本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS 托管策略:AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary **注意** 此策略是*权限边界*。权限边界设置基于身份的策略可以授予 IAM 实体的最大权限。您不应自行使用和附加 Amazon DataZone 权限边界策略。亚马逊 DataZone 权限边界策略应仅附加到亚马逊 DataZone 托管角色。有关权限边界的更多信息,请参阅《IAM 用户指南》中的 [IAM 实体的权限边界](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html)。 当您通过亚马逊 DataZone 数据门户创建亚马逊 SageMaker 环境时,亚马逊会 DataZone 将此权限边界应用于在创建环境期间生成的 IAM 角色。权限边界限制了 Amazon DataZone 创建的角色和您添加的任何角色的范围。 Amazon DataZone 使用`AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary`托管策略来限制其所关联的预配置 IAM 委托人。委托人可以采取亚马逊 DataZone 可以代表交互式企业用户或分析服务(例如)担任的用户角色的形式,然后执行操作来处理数据AWS SageMaker,例如从Amazon S3或Amazon Redshift读取和写入数据,或者运行 AWS Glue爬虫。 该`AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary`政策授予亚马逊对亚马逊 SageMaker、 AWS Glue、Amazon DataZone S3、La AWS ke Formation、Amazon Redshift和Amazon Athena等服务的读写权限。该策略还向使用这些服务所需的某些基础设施资源授予读写权限,例如网络接口、Amazon ECR 存储库和 AWS KMS 密钥。它还允许访问亚马逊 SageMaker应用程序,例如Amazon SageMaker Canvas。 亚马逊 DataZone 将`AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary`托管策略应用为所有亚马逊 DataZone 环境角色(所有者和贡献者)的权限边界。该权限边界限制这些角色只能访问环境所需的资源和操作。 要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneSageMakerEnvironmentRolePermissionsBoundary.html)**。