Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran IAM untuk Amazon DataZone
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess- - ](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess- - ](redshift-manage-access-role.md)
+ [AmazonDataZoneS3Kelola- - ](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole- - ](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
`AmazonDataZoneProvisioningRole-`Memiliki yang `AmazonDataZoneRedshiftGlueProvisioningPolicy` terlampir. Peran ini memberi Amazon izin DataZone yang diperlukan untuk berinteraksi dengan AWS Glue dan Amazon Redshift.
Default `AmazonDataZoneProvisioningRole-` memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
**AmazonDataZoneDomainExecutionRole**Memiliki kebijakan AWS terkelola **AmazonDataZoneDomainExecutionRolePolicy**terlampir. Amazon DataZone menciptakan peran ini untuk Anda atas nama Anda. Untuk tindakan tertentu di portal data, Amazon DataZone mengasumsikan peran ini dalam akun tempat peran dibuat dan memeriksa apakah peran ini diizinkan untuk melakukan tindakan.
**AmazonDataZoneDomainExecutionRole**Peran diperlukan dalam Akun AWS yang meng-host DataZone domain Amazon Anda. Peran ini secara otomatis dibuat untuk Anda saat Anda membuat DataZone domain Amazon Anda.
**AmazonDataZoneDomainExecutionRole**Peran default memiliki kebijakan kepercayaan berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess- -
`AmazonDataZoneGlueAccess--`Peran memiliki `AmazonDataZoneGlueManageAccessRolePolicy` terlampir. Peran ini memberikan DataZone izin Amazon untuk mempublikasikan data AWS Glue ke katalog. Ini juga memberikan DataZone izin Amazon untuk memberikan akses atau mencabut akses ke aset yang diterbitkan AWS Glue di katalog.
`AmazonDataZoneGlueAccess--`Peran default memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess- -
`AmazonDataZoneRedshiftAccess--`Peran memiliki `AmazonDataZoneRedshiftManageAccessRolePolicy` terlampir. Peran ini memberikan DataZone izin Amazon untuk mempublikasikan data Amazon Redshift ke katalog. Ini juga memberikan DataZone izin Amazon untuk memberikan akses atau mencabut akses ke Amazon Redshift atau Amazon Redshift Serverless aset yang diterbitkan dalam katalog.
`AmazonDataZoneRedshiftAccess--`Peran default memiliki kebijakan izin inline berikut dilampirkan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
Default `AmazonDataZoneRedshiftManageAccessRole` memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneS3Kelola- -
AmazonDataZoneS3Manage- - digunakan saat Amazon DataZone memanggil AWS Lake Formation untuk mendaftarkan lokasi Amazon Simple Storage Service (Amazon S3). AWS Lake Formation mengambil peran ini ketika mengakses data di lokasi itu. Untuk informasi selengkapnya, lihat [Persyaratan untuk peran yang digunakan untuk mendaftarkan lokasi](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html).
Peran ini memiliki kebijakan izin sebaris berikut yang dilampirkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
AmazonDataZoneS3Manage- - memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole- -
`AmazonDataZoneSageMakerManageAccessRole`Peran memiliki`AmazonDataZoneSageMakerAccess`, yang`AmazonDataZoneRedshiftManageAccessRolePolicy`, dan `AmazonDataZoneGlueManageAccessRolePolicy` terlampir. Peran ini memberikan DataZone izin Amazon untuk menerbitkan dan mengelola langganan untuk data lake, gudang data, dan aset Amazon Sagemaker.
`AmazonDataZoneSageMakerManageAccessRole`Peran tersebut memiliki kebijakan inline berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
`AmazonDataZoneSageMakerManageAccessRole`Peran tersebut memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
`AmazonDataZoneSageMakerProvisioningRolePolicyRole`Peran memiliki `AmazonDataZoneSageMakerProvisioningRolePolicy` dan `AmazonDataZoneRedshiftGlueProvisioningPolicy` terlampir. Peran ini memberikan DataZone izin Amazon yang diperlukan untuk berinteraksi dengan AWS Glue, Amazon Redshift, dan Amazon Sagemaker.
`AmazonDataZoneSageMakerProvisioningRolePolicyRole`Peran tersebut memiliki kebijakan inline berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
`AmazonDataZoneSageMakerProvisioningRolePolicyRole`Peran tersebut memiliki kebijakan kepercayaan berikut terlampir:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------