本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon DataZone 控制台中管理用户
<a name="user-management-console"></a>

您的用户可以使用其 AWS 凭证或单点登录 (SSO) 凭证访问亚马逊 DataZone 数据门户。要在亚马逊 DataZone控制台中管理亚马逊 DataZone 域的用户，您必须在该账户中扮演具有亚马逊 DataZone 管理控制台权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得在 Amazon DataZone 控制台中管理用户所需的最低权限。

**Topics**
+ [管理 IAM 角色和用户](#manage-IAM-users-roles)
+ [管理 SSO 用户](#manage-sso-users)
+ [管理 SSO 组](#manage-sso-groups)

## 管理 IAM 角色和用户
<a name="manage-IAM-users-roles"></a>

IAM 角色和用户使用 AWS 身份和访问管理 (IAM) 创建，并通过策略附加的权限访问您的 DataZone 亚马逊域名。有关更多信息，请参阅 [配置使用亚马逊 DataZone 数据门户所需的 IAM 权限](data-portal-permissions.md)。在当前版本的 Amazon 中 DataZone，来自亚马逊 DataZone 域名所有者账户的管理员可以为自己账户中的用户或关联账户中的用户创建 IAM 用户个人资料。亚马逊 DataZone 域名所有者账户的管理员也可以将现有用户的状态设置为 “已分配” 或 “未分配”（如已分配或未分配以使用亚马逊 DataZone），或者激活或停用任何现有用户。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。

1. 选择**查看域**，然后从列表中选择域名。该名称是一个超链接。

1. 在域详细信息页面上，选择**用户管理**。

1. 要在 Amazon DataZone 域名所有者账户或关联账户中添加用户 IAM 用户，请选择**添加**，然后选择**添加 IAM 用户**。

1. 在**添加用户**页面上，选择**当前账户**或**关联的账户**，使用**查找和添加用户或角色**字段以查找要添加的用户，然后选择**添加用户**。

1. 要查看现有 IAM 用户的状态，请在**用户管理**页面上的用户类型下拉菜单中选择 **IAM 用户**。
   + **名称**列显示 IAM 用户或角色的 ARN。
   + **状态**列显示域中的 IAM 用户或角色的当前状态。
     + 已指定 IAM 用户已被分配使用亚马逊 DataZone。
     + “未分配” 表示已取消指定 IAM 用户使用亚马逊。 DataZone
     + 已激活意味着 IAM 用户或角色已调用 API、发出命令（通过命令行界面）或访问了您的域名的 Amazon DataZone 门户。
     + 停用意味着 IAM 用户或角色无法再使用 Amazon DataZone 数据门户。要限制以编程方式进行访问，请参阅[限制访问 Amazon DataZone](user-management-portal-restricting-programmatic-access.md)。

1. 要停用当前已激活的 IAM 用户或角色，请选中该用户旁边的框，然后从**操作**菜单中选择**停用**。这将导致用户无法再使用亚马逊 DataZone 数据门户。要限制以编程方式进行访问，请参阅[限制访问 Amazon DataZone](user-management-portal-restricting-programmatic-access.md)。

1. 要激活当前已停用的 IAM 用户或角色，请选中该用户旁边的框，然后从**操作**菜单中选择**激活**。如果 IAM 用户或角色拥有`datazone:GetUserPortalLoginUrl`权限，则该用户将获得对 Amazon DataZone 数据门户的访问权限。

## 管理 SSO 用户
<a name="manage-sso-users"></a>

可以通过身份提供商创建或同步 SSO 用户。有关更多信息，请参阅[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)和[启用 Amazon 的 IAM 身份中心 DataZone](enable-IAM-identity-center-for-datazone.md)以启用和配置适用于 Amazon 的 AWS IAM 身份中心 DataZone。您可以查看分配给域的 SSO 用户的列表、添加 SSO 用户和移除 SSO 用户。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。

