本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 中的域名单位和授权政策 DataZone
使用*域单元*可轻松地在特定的业务部门和团队下组织资产和其他域实体。要在组织各业务部门内部和各业务部门之间设置安全高效的数据共享,请在 Amazon 中创建域单元, DataZone 并允许每个业务部门内的选定用户登录并将其资产共享到目录中。企业中任何地方的用户都可以轻松搜索这些业务部门下的资产,并请求对这些资产的访问权限。
域单位还可用于使资源所有者(例如 AWS 账户所有者)能够对其资源设置 Amazon DataZone 授权权限。域单元提供从账户所有者到域单元所有者的委托授权,他们可以代表账户所有者对环境配置文件(使用蓝图配置创建)设置授权权限。这可让您根据他们所属的业务部门来限制谁可以创建和使用哪些环境配置文件。Amazon DataZone 授权权限还可用于强制执行元数据标准,并仅允许选定的项目创建元数据表单和词汇表。这有助于维护一致的高质量元数据。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
在 Amazon DataZone 域单位内,您可以将以下授权策略分配给您的用户和群组,以授予他们特定的权限:
+ 域单元创建策略
+ 项目创建策略
+ 项目成员资格策略
+ 域单元所有权代入策略
+ 项目所有权代入策略
有关更多信息,请参阅 [为 Amazon DataZone 域单位内的用户和群组分配授权策略](assign-authorization-policies-to-users-in-domain-unit.md)。
在 Amazon DataZone 域单位内,您可以将以下授权策略分配给您的项目,以授予其特定权限:
+ 术语表创建策略
+ 元数据表单创建策略
+ 自定义资产类型创建策略
有关更多信息,请参阅 [为 Amazon DataZone 域单位内的项目分配授权策略](assign-authorization-policies-to-projects-in-domain-unit.md)。
在 Amazon 中使用授权机制的另一种方法 DataZone 是将授权策略应用于亚马逊 DataZone 蓝图配置中的项目和域单元所有者。
Amazon DataZone 蓝图配置是一个实体,它封装了创建和配置发布和订阅用户工作流程中使用的资源所需的信息。此信息包括 AWS 账号和区域、 CloudFormation 模板、账户级别参数(例如 VPCs 和子网),还可以包含数据库连接信息和凭证。为了控制成本并提高安全性,数据平台用户需要能够控制谁可以使用这些蓝图并创建环境。
在特定的蓝图配置中,您可以将以下授权策略分配给项目和域单元所有者:
+ 使用此蓝图创建环境配置文件-此策略可以分配给 Amazon DataZone 项目,并授权他们使用此蓝图创建环境配置文件。
+ 授予使用此蓝图创建环境配置文件所需的权限 - 可将此策略分配给域单元所有者,以便授权他们允许项目使用此蓝图创建环境配置文件。
有关更多信息,请参阅 [在 Amazon DataZone 蓝图配置中分配授权策略](assign-authorization-policies-in-blueprint-config.md)。
**Topics**
+ [在 Amazon 中创建域名单位 DataZone](create-domain-unit.md)
+ [在 Amazon 中编辑域名单位 DataZone](edit-domain-unit.md)
+ [在 Amazon 中删除域名单位 DataZone](delete-domain-unit.md)
+ [在 Amazon 中管理域名单位所有者 DataZone](add-domain-unit-owners.md)
+ [为 Amazon DataZone 域单位内的用户和群组分配授权策略](assign-authorization-policies-to-users-in-domain-unit.md)
+ [为 Amazon DataZone 域单位内的项目分配授权策略](assign-authorization-policies-to-projects-in-domain-unit.md)
+ [在 Amazon DataZone 蓝图配置中分配授权策略](assign-authorization-policies-in-blueprint-config.md)
# 在 Amazon 中创建域名单位 DataZone
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
**创建域单元**
1. 使用 DataZone 数据门户 URL 导航至 Amazon 数据门户,然后使用您的 SSO 或 AWS 凭证登录。如果您是亚马逊 DataZone 管理员,则可以通过访问创建亚马逊 DataZone 域名的 AWS 账户中的 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 上的亚马逊 DataZone 控制台来获取数据门户 URL。
