本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置使用亚马逊 DataZone 数据门户所需的 IAM 权限
Amazon DataZone 数据门户( AWS 管理控制台外)是一个基于浏览器的 Web 应用程序,用户可以在其中以自助方式对数据进行编目、发现、管理、共享和分析。数据门户通过 IAM Identity Center 使用 IAM 证书或身份提供商提供的现有证书对用户进行 AWS 身份验证。
要为想要使用亚马逊 DataZone 数据门户或目录的任何用户、群组或角色配置所需的权限,您必须完成以下步骤:
**Topics**
+ [将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户](#data-portal-permissions-portal)
+ [向用户、群组或角色附加访问亚马逊 DataZone 目录所需的策略](#data-portal-permissions-catalog)
+ [如果您的域名使用密钥管理服务 (KMS) 的客户管理密钥加密,则将可选策略附加到 AWS 用户、群组或角色以访问亚马逊 DataZone 数据门户或目录](#data-portal-permissions-kms)
## 将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户
您可以使用 AWS 凭证或单点登录 (SSO) 凭证访问亚马逊 DataZone 数据门户。按照以下部分中的说明设置使用您的 AWS 凭据访问数据门户所需的权限。有关将 Amazon DataZone 与 SSO 配合使用的更多信息,请参阅[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)。
**注意**
只有您域名 AWS 账户中的 IAM 委托人才能访问该域的数据门户。来自其他 AWS 账户的 IAM 委托人无法访问该域的数据门户。
完成以下过程以将所需的策略附加到用户、组或角色。有关更多信息,请参阅 [AWS Amazon 的托管政策 DataZone](security-iam-awsmanpol.md)。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**、“用户组”或“角色”。
1. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。
1. 选择 **Permissions (权限)** 选项卡,然后展开 **Permissions policies (权限策略)** 部分(如有必要)。
1. 选择**添加权限**,然后选择**创建内联策略**链接。
1. 在**创建策略**屏幕上的[策略编辑器]()部分中,选择 **JSON**。使用以下 JSON 语句创建策略文档,然后选择**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:GetIamPortalLoginUrl"
],
"Resource": [
"*"
]
}
]
}
```
------
1. 在**查看策略**屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 **Create policy (创建策略)**。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。
## 向用户、群组或角色附加访问亚马逊 DataZone 目录所需的策略
**注意**
只有您域名 AWS 账户中的 IAM 委托人才能访问该域的目录。来自其他 AWS 账户的 IAM 委托人无法访问该域的目录。
您可以通过以下步骤授予您的 IAM 身份通过 API 和软件开发工具包访问您的 Amazon DataZone 域名目录的权限。如果您希望这些 IAM 身份也能访问 Amazon DataZone 数据门户,请另外按照上述步骤操作[将必需的策略附加到用户、群组或角色以访问亚马逊 DataZone 数据门户](#data-portal-permissions-portal)。有关更多信息,请参阅 [AWS Amazon 的托管政策 DataZone](security-iam-awsmanpol.md)。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**策略**。
1. 在策略列表中,选择策略旁边的**AmazonDataZoneFullUserAccess**单选按钮。您可以使用 **Filter** 菜单和搜索框来筛选策略列表。有关更多信息,请参阅 [AWS 托管策略: AmazonDataZoneFullUserAccess](security-iam-awsmanpol-AmazonDataZoneFullUserAccess.md)。
1. 选择 **Actions**(操作),然后选择 **Attach**(附加)。
1. 通过选中每个主体旁边的复选框来选择要将策略附加到的用户、组或角色。您可以使用 **Filter**(筛选条件)菜单和搜索框来筛选委托人实体列表。选择用户、组或角色后,选择**附加策略**。
## 如果您的域名使用密钥管理服务 (KMS) 的客户管理密钥加密,则将可选策略附加到 AWS 用户、群组或角色以访问亚马逊 DataZone 数据门户或目录
如果您使用自己的 KMS 密钥创建用于数据加密的 Amazon DataZone 域,则还必须创建具有以下权限的内联策略并将其附加到您的 IAM 委托人,以便他们可以访问亚马逊 DataZone 数据门户或目录。
1. 登录 AWS 管理控制台并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格中,选择**用户**、“用户组”或“角色”。
1. 在列表中,选择要在其中嵌入策略的用户、组或角色的名称。
1. 选择 **Permissions (权限)** 选项卡,然后展开 **Permissions policies (权限策略)** 部分(如有必要)。
1. 选择**添加权限**,然后选择**创建内联策略**链接。
1. 在**创建策略**屏幕上的**策略编辑器**部分中,选择 **JSON**。使用以下 JSON 语句创建策略文档,然后选择**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
1. 在**查看策略**屏幕上,输入此策略的名称。如果您对该策略感到满意,请选择 **Create policy (创建策略)**。确保屏幕顶部的红框中没有显示错误。更正报告的任何错误。