本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS 受管政策: AmazonDataZoneFullAccess AmazonDataZoneFullAccess 您可將 `AmazonDataZoneFullAccess` 政策連接到 IAM 身分。 此政策透過 提供 Amazon DataZone 的完整存取權 AWS 管理主控台。此政策也具有加密 SSM 參數的 AWS KMS 許可。KMS 金鑰必須使用 EnableKeyForAmazonDataZone 標記,以允許解密 SSM 參數。 **許可詳細資訊** 此政策包含以下許可: + `datazone` – 透過 授予委託人對 Amazon DataZone 的完整存取權 AWS 管理主控台。 + `kms` – 允許主體列出別名、描述金鑰和解密金鑰。 + `s3` – 允許主體選擇現有或建立新的 S3 儲存貯體來存放 Amazon DataZone 資料。 + `ram` :允許主體跨 共用 Amazon DataZone 網域 AWS 帳戶。 + `iam` – 允許主體列出和傳遞角色並取得政策。 + `sso` – 允許主體取得 AWS IAM Identity Center 已啟用 的區域。 + `secretsmanager` – 允許主體建立、標記和列出具有特定字首的秘密。 + `aoss` – 允許主體建立和擷取 OpenSearch Serverless 安全政策的資訊。 + `bedrock` – 允許主體建立、列出和擷取推論設定檔和基礎模型的資訊。 + `codeconnections` – 允許主體刪除、擷取資訊、列出連線和管理連線的標籤。 + `codewhisperer` – 允許主體列出 CodeWhisperer 設定檔。 + `ssm` – 允許主體放置、刪除和擷取參數的資訊。 + `redshift` – 允許主體描述叢集並列出無伺服器工作群組 + `glue` – 允許主體取得資料庫。 若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [AmazonDataZoneFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDataZoneFullAccess.html)。 ## 政策考量和限制 考量事項 `AmazonDataZoneFullAccess` 政策未涵蓋某些功能。 + 如果您使用自己的 AWS KMS 金鑰建立 Amazon DataZone 網域,您必須擁有 `kms:CreateGrant` 的許可,才能成功建立網域,以及擁有 `kms:Decrypt`的許可`kms:GenerateDataKey`,才能叫用其他 Amazon DataZone APIs,例如 `listDataSources`和 `createDataSource`。此外,您還必須在該金鑰的資源政策`kms:DescribeKey`中擁有 `kms:CreateGrant`、`kms:GenerateDataKey`、 `kms:Decrypt`和 的許可。 如果您使用預設服務擁有的 KMS 金鑰,則不需要這麼做。 如需詳細資訊,請參閱[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。 + 如果您想要在 Amazon DataZone 主控台中使用*建立*和*更新*角色功能,您必須具有管理員權限,或具有建立 IAM 角色和建立/更新政策所需的 IAM 許可。所需的許可包括 `iam:CreateRole`、`iam:CreatePolicy`、`iam:DeletePolicyVersion`、 `iam:CreatePolicyVersion`和 `iam:AttachRolePolicy`許可。 + 如果您在啟用 AWS IAM Identity Center 使用者登入的 Amazon DataZone 中建立新的網域,或者如果您為 Amazon DataZone 中的現有網域啟用該網域,則必須具有下列許可: + organizations:DescribeOrganization + organizations:ListDelegatedAdministrators + sso:CreateInstance + sso:ListInstances + sso:GetSharedSsoConfiguration + sso:PutApplicationGrant + sso:PutApplicationAssignmentConfiguration + sso:PutApplicationAuthenticationMethod + sso:PutApplicationAccessScope + sso:CreateApplication + sso:DeleteApplication + sso:CreateApplicationAssignment + sso:DeleteApplicationAssignment + sso-directory:CreateUser + sso-directory:SearchUsers + sso:ListApplications + 若要在 Amazon DataZone 中接受 AWS 帳戶關聯請求,您必須擁有 `ram:AcceptResourceShareInvitation`許可。 + 如果您想要為 SageMaker Unified Studio 網路設定建立必要的資源,您必須具有下列許可,並連接 AmazonVpcFullAccess 政策: + iam:PassRole + cloudformation:CreateStack