Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS politica gestita: AmazonDataZoneFullAccess
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess"></a>

È possibile allegare la policy `AmazonDataZoneFullAccess` alle identità IAM.

Questa politica fornisce l'accesso completo ad Amazon DataZone tramite Console di gestione AWS. Questa politica prevede anche le autorizzazioni per AWS KMS per i parametri SSM crittografati. La chiave KMS deve essere contrassegnata con EnableKeyForAmazonDataZone per consentire la decrittografia dei parametri SSM.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ `datazone`— garantisce ai mandanti l'accesso completo ad Amazon DataZone tramite. Console di gestione AWS
+ `kms`— Consente ai responsabili di elencare gli alias, descrivere le chiavi e decrittografare le chiavi.
+ `s3`— Consente ai responsabili di scegliere i bucket S3 esistenti o di creare nuovi per archiviare i dati Amazon. DataZone 
+ `ram`— Consente ai mandanti di condividere i DataZone domini Amazon tra. Account AWS
+ `iam`— Consente ai dirigenti di elencare e assegnare ruoli e ottenere politiche.
+ `sso`— Consente ai responsabili di ottenere le regioni in cui AWS IAM Identity Center è abilitato.
+ `secretsmanager`— Consente ai mandanti di creare, etichettare ed elencare segreti con un prefisso specifico.
+ `aoss`— Consente ai responsabili di creare e recuperare informazioni per OpenSearch le politiche di sicurezza Serverless.
+ `bedrock`— Consente ai responsabili di creare, elencare e recuperare informazioni per profili di inferenza e modelli di base.
+ `codeconnections`— Consente ai principali di eliminare, recuperare informazioni, elencare le connessioni e gestire i tag per le connessioni.
+ `codewhisperer`— Consente ai dirigenti di elencare i profili. CodeWhisperer 
+ `ssm`— Consente ai principali di inserire, eliminare e recuperare informazioni per i parametri.
+ `redshift`— Consente ai responsabili di descrivere i cluster ed elencare i gruppi di lavoro senza server
+ `glue`— Consente ai dirigenti di accedere ai database.

Per vedere le autorizzazioni per questa policy, consulta [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.

## Considerazioni e limitazioni relative alle politiche
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess-limitations"></a>

Ci sono alcune funzionalità che la `AmazonDataZoneFullAccess` politica non copre.
+ Se crei un DataZone dominio Amazon con la tua AWS KMS chiave, devi disporre delle autorizzazioni necessarie `kms:CreateGrant` affinché la creazione del dominio abbia successo e`kms:GenerateDataKey`, `kms:Decrypt` affinché quella chiave possa richiamare altre DataZone API Amazon come e. `listDataSources` `createDataSource` Inoltre, devi disporre delle autorizzazioni per`kms:CreateGrant`, `kms:Decrypt``kms:GenerateDataKey`, e `kms:DescribeKey` nella politica delle risorse di quella chiave.

   Se utilizzi la chiave KMS predefinita di proprietà del servizio, questa non è necessaria.

   Per ulteriori informazioni, consulta [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ Se desideri utilizzare le funzionalità di *creazione* e *aggiornamento* dei ruoli all'interno della DataZone console Amazon, devi disporre dei privilegi di amministratore o disporre delle autorizzazioni IAM necessarie per creare ruoli e politiche IAM. create/update Le autorizzazioni richieste includono`iam:CreateRole`, `iam:CreatePolicy``iam:CreatePolicyVersion`, `iam:DeletePolicyVersion` e autorizzazioni. `iam:AttachRolePolicy`
+ Se crei un nuovo dominio in Amazon DataZone con l'accesso AWS IAM Identity Center degli utenti attivato o se lo attivi per un dominio esistente in Amazon DataZone, devi disporre delle autorizzazioni per quanto segue:
  + organizzazioni: DescribeOrganization
  + organizzazioni: ListDelegatedAdministrators
  + quindi: CreateInstance
  + sso: ListInstances
  + sso: GetSharedSsoConfiguration
  + sso: PutApplicationGrant
  + sso: PutApplicationAssignmentConfiguration
  + sso: PutApplicationAuthenticationMethod
  + sso: PutApplicationAccessScope
  + sso: CreateApplication
  + sso: DeleteApplication
  + sso: CreateApplicationAssignment
  + sso: DeleteApplicationAssignment
  + cartella sso: CreateUser
  + cartella sso: SearchUsers
  + sso: ListApplications
+ Per accettare una richiesta di associazione di AWS account su Amazon DataZone, devi disporre dell'`ram:AcceptResourceShareInvitation`autorizzazione.
+ Se desideri creare la risorsa necessaria per la configurazione della rete di SageMaker Unified Studio, devi disporre delle autorizzazioni per la seguente politica e allegareAmazonVpcFullAccess :
  + Io sono: PassRole
  + formazione di nuvole: CreateStack