翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DataZone ドメインユニット内のユーザーとグループに認可ポリシーを割り当てる
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
Amazon DataZone ドメインユニットでは、ユーザーとグループに次の認可ポリシーを割り当てて、このドメインユニット内のさまざまな許可権限を付与できます。
+ ドメインユニット作成ポリシー
+ プロジェクト作成ポリシー
+ プロジェクトメンバーシップポリシー
+ ドメインユニット所有権引き受けポリシー
+ プロジェクト所有権引き受けポリシー
ドメインユニット内のユーザーとグループに認可ポリシーを割り当てるには、以下の手順を実行します。
1. Amazon DataZone データポータル URL に移動し、シングルサインオン (SSO) または AWS 認証情報を使用してサインインします。Amazon DataZone 管理者の場合は、[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、ドメインが作成された AWS アカウント でサインインすると、**[データポータルを開く]** を選択できます。
1. **[ドメインを表示]** を選択し、認可ポリシーを割り当てるドメインとドメインユニットを選択します。
1. ドメインユニットの詳細ページで、ユーザー/グループに割り当てる認可ポリシーを選択し、**[ユーザーを追加]** を選択します。
1. **[ユーザーを追加]** ポップアップウィンドウで、次のいずれかを実行します。
+ **[選択したユーザーとグループ]** を選択し、選択した認可ポリシーを割り当てるユーザーとグループを指定して **[ユーザーを追加]** を選択します。
+ **[すべてのユーザー]** を選択し、**[ユーザーを追加]** を選択します。
+ **[すべてのグループ]** を選択し、**[ユーザーを追加]** を選択します。
1. 選択したユーザーに選択した認可ポリシーのカスケード権限を有効または無効にすることもできます。これを行うには、カスケード権限を有効にするユーザーを選択し、**[アクション]** を展開してから **[カスケード権限を true に設定]** を選択します。選択したユーザーには、このドメインユニットの管理下にあるすべての子ドメインユニットでこのポリシーによって付与されたアクセス許可が設定されます。または、カスケード権限を無効にするユーザーを選択し、**[アクション]** を展開して **[カスケード権限を false に設定]** を選択します。
# Amazon DataZone のドメインユニットの階層におけるプロジェクトメンバーシップポリシー
プロジェクトメンバーシップポリシーは、ドメインユニット内のプロジェクトにメンバーとして追加できる個人またはグループを定義します。このトピックでは、個別のドメインユニットおよび階層構造におけるドメインユニットに関するポリシーの影響のシナリオについて説明します。
このトピックで使用されるいくつかの概念に注意してください。
+ メンバーシッププール - プロジェクトメンバーシップポリシーを通じてアクセスが付与されたプリンシパル (ユーザーまたはグループ) は、プロジェクトメンバーシッププールの一部とみなされます。例えば、ドメインユニット DU1 のポリシーがユーザー U1 と U2、およびシングルサインオン (SSO) グループ G1 に付与されている場合、DU1 のプロジェクトメンバーシッププールは \$1U1、U2、G1\$1 で構成されます。
+ カスケード - ドメインユニット階層を介して接続されたすべての子ドメインユニットに付与を継承する機能。
+ 付与 - ユーザーまたはグループがアクションを実行するためのアクセス許可。
**シナリオ 1** - メンバーシッププールは \$1すべてのユーザー/グループ\$1 で構成されているため、ドメインユニット 1 のプロジェクトには任意のユーザーまたはグループを追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario1.png)
**シナリオ 2** - ユーザー \$1U1、G1\$1 はドメインユニット 2 のメンバーシッププールの一部であるため、ドメインユニット 2 のプロジェクトに追加できます。ユーザー \$1U3、G2\$1 はメンバーシッププールに含まれていないため、プロジェクトに追加できません。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario2.png)
**シナリオ 3** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario3.png)
+ 両方のメンバーシッププールにまたがるユーザーの交差は \$1U1、U2、G1\$1 です。
+ ユーザー \$1U1、U2、G1\$1 は、ドメインユニット 3 のプロジェクトに追加できます。
+ ユーザー \$1U3、G2\$1 は、[すべてのユーザー] と [すべてのグループ] がルートドメインユニットレベルのメンバーシッププールに含まれる場合でも、ドメインユニット 3 のプロジェクトには追加できません。
**シナリオ 4** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario4.png)
+ 両方のメンバーシッププールにまたがるユーザーの交差は \$1U1、U2、G1\$1 です。
+ ドメインユニット 4 のメンバーシッププールは \$1すべてのユーザー / グループ\$1 ですが、メンバーシッププールはルートドメイン \$1U1、U2、G1\$1 のメンバーシッププールを超えて拡張することはできません。
+ ユーザー \$1U3、G2\$1 は、[すべてのユーザー] と [すべてのグループ] がドメインユニット 4 のメンバーシッププールに含まれる場合でも、ドメインユニット 4 のプロジェクトには追加できません。
**シナリオ 5** - ユーザー \$1U1、G1\$1 は、ルートドメインとドメインユニット 5 の間のメンバーシッププールの交差部分に含まれるためプロジェクト 5 に追加できます。3 つのメンバーシッププールの交差が空であるため、プロジェクト 6 にユーザー/グループを追加することはできません。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario5.png)
**シナリオ 6** - 3 つのメンバーシッププールすべてにまたがって交差しているため、ユーザー \$1U1\$1 のみをプロジェクト 8 に追加できることを意味します。ドメインユニット 8 の交差しているプールは \$1U1\$1、\$1U1\$1、\$1U1、U2\$1 で、この 3 つの間で共通しているのは \$1U1\$1 のみです。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario6.png)
**シナリオ 7** - ユーザー \$1U1、U2、G1\$1 は、ルートドメインのメンバーシッププールの一部としてルートドメインのプロジェクトに追加できます。メンバーシッププールが \$1すべてのユーザー/グループ\$1 で構成されているため、ドメインユニット 9 のプロジェクトには、任意のユーザーも任意のグループも追加できます。これは、その上のルートドメインにおいてカスケードが false に設定されているためです。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario7.png)