As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS política gerenciada: AmazonDataZoneFullAccess
É possível anexar a política `AmazonDataZoneFullAccess` às suas identidades do IAM.
Esta política fornece acesso total à Amazon DataZone por meio do Console de gerenciamento da AWS. Essa política também tem permissões para o AWS KMS para parâmetros SSM criptografados. A chave KMS deve ser marcada com EnableKeyForAmazonDataZone para permitir a descriptografia dos parâmetros do SSM.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `datazone`— concede aos diretores acesso total à Amazon DataZone por meio do Console de gerenciamento da AWS.
+ `kms`: permite que as entidades principais listem aliases, descrevam chaves e descriptografem chaves.
+ `s3`— Permite que os diretores escolham buckets S3 existentes ou criem novos para armazenar dados da Amazon. DataZone
+ `ram`— Permite que os diretores compartilhem DataZone domínios da Amazon entre. Contas da AWS
+ `iam`: permite que as entidades principais passem perfis e obtenham políticas.
+ `sso`: permite que as entidades principais obtenham as regiões em que o Centro de Identidade do AWS IAM está habilitado.
+ `secretsmanager`: permite que as entidades principais criem, marquem e listem os segredos com um prefixo específico.
+ `aoss`— permite que os diretores criem e recuperem informações para políticas de segurança OpenSearch sem servidor.
+ `bedrock`: permite que as entidades principais criem, listem e recuperem informações para perfis de inferência e modelos básicos.
+ `codeconnections`: permite que as entidades principais excluam, recuperem informações, listem conexões e gerenciem tags para conexões.
+ `codewhisperer`— Permite que os diretores listem CodeWhisperer perfis.
+ `ssm`: permite que as entidades principais coloquem, excluam e recuperem informações para os parâmetros.
+ `redshift`: permite que as entidades principais descrevam clusters e listem grupos de trabalho sem servidor
+ `glue`: permite que as entidades principais obtenham bancos de dados.
Para visualizar as permissões para esta política, consulte [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## Considerações e limitações da política
Há certas funcionalidades que a política `AmazonDataZoneFullAccess` não cobre.
+ Se você criar um DataZone domínio da Amazon com sua própria AWS KMS chave, deverá ter as permissões `kms:CreateGrant` para que a criação do domínio seja bem-sucedida e `kms:Decrypt` para `kms:GenerateDataKey` que essa chave invoque outras DataZone APIs da Amazon, como e. `listDataSources` `createDataSource` E você também deve ter as permissões para `kms:CreateGrant`, `kms:Decrypt`, `kms:GenerateDataKey` e `kms:DescribeKey` na política de recursos dessa chave.
Se você usar a chave do KMS padrão de propriedade do serviço, isso não será necessário.
Para obter mais informações, consulte [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
+ Se você quiser usar as funcionalidades de *criação* e *atualização* de funções no DataZone console da Amazon, você deve ter privilégios de administrador ou ter as permissões necessárias do IAM para criar funções e create/update políticas do IAM. As permissões necessárias incluem as permissões `iam:CreateRole`, `iam:CreatePolicy`, `iam:CreatePolicyVersion`, `iam:DeletePolicyVersion` e `iam:AttachRolePolicy`.
+ Se você criar um novo domínio na Amazon DataZone com o login de Centro de Identidade do AWS IAM usuário ativado, ou se você ativá-lo para um domínio existente na Amazon DataZone, você deve ter permissões para o seguinte:
+ organizações: DescribeOrganization
+ organizações: ListDelegatedAdministrators
+ então: CreateInstance
+ então: ListInstances
+ então: GetSharedSsoConfiguration
+ então: PutApplicationGrant
+ então: PutApplicationAssignmentConfiguration
+ então: PutApplicationAuthenticationMethod
+ então: PutApplicationAccessScope
+ então: CreateApplication
+ então: DeleteApplication
+ então: CreateApplicationAssignment
+ então: DeleteApplicationAssignment
+ diretório sso: CreateUser
+ diretório sso: SearchUsers
+ então: ListApplications
+ Para aceitar uma solicitação de associação de AWS conta na Amazon DataZone, você deve ter a `ram:AcceptResourceShareInvitation` permissão.
+ Se você quiser criar o recurso necessário para a configuração de rede do SageMaker Unified Studio, você deve ter permissões para o seguinte e anexar a AmazonVpcFullAccess política:
+ objetivo: PassRole
+ formação de nuvens: CreateStack