本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定使用 Amazon DataZone 資料入口網站所需的 IAM 許可
Amazon DataZone 資料入口網站 (在 AWS 管理主控台之外) 是一種瀏覽器型 Web 應用程式,使用者可以前往目錄、探索、管理、共用和分析自助式資料。資料入口網站會透過 IAM Identity Center,使用 IAM AWS 登入資料或身分提供者的現有登入資料來驗證使用者。
您必須完成下列程序,才能為想要使用 Amazon DataZone 資料入口網站或目錄的任何使用者、群組或角色設定必要的許可:
**Topics**
+ [
## 將必要的政策連接到 Amazon DataZone 資料入口網站存取的使用者、群組或角色
](#data-portal-permissions-portal)
+ [
## 將必要的政策連接到 Amazon DataZone 目錄存取的使用者、群組或角色
](#data-portal-permissions-catalog)
+ [
## 如果您的網域使用 AWS Key Management Service (KMS) 的客戶管理金鑰加密,請將選用政策連接至 Amazon DataZone 資料入口網站或目錄存取的使用者、群組或角色
](#data-portal-permissions-kms)
## 將必要的政策連接到 Amazon DataZone 資料入口網站存取的使用者、群組或角色
您可以使用您的 AWS 登入資料或單一登入 (SSO) 登入資料來存取 Amazon DataZone 資料入口網站。請依照以下章節中的指示,設定使用 AWS 登入資料存取資料入口網站所需的許可。如需搭配 SSO 使用 Amazon DataZone 的詳細資訊,請參閱 [設定 AWS Amazon DataZone 的 IAM Identity Center](sso-setup.md)。
**注意**
只有網域 AWS 帳戶中的 IAM 主體可以存取網域的資料入口網站。來自其他 AWS 帳戶的 IAM 主體無法存取網域的資料入口網站。
完成下列程序,將所需的政策連接到使用者、群組或角色。如需詳細資訊,請參閱[AWS Amazon DataZone 的 受管政策](security-iam-awsmanpol.md)。
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**使用者、使用者群組或角色**。
1. 在清單中,選擇要內嵌政策的使用者、群組或角色的名稱。
1. 選擇 **Permissions (許可)** 索引標籤,並在必要時,展開 **Permissions policies (許可政策)** 部分。
1. 選擇**新增許可**和**建立內嵌政策**連結。
1. 在**建立政策**畫面上的政策[編輯器]()區段中,選擇 **JSON**。使用下列 JSON 陳述式建立政策文件,然後選擇**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"datazone:GetIamPortalLoginUrl"
],
"Resource": [
"*"
]
}
]
}
```
------
1. 在**檢閱政策**畫面上,輸入政策的名稱。當您滿意時,選擇 **Create policy (建立政策)**。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。
## 將必要的政策連接到 Amazon DataZone 目錄存取的使用者、群組或角色
**注意**
只有網域 AWS 帳戶中的 IAM 主體可以存取網域的目錄。來自其他 AWS 帳戶的 IAM 主體無法存取網域的目錄。
您可以使用下列程序,透過 API 和 SDK 授予 IAM 身分存取 Amazon DataZone 網域目錄的權限。如果您希望這些 IAM 身分也能夠存取 Amazon DataZone 資料入口網站,請另外遵循上述程序前往 [將必要的政策連接到 Amazon DataZone 資料入口網站存取的使用者、群組或角色](#data-portal-permissions-portal)。如需詳細資訊,請參閱[AWS Amazon DataZone 的 受管政策](security-iam-awsmanpol.md)。
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**。
1. 在政策清單中,選取 **AmazonDataZoneFullUserAccess** 政策旁的選項按鈕。您可用**篩選**功能表和搜尋方塊來篩選政策清單。如需詳細資訊,請參閱[AWS 受管政策:AmazonDataZoneFullUserAccess](security-iam-awsmanpol-AmazonDataZoneFullUserAccess.md)
1. 選擇 **Actions (動作)**,然後選擇 **Attach (連接)**。
1. 選取每個委託人的核取方塊,以選擇要連接政策的使用者、群組或角色。您可用**篩選**功能表和搜尋方塊來篩選主體實體清單。選擇使用者、群組或角色後,選擇**連接政策**。
## 如果您的網域使用 AWS Key Management Service (KMS) 的客戶管理金鑰加密,請將選用政策連接至 Amazon DataZone 資料入口網站或目錄存取的使用者、群組或角色
如果您使用自己的 KMS 金鑰建立 Amazon DataZone 網域以進行資料加密,您還必須建立具有下列許可的內嵌政策,並將其連接到您的 IAM 主體,以便他們可以存取 Amazon DataZone 資料入口網站或目錄。
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**使用者、使用者群組或角色**。
1. 在清單中,選擇要內嵌政策的使用者、群組或角色的名稱。
1. 選擇 **Permissions (許可)** 索引標籤,並在必要時,展開 **Permissions policies (許可政策)** 部分。
1. 選擇**新增許可**和**建立內嵌政策**連結。
1. 在**建立政策**畫面上的政策**編輯器**區段中,選擇 **JSON**。使用下列 JSON 陳述式建立政策文件,然後選擇**下一步**。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
1. 在**檢閱政策**畫面上,輸入政策的名稱。當您滿意時,選擇 **Create policy (建立政策)**。確認畫面頂端的紅色方塊未出現任何錯誤。如出現任何錯誤,請加以修正。