1. 选择**查看域**,然后选择要在其中创建域单元的域。
1. 在域详细信息页面上,导航到**域单元**选项卡。
1. 选择**创建域单元**。
1. 指定以下项,然后选择**创建域单元**:
+ 在**域单元详细信息**下,对于**名称**,指定域单元名称。
+ 在**域单元详细信息**下,对于**描述**,指定域单元描述。
+ **域单元父级** – 选择要在其下添加新域单元的父域单元。
+ **域单元所有者** – 指定可以编辑此域单元的域单元所有者。
# 在 Amazon 中编辑域名单位 DataZone
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
**编辑域单元**
1. 使用 DataZone 数据门户 URL 导航至 Amazon 数据门户,然后使用您的 SSO 或 AWS 凭证登录。如果您是亚马逊 DataZone 管理员,则可以通过访问创建亚马逊 DataZone 域名的 AWS 账户中的 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 上的亚马逊 DataZone 控制台来获取数据门户 URL。
1. 选择**查看域**,然后选择要在其中编辑域单元的域。
1. 在域详细信息页面上,导航到**域单元**选项卡,然后选择要编辑的域单元。
1. 展开**操作**并选择**编辑域单元**。
1. 对域单元名称和描述进行更改,然后选择**保存更改**。
# 在 Amazon 中删除域名单位 DataZone
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
**编辑域单元**
1. 使用 DataZone 数据门户 URL 导航至 Amazon 数据门户,然后使用您的 SSO 或 AWS 凭证登录。如果您是亚马逊 DataZone 管理员,则可以通过访问创建亚马逊 DataZone 域名的 AWS 账户中的 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 上的亚马逊 DataZone 控制台来获取数据门户 URL。
1. 选择**查看域**,然后选择要在其中删除域单元的域。
1. 在域详细信息页面上,导航到**域单元**选项卡,然后选择要删除的域单元。
1. 展开“操作”并选择**删除域单元**。
1. 在**删除域单元**弹出窗口中,通过选择**删除域单元**来确认删除。
# 在 Amazon 中管理域名单位所有者 DataZone
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
要通过 Amazon DataZone 管理控制台向顶级域单元添加所有者,请完成以下步骤。
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用您的账户凭证登录。
1. 选择 “**查看域名**”,然后选择要向其中添加 DataZone 域名单位所有者的 Amazon 域名。
1. 在域详细信息页面上,导航到**域根所有者**表。
1. 选择**添加**,然后指定要设为域单元所有者的用户。选择**添加根域所有者**。
要通过 Amazon DataZone 数据门户添加域名单位所有者,请完成以下步骤:
1. 使用 DataZone 数据门户 URL 导航至 Amazon 数据门户,然后使用您的 SSO 或 AWS 凭证登录。如果您是亚马逊 DataZone 管理员,则可以通过访问创建亚马逊 DataZone 域名的 AWS 账户中的 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 上的亚马逊 DataZone 控制台来获取数据门户 URL。
1. 选择**查看域**,然后选择要在其中添加域单元所有者的域和域单元。
1. 在域单元详细信息页面上,选择**所有者**选项卡,然后选择**添加所有者**。
1. 在**添加域单元所有者**弹出窗口中,指定要设为域单元所有者的用户,然后选择**添加所有者**。
# 为 Amazon DataZone 域单位内的用户和群组分配授权策略
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
在 Amazon DataZone 域单元中,您可以将以下授权策略分配给您的用户和群组,以授予他们在该域单位内的各种授权权限:
+ 域单元创建策略
+ 项目创建策略
+ 项目成员资格策略
+ 域单元所有权代入策略
+ 项目所有权代入策略
要向域单元中的用户和组分配授权策略,请完成以下过程:
