Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menetapkan kebijakan otorisasi untuk pengguna dan grup dalam unit domain Amazon DataZone
<a name="assign-authorization-policies-to-users-in-domain-unit"></a>

Di Amazon DataZone, unit domain memungkinkan Anda mengatur aset dan entitas domain lainnya di bawah unit bisnis dan tim tertentu. Untuk informasi selengkapnya, lihat [DataZone Terminologi dan konsep Amazon](datazone-concepts.md). 

Di unit DataZone domain Amazon, Anda dapat menetapkan kebijakan otorisasi berikut kepada pengguna dan grup untuk memberi mereka berbagai izin otorisasi dalam unit domain ini:
+ Kebijakan pembuatan unit domain
+ Kebijakan pembuatan proyek
+ Kebijakan keanggotaan proyek
+ Kebijakan asumsi kepemilikan unit domain
+ Kebijakan asumsi kepemilikan proyek

Untuk menetapkan kebijakan otorisasi kepada pengguna dan grup dalam unit domain, selesaikan prosedur berikut:

1. Arahkan ke URL portal DataZone data Amazon dan masuk menggunakan sistem masuk tunggal (SSO) atau kredensil Anda. AWS Jika Anda DataZone administrator Amazon, Anda dapat menavigasi ke DataZone konsol Amazon di [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) dan masuk dengan Akun AWS tempat domain dibuat, lalu pilih **Buka** portal data.

1. Pilih **Lihat domain** dan pilih domain dan unit domain tempat Anda ingin menetapkan kebijakan otorisasi.

1. Pada halaman detail unit domain, pilih kebijakan otorisasi yang ingin Anda tetapkan, users/groups lalu pilih **Tambah** pengguna.

1. Di jendela pop up **Tambah pengguna**, lakukan salah satu hal berikut:
   + Pilih **Pengguna dan grup yang dipilih**, tentukan pengguna dan grup yang ingin Anda tetapkan kebijakan otorisasi yang dipilih, lalu pilih **Tambah** pengguna.
   + Pilih **Semua pengguna** dan kemudian pilih **Tambah pengguna**.
   + Pilih **Semua grup** lalu pilih **Tambah pengguna**.

1. Anda juga dapat mengaktifkan atau menonaktifkan izin kaskade dari kebijakan otorisasi yang dipilih untuk pengguna yang dipilih. Untuk melakukannya, pilih pengguna yang ingin Anda aktifkan izin kaskade, lalu perluas **Tindakan**, lalu pilih **Setel izin kaskade** ke true. Pengguna yang dipilih akan memiliki izin yang diberikan oleh kebijakan ini di semua unit domain anak di bawah unit domain ini. Atau Anda dapat memilih pengguna yang ingin Anda nonaktifkan izin kaskade, lalu memperluas **Tindakan**, dan mengatur Setel izin **kaskade ke false**.

# Kebijakan keanggotaan proyek dalam hierarki unit domain di Amazon DataZone
<a name="projectmembershippolicy"></a>

Kebijakan keanggotaan proyek mendefinisikan individu atau grup yang memenuhi syarat untuk ditambahkan sebagai anggota ke proyek dalam unit domain. Topik ini menjelaskan skenario dampak kebijakan dalam kaitannya dengan unit domain individu dan unit domain dalam struktur hierarki. 

Penting untuk dicatat beberapa konsep yang digunakan dalam topik ini:
+ Kumpulan keanggotaan - kepala sekolah (pengguna atau grup) yang diberikan akses melalui kebijakan keanggotaan proyek dianggap sebagai bagian dari kumpulan keanggotaan proyek. Misalnya, jika kebijakan untuk unit domain DU1 diberikan kepada pengguna U1 dan U2, serta grup Single Sign-On (SSO) G1, kumpulan keanggotaan proyek untuk DU1 akan terdiri dari \$1U1, U2, G1\$1.
+ Cascade - kemampuan untuk meneruskan hibah ke semua unit domain anak yang terhubung melalui hierarki unit domain. 
+ Hibah - izin bagi pengguna atau grup untuk melakukan suatu tindakan. 

