtenir des informations sur les meilleures pratiques relatives à la configuration des autorisations permettant la création de rôles de service, consultez le [https://docs.aws.amazon.com/IAM/latest/UserGuide/idfichier \_roles\_create\_for-service.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Utilisateurs** ou **Groupes d’utilisateurs**.
1. Dans la liste, sélectionnez le nom de l’utilisateur ou du groupe auquel intégrer une politique.
1. Sélectionnez l’onglet **Autorisations** et, si nécessaire, développez la section **Politiques d’autorisations**.
1. Choisissez **Ajouter des autorisations** et **Créer un lien de politique intégré**.
1. Sur l'écran **Create Policy**, dans la section **Policy editor**, sélectionnez **JSON**. Créez un document de politique avec les instructions JSON suivantes, puis choisissez **Next**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. Sur l'écran **Révision de la politique**, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez **Create policy (Créer une politique)**. Assurez-vous qu’aucune erreur ne s’affiche dans un cadre rouge en haut de l’écran. Corrigez les erreurs signalées.
## (Facultatif) Créez une politique personnalisée pour les autorisations AWS d'Identity Center afin d'ajouter et de supprimer l'accès des utilisateurs SSO et des groupes SSO aux domaines Amazon DataZone
Suivez la procédure ci-dessous pour créer une politique en ligne personnalisée afin de disposer des autorisations nécessaires pour ajouter et supprimer l'accès d'un utilisateur SSO et d'un groupe SSO à votre domaine Amazon. DataZone
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Utilisateurs** ou **Groupes d’utilisateurs**.
1. Dans la liste, sélectionnez le nom de l’utilisateur ou du groupe auquel intégrer une politique.
1. Sélectionnez l’onglet **Autorisations** et, si nécessaire, développez la section **Politiques d’autorisations**.
1. Choisissez **Ajouter des autorisations** et **Créer une politique en ligne**.
1. Sur l'écran **Create Policy**, dans la section **Policy editor**, sélectionnez **JSON**.
Créez un document de politique avec les instructions JSON suivantes, puis choisissez **Next**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. Sur l'écran **Révision de la politique**, entrez le nom de la politique. Lorsque vous êtes satisfait de la politique, sélectionnez **Create policy (Créer une politique)**. Assurez-vous qu’aucune erreur ne s’affiche dans un cadre rouge en haut de l’écran. Corrigez les erreurs signalées.
## (Facultatif) Ajoutez votre principal IAM en tant qu'utilisateur clé pour créer votre DataZone domaine Amazon à l'aide d'une clé gérée par le client via AWS Key Management Service (KMS)
Avant de pouvoir éventuellement créer votre DataZone domaine Amazon avec une clé gérée par le client (CMK) à partir du service de gestion des AWS clés (KMS), suivez la procédure suivante pour faire de votre principal IAM un utilisateur de votre clé KMS.
1. Connectez-vous à la console de AWS gestion et ouvrez la console KMS à l'adresse [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/).
1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez **Clés gérées par le client**.
1. Dans la liste des clés KMS, choisissez l'alias ou l'ID de clé de la clé KMS que vous souhaitez examiner.
1. Pour ajouter ou supprimer des utilisateurs clés, et pour autoriser ou interdire à AWS des comptes externes d'utiliser la clé KMS, utilisez les commandes de la section **Utilisateurs clés** de la page. Les utilisateurs de clé peuvent utiliser la clé KMS dans les opérations de chiffrement, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.