本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon DataZone 域单位内的用户和群组分配授权策略
<a name="assign-authorization-policies-to-users-in-domain-unit"></a>

在 Amazon 中 DataZone，域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息，请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。

在 Amazon DataZone 域单元中，您可以将以下授权策略分配给您的用户和群组，以授予他们在该域单位内的各种授权权限：
+ 域单元创建策略
+ 项目创建策略
+ 项目成员资格策略
+ 域单元所有权代入策略
+ 项目所有权代入策略

要向域单元中的用户和组分配授权策略，请完成以下过程：

1. 导航至 Amazon DataZone 数据门户 URL，然后使用单点登录 (SSO) 或凭证登录 AWS 。如果您是亚马逊 DataZone 管理员，则可以通过 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 导航到亚马逊 DataZone 控制台，使用域名创建 AWS 账户 地登录，然后选择**打开**数据门户。

1. 选择**查看域**，然后选择要为其分配授权策略的域和域单元。

1. 在域单元详细信息页面上，选择要分配给的授权策略， users/groups 然后选择**添加用户**。

1. 在**添加用户**弹出窗口中，执行下列操作之一：
   + 选择**选定的用户和组**，指定要向其分配所选授权策略的用户和组，然后选择**添加用户**。
   + 选择**所有用户**，然后选择**添加用户**。
   + 选择**所有组**，然后选择**添加用户**。

1. 您也可以为选定用户启用或禁用所选授权策略的级联权限。为此，请选择要为其启用级联权限的用户，再展开**操作**，然后选择**将级联权限设置为 true**。选定用户将在此域单元下的所有子域单元中拥有该策略授予的权限。也可以选择要为其禁用级联权限的用户，再展开**操作**，然后选择**将级联权限设置为 false**。

# Amazon 域单元层次结构中的项目成员资格政策 DataZone
<a name="projectmembershippolicy"></a>

项目成员资格策略定义有资格作为成员被添加到域单元中的项目的人员或组。本主题描述了策略对分层结构中的单个和多个域单元产生的影响的场景。

请务必注意本主题中使用的几个概念：
+ 成员资格池 – 通过项目成员资格策略向其授予访问权限的主体（用户或组），被视为在项目成员资格池中。例如，如果将域单元 DU1 策略授予用户 U1 和 U2 以及单点登录 (SSO) 组 G1，则其项目成员资格池 DU1 将包括 \$1U1、U2、G1\$1。
+ 级联 – 能够将授权向下传递给通过域单元层次结构连接的所有子域单元。
+ 授权 – 用户或组执行操作所需的权限。

**场景 1** – 任何用户或组均可添加到域单元 1 下的项目中，因为成员资格池包含 \$1All Users/Groups\$1。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario1.png)


**场景 2** – 用户 \$1U1, G1\$1 可添加到域单元 2 下的项目中，因为他们在域单元 2 下的成员资格池中。用户 \$1U3, G2\$1 无法添加到任何项目中，因为他们不在成员资格池中。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario2.png)


**场景 3** – 成员资格池的交集：如果存在具有不同的域单元层次结构级别的成员资格池，则只能将位于所有成员资格池中的用户和组添加到项目中。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario3.png)

+ 两个成员资格池中的用户交集为 \$1U1, U2, G1\$1。
+ 用户 \$1U1, U2, G1\$1 可添加到域单元 3 下的项目中。
+ 即使所有用户和所有组位于根域单元级别的成员资格池中，也无法将用户 \$1U3, G2\$1 添加到域单元 3 下的项目中。

**场景 4** – 成员资格池的交集：如果存在具有不同的域单元层次结构级别的成员资格池，则只能将位于所有成员资格池中的用户和组添加到项目中。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario4.png)

+ 两个成员资格池中的用户交集为 \$1U1, U2, G1\$1。
+ 域单元 4 的成员资格池为 \$1All Users / Groups\$1，但成员资格池不能扩展到根域 \$1U1, U2, G1\$1 的成员资格池之外。
+ 即使所有用户和所有组位于域单元 4 的成员资格池中，也无法将用户 \$1U3, G2\$1 添加到域单元 4 下的项目中。

**场景 5** – 用户 \$1U1, G1\$1 可添加到项目 5 中，因为他们在根域和域单元 5 之间的成员资格池交集中。由于三个成员池的交叉点为空，因此 user/group 无法向 Project 6 中添加。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario5.png)


**场景 6** – 所有三个成员资格池的交集意味着仅用户 \$1U1\$1 可添加到项目 8 中。域单元 8 的交集是 \$1U1\$1、\$1U1\$1、\$1U1, U2\$1 – 仅 \$1U1\$1 同时位于三个池中。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario6.png)


**场景 7** – 用户 \$1U1, U2, G1\$1 可添加到根域的项目中，因为他们在根域的成员资格池中。任何用户或组都可添加到域单元 9 下的项目中，因为成员资格池包含 \$1All Users/Groups\$1，并且其上方的根域中的级联已设置为 false。

![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario7.png)