As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Funções do IAM para a Amazon DataZone
**Topics**
+ [AmazonDataZoneProvisioningRole-](bootstraprole.md)
+ [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)
+ [AmazonDataZoneGlueAccess- - ](glue-manage-access-role.md)
+ [AmazonDataZoneRedshiftAccess- - ](redshift-manage-access-role.md)
+ [AmazonDataZoneS3 Manage- - ](AmazonDataZoneS3Manage.md)
+ [AmazonDataZoneSageMakerManageAccessRole- - ](AmazonDataZoneSageMakerManageAccessRole.md)
+ [AmazonDataZoneSageMakerProvisioningRolePolicyRole-](AmazonDataZoneSageMakerProvisioningRolePolicyRole.md)
# AmazonDataZoneProvisioningRole-
O `AmazonDataZoneProvisioningRole-` tem o `AmazonDataZoneRedshiftGlueProvisioningPolicy` anexado. Essa função concede à Amazon DataZone as permissões necessárias para interoperar com o AWS Glue e o Amazon Redshift.
O padrão `AmazonDataZoneProvisioningRole-` tem a política de confiança a seguir anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------
# AmazonDataZoneDomainExecutionRole
**AmazonDataZoneDomainExecutionRole**Tem a política AWS gerenciada **AmazonDataZoneDomainExecutionRolePolicy**anexada. DataZone A Amazon cria essa função para você em seu nome. Para determinadas ações no portal de dados, a Amazon DataZone assume essa função na conta na qual a função foi criada e verifica se essa função está autorizada a realizar a ação.
A **AmazonDataZoneDomainExecutionRole**função é necessária no Conta da AWS que hospeda seu DataZone domínio da Amazon. Essa função é criada automaticamente para você quando você cria seu DataZone domínio na Amazon.
A **AmazonDataZoneDomainExecutionRole**função padrão tem a seguinte política de confiança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
},
"ForAllValues:StringLike": {
"aws:TagKeys": [
"datazone*"
]
}
}
}
]
}
```
------
# AmazonDataZoneGlueAccess- -
O perfil `AmazonDataZoneGlueAccess--` tem o anexo `AmazonDataZoneGlueManageAccessRolePolicy`. Essa função concede à Amazon DataZone permissões para publicar dados do AWS Glue no catálogo. Também concede à Amazon DataZone permissões para conceder acesso ou revogar o acesso aos ativos publicados do AWS Glue no catálogo.
O perfil `AmazonDataZoneGlueAccess--` padrão tem a política de confiança a seguir anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneRedshiftAccess- -
O perfil `AmazonDataZoneRedshiftAccess--` tem o anexo `AmazonDataZoneRedshiftManageAccessRolePolicy`. Essa função concede à Amazon DataZone permissões para publicar dados do Amazon Redshift no catálogo. Também concede à Amazon DataZone permissões para conceder acesso ou revogar o acesso aos ativos publicados do Amazon Redshift ou do Amazon Redshift Serverless no catálogo.
O perfil `AmazonDataZoneRedshiftAccess--` padrão tem a seguinte política de permissões em linha anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
O padrão `AmazonDataZoneRedshiftManageAccessRole` tem a política de confiança a seguir anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneS3 Manage- -
O AmazonDataZone S3Manage- - é usado quando a Amazon DataZone chama o AWS Lake Formation para registrar uma localização do Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume essa função ao acessar os dados naquele local. Para obter mais informações, consulte [Requisitos para perfis usados para registrar locais](https://docs.aws.amazon.com/lake-formation/latest/dg/registration-role.html).
Esse perfil tem a política de permissões em linha a seguir anexada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListAllMyBuckets",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
},
{
"Sid": "LakeFormationExplicitDenyPermissionsForS3ListBucket",
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::[[BucketNames]]"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "{{accountId}}"
}
}
}
]
}
```
------
O AmazonDataZone S3Manage- - tem a seguinte política de confiança anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TrustLakeFormationForDataLocationRegistration",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{source_account_id}}"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerManageAccessRole- -
O perfil `AmazonDataZoneSageMakerManageAccessRole` tem o `AmazonDataZoneSageMakerAccess`, o `AmazonDataZoneRedshiftManageAccessRolePolicy`, e o `AmazonDataZoneGlueManageAccessRolePolicy` anexados. Essa função concede à Amazon DataZone permissões para publicar e gerenciar assinaturas de data lake, data warehouse e ativos do Amazon Sagemaker.
O perfil `AmazonDataZoneSageMakerManageAccessRole` tem as seguintes políticas em linha anexadas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid": "RedshiftSecretStatement",
"Effect":"Allow",
"Action":"secretsmanager:GetSecretValue",
"Resource":"*",
"Condition":{
"StringEquals":{
"secretsmanager:ResourceTag/AmazonDataZoneDomain":"{{domainId}}"
}
}
}
]
}
```
------
O perfil `AmazonDataZoneSageMakerManageAccessRole` tem a seguinte política de confiança anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DatazoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": ["datazone.amazonaws.com",
"sagemaker.amazonaws.com"]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:datazone:us-east-1:111122223333:domain/dzd-12345"
}
}
}
]
}
```
------
# AmazonDataZoneSageMakerProvisioningRolePolicyRole-
O perfil `AmazonDataZoneSageMakerProvisioningRolePolicyRole` tem o `AmazonDataZoneSageMakerProvisioningRolePolicy` e a `AmazonDataZoneRedshiftGlueProvisioningPolicy` anexados. Essa função concede à Amazon DataZone as permissões necessárias para interoperar com o AWS Glue, o Amazon Redshift e o Amazon Sagemaker.
O perfil `AmazonDataZoneSageMakerProvisioningRolePolicyRole` tem as seguintes políticas em linha anexadas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerStudioTagOnCreate",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:111122223333:*/*",
"Condition": {
"Null": {
"sagemaker:TaggingAction": "false"
}
}
}
]
}
```
------
O perfil `AmazonDataZoneSageMakerProvisioningRolePolicyRole` tem a seguinte política de confiança anexada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataZoneTrustPolicyStatement",
"Effect": "Allow",
"Principal": {
"Service": "datazone.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{domain_account}}"
}
}
}
]
}
```
------