翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS 管理ポリシー: AmazonDataZoneFullAccess
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess"></a>

`AmazonDataZoneFullAccess` ポリシーを IAM アイデンティティにアタッチできます。

このポリシーは、 AWS マネジメントコンソール経由で Amazon DataZone へのフルアクセスを提供します。このポリシーには、暗号化された AWS SSM パラメータの KMS に対するアクセス許可もあります。SSM パラメータの復号を可能にするには、KMS キーに EnableKeyForAmazonDataZone のタグを付ける必要があります。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `datazone` – プリンシパルに、 AWS マネジメントコンソール経由で Amazon DataZone へのフルアクセスを付与します。
+ `kms` — プリンシパルにエイリアスの一覧表示、キーの記述、キーの復号を許可します。
+ `s3` – プリンシパルに、Amazon DataZone データを保存するために、既存の S3 バケットの選択および新規作成を許可します。
+ `ram` – プリンシパルに、 AWS アカウント経由での Amazon DataZone ドメインの共有を許可します。
+ `iam` — プリンシパルに、ロールの一覧表示とパス (渡すこと)、およびポリシーの取得を許可します。
+ `sso` – プリンシパルに、 AWS IAM アイデンティティセンター が有効化されているリージョンの取得を許可します。
+ `secretsmanager` – プリンシパルに、特定のプレフィックスが追加されたシークレットの作成、タグ付け、一覧表示を許可します。
+ `aoss` – プリンシパルに OpenSearch Serverless セキュリティポリシーの情報の作成および取得を許可します。
+ `bedrock` – プリンシパルに、推論プロファイルと基盤モデルの情報の作成、一覧表示、取得を許可します。
+ `codeconnections` – プリンシパルに、接続の削除、情報の取得、接続の一覧表示、タグの管理を許可します。
+ `codewhisperer` – プリンシパルに CodeWhisperer プロファイルの一覧表示を許可します。
+ `ssm` – プリンシパルにパラメータの情報の入力、削除、取得を許可します。
+ `redshift` – プリンシパルにクラスターの記述、サーバーレスワークグループの一覧表示を許可します。
+ `glue` – プリンシパルにデータベースの取得を許可します。

このポリシーの許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html)」を参照してください。

## ポリシーの考慮事項と制限事項
<a name="security-iam-awsmanpol-AmazonDataZoneFullAccess-limitations"></a>

`AmazonDataZoneFullAccess` ポリシーの範囲に含まれない特定の機能があります。
+ 独自の AWS KMS キーを使用して Amazon DataZone ドメインを作成する場合、ドメインの作成を成功させる`kms:CreateGrant`には に対するアクセス許可が必要です。そのキーが `listDataSources`や などの他の Amazon DataZone APIsを呼び出す`kms:GenerateDataKey``kms:Decrypt`には に対するアクセス許可が必要です`createDataSource`。また、そのキーのリソースポリシーの `kms:CreateGrant`、`kms:Decrypt`、`kms:GenerateDataKey`、`kms:DescribeKey` へのアクセス許可も必要です。

   これは、デフォルトのサービス所有の KMS キーを使用する場合は必要ありません。

   詳細については、「[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」を参照してください。
+ Amazon DataZone コンソールで*作成*および*更新*ロール機能を使用する場合は、管理者権限か、IAM ロールの作成とポリシーの作成/更新に必要な IAM アクセス許可が必要です。必要なアクセス許可には、`iam:CreateRole`、`iam:CreatePolicy`、`iam:CreatePolicyVersion`、`iam:DeletePolicyVersion`、`iam:AttachRolePolicy` へのアクセス許可が含まれます。
+  AWS IAM アイデンティティセンター ユーザーログインを有効にして Amazon DataZone で新しいドメインを作成する場合、または Amazon DataZone の既存のドメインに対してドメインをアクティブ化する場合は、次のアクセス許可が必要です。
  + organizations:DescribeOrganization
  + organizations:ListDelegatedAdministrators
  + sso:CreateInstance
  + sso:ListInstances
  + sso:GetSharedSsoConfiguration
  + sso:PutApplicationGrant
  + sso:PutApplicationAssignmentConfiguration
  + sso:PutApplicationAuthenticationMethod
  + sso:PutApplicationAccessScope
  + sso:CreateApplication
  + sso:DeleteApplication
  + sso:CreateApplicationAssignment
  + sso:DeleteApplicationAssignment
  + sso-directory:CreateUser
  + sso-directory:SearchUsers
  + sso:ListApplications
+ Amazon DataZone で AWS アカウント関連付けリクエストを受け入れるには、 アクセス`ram:AcceptResourceShareInvitation`許可が必要です。
+ SageMaker Unified Studio ネットワーク設定に必要なリソースを作成する場合は、以下に対するアクセス許可を持ち、AmazonVpcFullAccess ポリシーをアタッチする必要があります。
  + iam:PassRole
  + cloudformation:CreateStack