1. 选择**查看域**，然后从列表中选择域名。该名称是一个超链接。

1. 在域详细信息页面上，向下滚动并选择**用户管理**。

1. 对于用户类型，请选择 **SSO 用户**以查看之前已通过数据门户进行身份验证的 SSO 用户的当前列表。使用隐式用户分配时，之前未通过数据门户进行身份验证的 SSO 用户不会被列出。
   + **名称**列显示 SSO 用户名。
   + **状态**列显示域中的 SSO 用户的当前状态。
     + “已分配”表示已将 SSO 用户显式分配给域。因此，用户可以访问亚马逊 DataZone。仅当域的身份提供商模式设置为显式分配时，才使用此状态。
     + 已激活表示 SSO 用户已访问该域名的 Amazon DataZone 门户。将自动进行激活。
     + “已停用”表示 SSO 用户被阻止访问域的数据门户。
     + “已移除”表示 SSO 用户之前已被分配到域，但该用户在进行访问前已被移除。

1. 通过选择**添加**和**添加用户**来添加 SSO 用户。如果域名设置为隐式用户分配，则此选项不可用，这意味着身份池中的所有用户都可以访问该Amazon DataZone 域。
   + 在**添加用户**页面上，搜索要添加的用户的别名。搜索框下方将显示包含潜在匹配项的列表。
   + 选择要添加的用户。他们的别名将以木条形式显示在搜索框下方。
   + 如果您对要添加的用户列表感到满意，请选择**添加用户**。
   + 用户被分配到状态为 “已分**配**” 的 Amazon DataZone 域。
   + 当用户首次访问域的数据门户时，状态将自动更改为**已激活**。

1. 通过以下方式移除**已分配** SSO 用户：选择该用户并从**操作**菜单中选择**取消分配**。因此，用户将失去对 Amazon DataZone 域的访问权限。用户的状态将显示为**未分配**。如果将域设置为隐式用户分配，则此选项不可用。

1. 通过以下方式停用**已激活** SSO 用户：选择该用户并从**操作**菜单中选择**停用**。因此，用户对 Amazon DataZone 数据门户的访问权限将丢失并被阻止。用户的状态将显示为**已停用**。

1. 通过以下方式激活**已停用** SSO 用户：选择该用户并从**操作**菜单中选择**激活**。因此，用户将重新获得对 Amazon DataZone 数据门户的访问权限。用户的状态将显示为**已激活**。

## 管理 SSO 组
<a name="manage-sso-groups"></a>

SSO 组是在 AWS IAM 身份中心中创建的，或者与您的身份提供商同步。有关更多信息，请参阅[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)和[启用 Amazon 的 IAM 身份中心 DataZone](enable-IAM-identity-center-for-datazone.md)以启用和配置适用于 Amazon 的 AWS IAM 身份中心 DataZone。您可以查看分配给域的 SSO 组的列表、添加 SSO 组和移除 SSO 组。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。

1. 选择**查看域**，然后从列表中选择域名。该名称是一个超链接。

1. 在域详细信息页面上，向下滚动并选择**用户管理**。

1. 对于用户类型，选择 **SSO 组**以查看当前的 SSO 组列表。
   + **名称**列显示 SSO 组名。
   + **状态**列显示域中的 SSO 组的当前状态。
     + **已分配**表示已将 SSO 组显式分配给域。因此，组中的所有用户都可以访问域的数据门户（除非用户已被停用）。
     + **未分配**表示已从域中移除 SSO 组。组中的用户无法通过其在组中的成员资格访问域的数据门户。

1. 通过选择**添加**和**添加组**来添加 SSO 组。如果域名设置为隐式用户分配，则此选项不可用，这意味着无论群组成员资格如何，身份池中的所有用户都可以访问Amazon DataZone 域。
   + 在**添加组**页面上，搜索要添加的组的别名。搜索框下方将显示包含潜在匹配项的列表。
   + 选择要添加的组。他们的别名将以木条形式显示在搜索框下方。
   + 如果您对要添加的组列表感到满意，请选择**添加组**。
   + 这些群组被分配到状态为 “已分**配**” 的 Amazon DataZone 域。
   + 当组成员首次访问域的数据门户时，状态将自动更改为**已激活**。

1. 通过以下方式移除**已分配** SSO 组：选择该组并从**操作**菜单中选择**取消分配**。因此，该群组将无法访问 Amazon DataZone 域名。组的状态将显示为**未分配**。 DataZone 通过该群组的成员资格获得Amazon访问权限的用户将失去访问权限。如果将域设置为隐式用户分配，则此选项不可用。