Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone
Untuk mengakses dan mengonfigurasi DataZone domain, cetak biru, dan pengguna Amazon Anda, serta untuk membuat portal DataZone data Amazon, Anda harus menggunakan konsol manajemen Amazon. DataZone
Anda harus menyelesaikan prosedur berikut untuk mengonfigurasi izin yang diperlukan dan/atau opsional untuk pengguna, grup, atau peran apa pun yang ingin menggunakan konsol DataZone manajemen Amazon.
**Topics**
+ [
## Lampirkan kebijakan wajib dan opsional ke pengguna, grup, atau peran untuk akses DataZone konsol Amazon
](#attach-managed)
+ [
## Membuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon
](#create-custom-to-manage-EZCRZ)
+ [
## Membuat kebijakan khusus untuk izin mengelola akun yang terkait dengan domain Amazon DataZone
](#create-custom-to-manage-associated-account)
+ [
## (Opsional) Buat kebijakan khusus untuk izin Pusat AWS Identitas untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon DataZone
](#create-custom-to-manage-add-remove-sso)
+ [
## (Opsional) Tambahkan prinsipal IAM Anda sebagai pengguna utama untuk membuat DataZone domain Amazon Anda dengan kunci yang dikelola pelanggan dari Key Management Service ( AWS KMS)
](#create-custom-to-manage-kms)
## Lampirkan kebijakan wajib dan opsional ke pengguna, grup, atau peran untuk akses DataZone konsol Amazon
Selesaikan prosedur berikut untuk melampirkan kebijakan kustom yang diperlukan dan opsional ke pengguna, grup, atau peran. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola untuk Amazon DataZone](security-iam-awsmanpol.md).
1. Masuk ke AWS Management Console dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih kebijakan berikut untuk dilampirkan ke pengguna, grup, atau peran Anda.
+ Dalam daftar kebijakan, pilih kotak centang di sebelah **AmazonDataZoneFullAccess**. Anda bisa memakai menu **Filter** dan kotak pencarian untuk mem-filter daftar kebijakan. Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: AmazonDataZoneFullAccess](security-iam-awsmanpol-AmazonDataZoneFullAccess.md).
+ [(Opsional) Buat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon.](#create-custom-to-manage-EZCRZ)
+ [(Opsional) Buat kebijakan khusus untuk izin Pusat AWS Identitas untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon Anda. DataZone ](#create-custom-to-manage-add-remove-sso)
1. Pilih **Tindakan**, lalu pilih **Lampirkan**.
1. Pilih pengguna, grup, atau peran yang ingin Anda lampirkan kebijakan. Anda bisa menggunakan menu **Filter** dan kotak pencarian untuk mem-filter daftar entitas utama. Setelah memilih pengguna, grup, atau peran, pilih **Lampirkan kebijakan**.
## Membuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon
Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan DataZone agar Amazon dapat membuat peran yang diperlukan di konsol AWS manajemen atas nama Anda.
**catatan**
[Untuk informasi praktik terbaik tentang mengonfigurasi izin agar memungkinkan pembuatan peran layanan, lihat https://docs.aws.amazon.com/IAM/ latest/UserGuide/id \$1roles\$1create\$1for-service.html.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
1. Masuk ke AWS Management Console dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** atau **Grup pengguna**.
1. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.
1. Pilih tab **Izin** dan, jika diperlukan, perluas bagian **Kebijakan izin**.
1. Pilih **Tambahkan izin** dan **Buat tautan kebijakan sebaris**.
1. Di layar **Buat Kebijakan**, di bagian **Editor kebijakan**, pilih **JSON**.
Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih **Berikutnya**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
}
]
}
```
------
1. Pada layar **Kebijakan peninjauan**, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih **Buat kebijakan**. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.
## Membuat kebijakan khusus untuk izin mengelola akun yang terkait dengan domain Amazon DataZone
Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan di AWS akun terkait untuk membuat daftar, menerima, dan menolak pembagian sumber daya domain, lalu mengaktifkan, mengonfigurasi, dan menonaktifkan cetak biru lingkungan di akun terkait. Untuk mengaktifkan pembuatan peran disederhanakan konsol DataZone layanan Amazon opsional yang tersedia selama konfigurasi cetak biru, Anda juga harus melakukannya. [Membuat kebijakan khusus untuk izin IAM untuk mengaktifkan pembuatan peran yang disederhanakan konsol DataZone layanan Amazon](#create-custom-to-manage-EZCRZ)
**catatan**
[Untuk informasi praktik terbaik tentang mengonfigurasi izin agar memungkinkan pembuatan peran layanan, lihat https://docs.aws.amazon.com/IAM/ latest/UserGuide/id \$1roles\$1create\$1for-service.html.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)
1. Masuk ke AWS Management Console dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** atau **Grup pengguna**.
1. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.