1. 导航至 Amazon DataZone 数据门户 URL,然后使用单点登录 (SSO) 或凭证登录 AWS 。如果您是亚马逊 DataZone 管理员,则可以通过 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 导航到亚马逊 DataZone 控制台,使用域名创建 AWS 账户 地登录,然后选择**打开**数据门户。
1. 选择**查看域**,然后选择要为其分配授权策略的域和域单元。
1. 在域单元详细信息页面上,选择要分配给的授权策略, users/groups 然后选择**添加用户**。
1. 在**添加用户**弹出窗口中,执行下列操作之一:
+ 选择**选定的用户和组**,指定要向其分配所选授权策略的用户和组,然后选择**添加用户**。
+ 选择**所有用户**,然后选择**添加用户**。
+ 选择**所有组**,然后选择**添加用户**。
1. 您也可以为选定用户启用或禁用所选授权策略的级联权限。为此,请选择要为其启用级联权限的用户,再展开**操作**,然后选择**将级联权限设置为 true**。选定用户将在此域单元下的所有子域单元中拥有该策略授予的权限。也可以选择要为其禁用级联权限的用户,再展开**操作**,然后选择**将级联权限设置为 false**。
# Amazon 域单元层次结构中的项目成员资格政策 DataZone
项目成员资格策略定义有资格作为成员被添加到域单元中的项目的人员或组。本主题描述了策略对分层结构中的单个和多个域单元产生的影响的场景。
请务必注意本主题中使用的几个概念:
+ 成员资格池 – 通过项目成员资格策略向其授予访问权限的主体(用户或组),被视为在项目成员资格池中。例如,如果将域单元 DU1 策略授予用户 U1 和 U2 以及单点登录 (SSO) 组 G1,则其项目成员资格池 DU1 将包括 \$1U1、U2、G1\$1。
+ 级联 – 能够将授权向下传递给通过域单元层次结构连接的所有子域单元。
+ 授权 – 用户或组执行操作所需的权限。
**场景 1** – 任何用户或组均可添加到域单元 1 下的项目中,因为成员资格池包含 \$1All Users/Groups\$1。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario1.png)
**场景 2** – 用户 \$1U1, G1\$1 可添加到域单元 2 下的项目中,因为他们在域单元 2 下的成员资格池中。用户 \$1U3, G2\$1 无法添加到任何项目中,因为他们不在成员资格池中。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario2.png)
**场景 3** – 成员资格池的交集:如果存在具有不同的域单元层次结构级别的成员资格池,则只能将位于所有成员资格池中的用户和组添加到项目中。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario3.png)
+ 两个成员资格池中的用户交集为 \$1U1, U2, G1\$1。
+ 用户 \$1U1, U2, G1\$1 可添加到域单元 3 下的项目中。
+ 即使所有用户和所有组位于根域单元级别的成员资格池中,也无法将用户 \$1U3, G2\$1 添加到域单元 3 下的项目中。
**场景 4** – 成员资格池的交集:如果存在具有不同的域单元层次结构级别的成员资格池,则只能将位于所有成员资格池中的用户和组添加到项目中。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario4.png)
+ 两个成员资格池中的用户交集为 \$1U1, U2, G1\$1。
+ 域单元 4 的成员资格池为 \$1All Users / Groups\$1,但成员资格池不能扩展到根域 \$1U1, U2, G1\$1 的成员资格池之外。
+ 即使所有用户和所有组位于域单元 4 的成员资格池中,也无法将用户 \$1U3, G2\$1 添加到域单元 4 下的项目中。
**场景 5** – 用户 \$1U1, G1\$1 可添加到项目 5 中,因为他们在根域和域单元 5 之间的成员资格池交集中。由于三个成员池的交叉点为空,因此 user/group 无法向 Project 6 中添加。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario5.png)
**场景 6** – 所有三个成员资格池的交集意味着仅用户 \$1U1\$1 可添加到项目 8 中。域单元 8 的交集是 \$1U1\$1、\$1U1\$1、\$1U1, U2\$1 – 仅 \$1U1\$1 同时位于三个池中。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario6.png)
**场景 7** – 用户 \$1U1, U2, G1\$1 可添加到根域的项目中,因为他们在根域的成员资格池中。任何用户或组都可添加到域单元 9 下的项目中,因为成员资格池包含 \$1All Users/Groups\$1,并且其上方的根域中的级联已设置为 false。
![\[域单元层次结构中的项目成员资格策略\]](http://docs.aws.amazon.com/zh_cn/datazone/latest/userguide/images/scenario7.png)
