Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôles IAM pour Amazon DataZone
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess- - ](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess- - ](redshift-manage-access-role.md)
+ [AmazonDataZoneS3 Manage- - ](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole- - ](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
`AmazonDataZoneProvisioningRole-`Il a la `AmazonDataZoneRedshiftGlueProvisioningPolicy` pièce jointe. Ce rôle accorde à Amazon DataZone les autorisations nécessaires pour interagir avec AWS Glue et Amazon Redshift.
La politique de confiance suivante `AmazonDataZoneProvisioningRole-` est attachée à la valeur par défaut :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
**AmazonDataZoneDomainExecutionRole**La politique AWS gérée est **AmazonDataZoneDomainExecutionRolePolicy**jointe. Amazon DataZone crée ce rôle pour vous en votre nom. Pour certaines actions sur le portail de données, Amazon DataZone assume ce rôle dans le compte dans lequel le rôle est créé et vérifie que ce rôle est autorisé à effectuer l'action.
Le **AmazonDataZoneDomainExecutionRole**rôle est obligatoire dans celui Compte AWS qui héberge votre DataZone domaine Amazon. Ce rôle est automatiquement créé pour vous lorsque vous créez votre DataZone domaine Amazon.
Le **AmazonDataZoneDomainExecutionRole**rôle par défaut est soumis à la politique de confiance suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess- -
Le `AmazonDataZoneGlueAccess--` rôle comporte ce qui est `AmazonDataZoneGlueManageAccessRolePolicy` joint. Ce rôle autorise Amazon DataZone à publier les données AWS Glue dans le catalogue. Cela donne également à Amazon l' DataZone autorisation d'accorder ou de révoquer l'accès aux ressources publiées par AWS Glue dans le catalogue.
Le `AmazonDataZoneGlueAccess--` rôle par défaut est associé à la politique de confiance suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess- -
Le `AmazonDataZoneRedshiftAccess--` rôle comporte ce qui est `AmazonDataZoneRedshiftManageAccessRolePolicy` joint. Ce rôle autorise Amazon DataZone à publier les données Amazon Redshift dans le catalogue. Cela donne également à Amazon l' DataZone autorisation d'accorder ou de révoquer l'accès aux ressources publiées par Amazon Redshift ou Amazon Redshift Serverless dans le catalogue.
Le `AmazonDataZoneRedshiftAccess--` rôle par défaut est associé à la politique d'autorisation intégrée suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
La politique de confiance suivante `AmazonDataZoneRedshiftManageAccessRole` est attachée à la valeur par défaut :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneS3 Manage- -
Le AmazonDataZone S3Manage- - est utilisé lorsqu'Amazon DataZone appelle AWS Lake Formation pour enregistrer un site Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume ce rôle lors de l'accès aux données à cet emplacement. Pour plus d'informations, consultez la section [Exigences relatives aux rôles utilisés pour enregistrer des sites](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html).
La politique d'autorisation intégrée suivante est jointe à ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
Le AmazonDataZone S3Manage- - est associé à la politique de confiance suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole- -
Le `AmazonDataZoneSageMakerManageAccessRole` rôle a le`AmazonDataZoneSageMakerAccess`, le`AmazonDataZoneRedshiftManageAccessRolePolicy`, et ce qui `AmazonDataZoneGlueManageAccessRolePolicy` y est attaché. Ce rôle autorise Amazon à DataZone publier et à gérer les abonnements pour les actifs Data Lake, Data Warehouse et Amazon Sagemaker.
Le `AmazonDataZoneSageMakerManageAccessRole` rôle est associé à la politique en ligne suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
Le `AmazonDataZoneSageMakerManageAccessRole` rôle est associé à la politique de confiance suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
Le `AmazonDataZoneSageMakerProvisioningRolePolicyRole` rôle a `AmazonDataZoneSageMakerProvisioningRolePolicy` et ce qui `AmazonDataZoneRedshiftGlueProvisioningPolicy` y est attaché. Ce rôle accorde à Amazon DataZone les autorisations nécessaires pour interagir avec AWS Glue, Amazon Redshift et Amazon Sagemaker.
Le `AmazonDataZoneSageMakerProvisioningRolePolicyRole` rôle est associé à la politique en ligne suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
Le `AmazonDataZoneSageMakerProvisioningRolePolicyRole` rôle est associé à la politique de confiance suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------