기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon DataZone의 IAM 역할
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess--](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess--](redshift-manage-access-role.md)
+ [AmazonDataZoneS3Manage--](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole--](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
`AmazonDataZoneProvisioningRole-`에는 `AmazonDataZoneRedshiftGlueProvisioningPolicy`가 연결되어 있습니다. 이 역할은 AWS Glue 및 Amazon Redshift와 상호 운용하는 데 필요한 권한을 Amazon DataZone에 부여합니다.
기본 `AmazonDataZoneProvisioningRole-`에는 다음과 같은 신뢰 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
**AmazonDataZoneDomainExecutionRole**에는 AWS 관리형 정책 **AmazonDataZoneDomainExecutionRolePolicy**가 연결되어 있습니다. Amazon DataZone은 사용자를 대신하여 이 역할을 생성합니다. 데이터 포털의 특정 작업의 경우 Amazon DataZone은 역할이 생성된 계정에서 이 역할을 수임하고 이 역할이 작업을 수행할 권한이 있는지 확인합니다.
**AmazonDataZoneDomainExecutionRole** Amazon DataZone 도메인을 호스팅하는 AWS 계정 에 있는 역할이 필요합니다. 이 역할은 Amazon DataZone 도메인을 생성할 때 자동으로 생성됩니다.
기본 **AmazonDataZoneDomainExecutionRole** 역할에는 다음과 같은 신뢰 정책이 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess--
`AmazonDataZoneGlueAccess--` 역할에는 `AmazonDataZoneGlueManageAccessRolePolicy`가 연결되어 있습니다. 이 역할은 AWS Glue 데이터를 카탈로그에 게시할 수 있는 권한을 Amazon DataZone에 부여합니다. 또한 Amazon DataZone에 카탈로그에 게시된 AWS Glue 자산에 대한 액세스 권한을 부여하거나 액세스 권한을 취소할 수 있는 권한을 부여합니다.
기본 `AmazonDataZoneGlueAccess--` 역할에는 다음과 같은 신뢰 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess--
`AmazonDataZoneRedshiftAccess--` 역할에는 `AmazonDataZoneRedshiftManageAccessRolePolicy`가 연결되어 있습니다. 이 역할은 Amazon DataZone에 Amazon Redshift 데이터를 카탈로그에 게시할 수 있는 권한을 부여합니다. 또한 카탈로그에 있는 Amazon Redshift 또는 Amazon Redshift Serverless에 게시된 자산에 대한 액세스 권한을 부여하거나 액세스 권한을 취소할 수 있는 권한을 Amazon DataZone에 부여합니다.
기본 `AmazonDataZoneRedshiftAccess--` 역할에는 다음과 같은 인라인 권한 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
기본 `AmazonDataZoneRedshiftManageAccessRole`에는 다음과 같은 신뢰 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneS3Manage--
AmazonDataZoneS3Manage--는 Amazon DataZone이 AWS Lake Formation을 호출하여 Amazon Simple Storage Service(Amazon S3) 위치를 등록할 때 사용됩니다. AWS Lake Formation은 해당 위치의 데이터에 액세스할 때이 역할을 수임합니다. 자세한 내용은 [위치를 등록하는 데 사용되는 역할에 대한 요구 사항](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html)을 참조하세요.
이 역할에는 다음과 같은 인라인 권한 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
AmazonDataZoneS3Manage--에는 다음과 같은 신뢰 정책이 연결되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole--
`AmazonDataZoneSageMakerManageAccessRole` 역할에는 `AmazonDataZoneSageMakerAccess`, `AmazonDataZoneRedshiftManageAccessRolePolicy` 및 `AmazonDataZoneGlueManageAccessRolePolicy`가 연결되어 있습니다. 이 역할은 데이터 레이크, 데이터 웨어하우스 및 Amazon Sagemaker 자산에 대한 구독을 게시하고 관리할 수 있는 권한을 Amazon DataZone에 부여합니다.
`AmazonDataZoneSageMakerManageAccessRole` 역할에 다음 인라인 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
`AmazonDataZoneSageMakerManageAccessRole` 역할에 다음 신뢰 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
`AmazonDataZoneSageMakerProvisioningRolePolicyRole` 역할에는 `AmazonDataZoneSageMakerProvisioningRolePolicy` 및 `AmazonDataZoneRedshiftGlueProvisioningPolicy`가 연결되어 있습니다. 이 역할은 AWS Glue, Amazon Redshift 및 Amazon Sagemaker와 상호 운용하는 데 필요한 권한을 Amazon DataZone에 부여합니다.
`AmazonDataZoneSageMakerProvisioningRolePolicyRole` 역할에 다음 인라인 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
`AmazonDataZoneSageMakerProvisioningRolePolicyRole` 역할에 다음 신뢰 정책을 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------