本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將授權政策指派給 Amazon DataZone 網域單位內的使用者和群組
<a name="assign-authorization-policies-to-users-in-domain-unit"></a>

在 Amazon DataZone 中，網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊，請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。

在 Amazon DataZone 網域單位中，您可以將下列授權政策指派給使用者和群組，以在此網域單位中授予他們各種授權許可：
+ 網域單位建立政策
+ 專案建立政策
+ 專案成員資格政策
+ 網域單位擁有權假設政策
+ 專案擁有權假設政策

若要將授權政策指派給網域單位內的使用者和群組，請完成下列程序：

1. 導覽至 Amazon DataZone 資料入口網站 URL，並使用單一登入 (SSO) 或您的 AWS 登入資料登入。如果您是 Amazon DataZone 管理員，您可以在 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone)：// 導覽至 Amazon DataZone 主控台，並使用建立網域 AWS 帳戶 的 登入，然後選擇**開啟資料入口網站**。

1. 選擇**檢視網域**，然後選擇您要指派授權政策的網域和網域單位。

1. 在網域單位詳細資訊頁面上，選擇您要指派給使用者/群組的授權政策，然後選擇**新增使用者**。

1. 在**新增使用者**快顯視窗中，執行下列其中一項操作：
   + 選擇**選取的使用者和群組**，指定您要為其指派所選授權政策的使用者和群組，然後選擇**新增使用者**。
   + 選擇**所有使用者**，然後選擇**新增使用者**。
   + 選擇**所有群組**，然後選擇**新增使用者**。

1. 您也可以為選取的使用者啟用或停用所選授權政策的層疊許可。若要這樣做，請選擇您要為其啟用層疊許可的使用者 （然後展開**動作**)，然後選擇**將層疊許可設為 true**。選取的使用者將擁有此政策在此網域單位下所有子網域單位中授予的許可。或者，您可以選擇要停用串聯許可的使用者 （然後展開**動作**)，並將**設定串聯許可設定為 false**。

# Amazon DataZone 中網域單位階層中的專案成員資格政策
<a name="projectmembershippolicy"></a>

專案成員資格政策會定義有資格新增為網域單位內專案成員的個人或群組。本主題說明政策與階層結構中個別網域單位和網域單位相關的影響案例。

請務必注意本主題中使用的幾個概念：
+ 成員集區 - 透過專案成員政策授予存取權的委託人 （使用者或群組） 會被視為專案成員集區的一部分。例如，如果將網域單位 DU1 的政策授予使用者 U1 和 U2，以及單一登入 (SSO) 群組 G1，則 DU1 的專案成員資格集區將由 \$1U1、U2, G1\$1 組成。
+ 層疊 - 將授予傳遞至透過網域單位階層連線的所有子網域單位的能力。
+ 授予 - 使用者或群組執行動作的許可。

**案例 1** - 任何使用者或群組都可以新增至網域單位 1 下的專案，因為成員資格集區包含 \$1All Users/Groups\$1。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario1.png)


**案例 2** - 使用者 \$1U1， G1\$1 可以新增至網域單位 2 下的專案，因為它們是網域單位 2 下成員集區的一部分。使用者 \$1U3， G2\$1 無法新增至任何專案，因為它們不屬於成員資格集區。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario2.png)


**案例 3** - 成員集區的交集：當不同網域單位階層層級有成員集區時，只有所有成員集區中的使用者和群組才能新增至專案。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario3.png)

+ 兩個成員集區的使用者交集區為 \$1U1、U2, G1\$1。
+ 使用者 \$1U1、U2, G1\$1 可以新增至網域單位 3 下的專案。
+ 即使所有使用者和所有群組都在根網域單位層級的成員集區中，使用者 \$1U3， G2\$1 也無法新增至網域單位 3 下的專案。

**案例 4** - 成員集區的交集：當不同網域單位階層層級有成員集區時，只有所有成員集區中的使用者和群組才能新增至專案。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario4.png)

+ 兩個成員集區的使用者交集區為 \$1U1、U2, G1\$1。
+ 網域單位 4 的成員集區是 \$1所有使用者/群組\$1，但成員集區無法擴展到根網域 \$1U1、U2, G1\$1 的成員集區之外。
+ 即使所有使用者和所有群組都在網域單位 4 的成員集區中，使用者 \$1U3， G2\$1 也無法新增至網域單位 4 下的專案。

**案例 5** - 使用者 \$1U1， G1\$1 可以新增至專案 5，因為它們是根網域與網域單位 5 之間成員集區交集的一部分。由於三個成員集區的交集是空的，因此無法將任何使用者/群組新增至專案 6。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario5.png)


**案例 6** - 所有三個成員資格集區的交集區表示只能將使用者 \$1U1\$1 新增至專案 8。網域單元 8 的交集集區為 \$1U1\$1、\$1U1\$1、\$1U1、U2\$1 - 其中只有 \$1U1\$1 是這三個通用的。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario6.png)


**案例 7** - 使用者 \$1U1、U2, G1\$1 可以新增至根網域的專案，因為它們是根網域成員資格集區的一部分。任何使用者或群組都可以新增至網域單位 9 下的專案，因為成員集區由 \$1All Users/Groups\$1 組成，因為階層在其上方的根網域中設定為 false。

![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario7.png)