# 为 Amazon DataZone 域单位内的项目分配授权策略
在 Amazon 中 DataZone,域名单位使您能够在特定的业务部门和团队下组织您的资产和其他域名实体。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
在 Amazon DataZone 域单元中,您可以将以下授权策略分配给您的项目,以向这些实体授予该域单位内的各种授权权限:
+ 术语表创建策略
+ 元数据表单创建策略
+ 自定义资产类型创建策略
要向域单元中的项目分配授权策略,请完成以下过程:
1. 导航至 Amazon DataZone 数据门户 URL,然后使用单点登录 (SSO) 或凭证登录 AWS 。如果您是亚马逊 DataZone 管理员,则可以通过 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 导航到亚马逊 DataZone 控制台,使用域名创建 AWS 账户 地登录,然后选择**打开**数据门户。
1. 选择**管理域**,然后选择要为其分配授权策略的域和域单元。
1. 在域单元详细信息页面上,选择要分配的授权策略,然后单击它进行配置。
# 在 Amazon DataZone 蓝图配置中分配授权策略
在 Amazon 中使用授权机制的另一种方法 DataZone 是将授权策略应用于亚马逊 DataZone 蓝图配置中的项目和域单元所有者。
Amazon DataZone 蓝图配置是一个实体,它封装了创建和配置发布和订阅用户工作流程中使用的资源所需的信息。此信息包括 AWS 账号和区域、CFN 模板、账户级别参数(例如 VPCs 和子网),还可以包含数据库连接信息和凭证。为了控制成本并提高安全性,数据平台用户需要能够控制谁可以使用这些蓝图并创建环境。
在特定的蓝图配置中,您可以将以下授权策略分配给项目和域单元所有者:
+ 使用此蓝图创建环境配置文件-此策略可以分配给 Amazon DataZone 项目,并授权他们使用此蓝图创建环境配置文件。
+ 授予使用此蓝图创建环境配置文件所需的权限 - 可将此策略分配给域单元所有者,以便授权他们允许项目使用此蓝图创建环境配置文件。
**通过 Amazon DataZone 数据门户将**使用此蓝图授权策略创建环境配置文件**分配给蓝图配置中的项目**
1. 导航至 Amazon DataZone 数据门户 URL,然后使用单点登录 (SSO) 或凭证登录 AWS 。如果您是亚马逊 DataZone 管理员,则可以通过 [https://console.aws.amazon.com/datazon](https://console.aws.amazon.com/datazone) e 导航到亚马逊 DataZone 控制台,使用域名创建 AWS 账户 地登录,然后选择**打开**数据门户。
1. 在数据门户中,选择具有要使用的已启用蓝图的域,然后导航到**蓝图配置**选项卡。
1. 在**蓝图配置**选项卡中,选择要使用的已启用蓝图,再在此蓝图的详细信息页面中,导航到**授权策略**选项卡,然后选择**使用此蓝图创建环境配置文件**授权策略。
1. 在**使用此蓝图创建环境配置文件**授权策略详细信息页面中,展开**操作**并选择**添加项目**。
1. 在**添加项目**弹出窗口中,可以执行下列操作之一:
+ 选择**域单元中的所有项目**选项,然后搜索并指定包含要授权使用此蓝图创建环境配置文件的项目的域单元,然后选择**添加项目**。
+ 选择**域单元中的选定项目**选项,搜索并指定包含要向其分配此策略的项目的域单元,再搜索并选择要向其分配此策略的项目,然后选择**添加项目**。
**通过 Amazon DataZone 管理控制台,通过**蓝图配置向域单元所有者分配使用此蓝图授权策略创建环境配置文件的授予权限****
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用您的账户凭证登录。
1. 在 Amazon DataZone 控制台中,选择要使用的已启用蓝图的域,然后导航到 **Blueprin** ts 选项卡。
1. 在**蓝图**选项卡中,选择要使用的已启用蓝图,然后在蓝图的详细信息页面中,导航到**委派权限**选项卡。
1. 在**委派权限**选项卡中,搜索并选择要为其所有者分配**授予使用此蓝图创建环境配置文件的权限**策略的域单元,然后选择**添加委派权限**。