**Skenario 1** - setiap pengguna atau grup dapat ditambahkan ke proyek di bawah Domain Unit 1 karena kumpulan keanggotaan terdiri dari \$1Semua Pengguna/Grup\$1.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario1.png)


**Skenario 2** - Pengguna \$1U1, G1\$1 dapat ditambahkan ke proyek di bawah Domain Unit 2 karena mereka adalah bagian dari kumpulan keanggotaan di bawah Domain Unit 2. Pengguna \$1U3, G2\$1 tidak dapat ditambahkan ke proyek apa pun karena mereka bukan bagian dari kumpulan keanggotaan.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario2.png)


**Skenario 3** - Persimpangan kumpulan keanggotaan: ketika ada kumpulan keanggotaan pada tingkat hierarki unit domain yang berbeda, hanya pengguna dan grup yang ada di semua kumpulan keanggotaan yang dapat ditambahkan ke proyek.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario3.png)

+ Persimpangan pengguna di kedua kumpulan keanggotaan adalah \$1U1, U2, G1\$1.
+ Pengguna \$1U1, U2, G1\$1 dapat ditambahkan ke proyek di bawah Domain Unit 3.
+ Pengguna \$1U3, G2\$1 tidak dapat ditambahkan ke proyek di bawah Domain Unit 3 bahkan dengan Semua Pengguna dan Semua Grup berada di kolam keanggotaan di tingkat unit Domain Root.

**Skenario 4** - Persimpangan kumpulan keanggotaan: ketika ada kumpulan keanggotaan pada tingkat hierarki unit domain yang berbeda, hanya pengguna dan grup yang ada di semua kumpulan keanggotaan yang dapat ditambahkan ke proyek.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario4.png)

+ Persimpangan pengguna di kedua kumpulan keanggotaan adalah \$1U1, U2, G1\$1.
+ Kumpulan keanggotaan di Domain Unit 4 adalah \$1Semua Pengguna/Grup\$1 tetapi kumpulan keanggotaan tidak dapat diperluas melampaui kumpulan keanggotaan di Root Domain \$1U1, U2, G1\$1. 
+ Pengguna \$1U3, G2\$1 tidak dapat ditambahkan ke proyek di bawah Domain Unit 4 bahkan dengan Semua Pengguna dan Semua Grup berada di kolam keanggotaan di Unit Domain 4.

**Skenario 5** - Pengguna \$1U1, G1\$1 dapat ditambahkan ke Project 5 sebagai bagian dari persimpangan pool keanggotaan antara Root Domain dan Domain Unit 5. Tidak user/group dapat ditambahkan ke Proyek 6 karena persimpangan dari tiga kumpulan keanggotaan kosong.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario5.png)


**Skenario 6** - Persimpangan di ketiga kumpulan keanggotaan berarti hanya pengguna \$1U1\$1 yang dapat ditambahkan ke Project 8. Kumpulan persimpangan di untuk Domain Unit 8 adalah \$1U1\$1, \$1U1\$1, \$1U1, U2\$1 - dengan hanya \$1U1\$1 yang umum di ketiganya.

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario6.png)


**Skenario 7** - Pengguna \$1U1, U2, G1\$1 dapat ditambahkan ke proyek Domain Root sebagai bagian dari kumpulan keanggotaan dari Domain Root. Setiap pengguna atau grup dapat ditambahkan ke proyek di bawah Domain Unit 9 karena kumpulan keanggotaan terdiri dari \$1Semua Pengguna/Grup\$1 karena kaskade disetel ke false di Domain Root di atasnya. 

![\[Kebijakan keanggotaan proyek dalam hierarki unit domain\]](http://docs.aws.amazon.com/id_id/datazone/latest/userguide/images/scenario7.png)