1. Pilih tab **Izin** dan, jika diperlukan, perluas bagian **Kebijakan izin**.
1. Pilih **Tambahkan izin** dan **Buat tautan kebijakan sebaris**.
1. Di layar **Buat Kebijakan**, di bagian **Editor kebijakan**, pilih **JSON**. Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih **Berikutnya**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:ListEnvironmentBlueprintConfigurations",
"datazone:PutEnvironmentBlueprintConfiguration",
"datazone:GetDomain",
"datazone:ListDomains",
"datazone:GetEnvironmentBlueprintConfiguration",
"datazone:ListEnvironmentBlueprints",
"datazone:GetEnvironmentBlueprint",
"datazone:ListAccountEnvironments",
"datazone:DeleteEnvironmentBlueprintConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AmazonDataZone",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
],
"Condition": {
"StringEquals": {
"iam:passedToService": "datazone.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonDataZone*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonDataZone*",
"arn:aws:iam::*:policy/service-role/AmazonDataZone*"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonDataZone*",
"arn:aws:iam::*:role/service-role/AmazonDataZone*"
]
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::amazon-datazone*"
}
]
}
```
------
1. Pada layar **Kebijakan peninjauan**, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih **Buat kebijakan**. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.
## (Opsional) Buat kebijakan khusus untuk izin Pusat AWS Identitas untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon DataZone
Selesaikan prosedur berikut untuk membuat kebijakan sebaris khusus agar memiliki izin yang diperlukan untuk menambah dan menghapus akses pengguna SSO dan grup SSO ke domain Amazon Anda. DataZone
1. Masuk ke AWS Management Console dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Pengguna** atau **Grup pengguna**.
1. Dalam daftar, pilih nama pengguna atau grup untuk menyematkan kebijakan.
1. Pilih tab **Izin** dan, jika diperlukan, perluas bagian **Kebijakan izin**.
1. Pilih **Tambahkan izin** dan **Buat kebijakan sebaris**.
1. Di layar **Buat Kebijakan**, di bagian **Editor kebijakan**, pilih **JSON**.
Buat dokumen kebijakan dengan pernyataan JSON berikut, lalu pilih **Berikutnya**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso:GetProfile"
],
"Resource": "*"
}
]
}
```
------
1. Pada layar **Kebijakan peninjauan**, masukkan nama untuk kebijakan tersebut. Jika Anda puas dengan kebijakan ini, pilih **Buat kebijakan**. Pastikan bahwa tidak ada kesalahan yang muncul di kotak merah yang ada di bagian atas layar. Perbaiki apapun yang dilaporkan.
## (Opsional) Tambahkan prinsipal IAM Anda sebagai pengguna utama untuk membuat DataZone domain Amazon Anda dengan kunci yang dikelola pelanggan dari Key Management Service ( AWS KMS)
Sebelum Anda dapat membuat DataZone domain Amazon secara opsional dengan kunci yang dikelola pelanggan (CMK) dari Layanan Manajemen AWS Kunci (KMS), selesaikan prosedur berikut untuk menjadikan prinsipal IAM Anda sebagai pengguna kunci KMS Anda.
1. Masuk ke Konsol AWS Manajemen dan buka konsol KMS di [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/).
1. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih **CMK**.
1. Dalam daftar kunci KMS, pilih alias atau ID kunci dari kunci KMS yang ingin Anda periksa.
1. Untuk menambah atau menghapus pengguna kunci, dan untuk mengizinkan atau melarang AWS akun eksternal menggunakan kunci KMS, gunakan kontrol di bagian **Pengguna kunci** halaman. Pengguna kunci dapat menggunakan kunci KMS dalam operasi kriptografi, seperti mengenkripsi, mendekripsi, mengenkripsi ulang, dan menghasilkan kunci data.