本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon DataZone 中的網域單位和授權政策
使用*網域單位*,在特定業務單位和團隊下輕鬆組織您的資產和其他網域實體。若要在組織的業務單位內和各業務單位之間設定安全且有效率的資料共用,請在 Amazon DataZone 內建立網域單位,並讓每個業務單位內選取的使用者登入並共用其資產至目錄。企業中任何位置的使用者都可以輕鬆搜尋這些業務單位下的資產,並請求存取這些資產。
網域單位也可以用來讓資源擁有者,例如 AWS 帳戶擁有者,在其資源上設定 Amazon DataZone 授權許可。網域單位提供從帳戶擁有者到網域單位擁有者的委派授權,他們可以代表帳戶擁有者設定環境設定檔 (使用藍圖組態建立) 的授權許可。這可讓您根據所屬業務單位,限制誰可以建立和使用哪些環境設定檔。Amazon DataZone 授權許可也可用於強制執行中繼資料標準,並僅啟用選取的專案來建立中繼資料表單和詞彙表。這有助於維持一致且高品質的中繼資料。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
在 Amazon DataZone 網域單位中,您可以將下列授權政策指派給使用者和群組,以授予他們特定許可:
+ 網域單位建立政策
+ 專案建立政策
+ 專案成員資格政策
+ 網域單位擁有權假設政策
+ 專案擁有權假設政策
如需詳細資訊,請參閱[將授權政策指派給 Amazon DataZone 網域單位內的使用者和群組](assign-authorization-policies-to-users-in-domain-unit.md)。
在 Amazon DataZone 網域單位中,您可以將下列授權政策指派給您的專案,以授予其特定許可:
+ 詞彙表建立政策
+ 中繼資料表單建立政策
+ 自訂資產類型建立政策
如需詳細資訊,請參閱[將授權政策指派給 Amazon DataZone 網域單位內的專案](assign-authorization-policies-to-projects-in-domain-unit.md)。
在 Amazon DataZone 中使用授權機制的另一種方法是將授權政策套用至 Amazon DataZone 藍圖組態內的專案和網域單位擁有者。
Amazon DataZone 藍圖組態是一種實體,可封裝建立和設定用於發佈和訂閱使用者工作流程的資源所需的資訊。此資訊包括 AWS 帳戶號碼和區域、 CloudFormation 範本、帳戶層級參數,例如 VPCs和子網路,也可以包含資料庫連線資訊和登入資料。為了控制成本並改善安全性,資料平台使用者需要能夠控制誰可以使用這些藍圖並建立環境。
在特定藍圖組態中,您可以將下列授權政策指派給專案和網域單位擁有者:
+ 使用此藍圖建立環境設定檔 - 此政策可指派給 Amazon DataZone 專案,並授權他們使用此藍圖建立環境設定檔。
+ 授予使用此藍圖建立環境設定檔的許可 - 此政策可指派給網域單位擁有者,並授權他們授予許可給專案,以使用此藍圖建立環境設定檔。
如需詳細資訊,請參閱[在 Amazon DataZone 藍圖組態中指派授權政策](assign-authorization-policies-in-blueprint-config.md)。
**Topics**
+ [在 Amazon DataZone 中建立網域單位](create-domain-unit.md)
+ [在 Amazon DataZone 中編輯網域單位](edit-domain-unit.md)
+ [在 Amazon DataZone 中刪除網域單位](delete-domain-unit.md)
+ [在 Amazon DataZone 中管理網域單位擁有者](add-domain-unit-owners.md)
+ [將授權政策指派給 Amazon DataZone 網域單位內的使用者和群組](assign-authorization-policies-to-users-in-domain-unit.md)
+ [將授權政策指派給 Amazon DataZone 網域單位內的專案](assign-authorization-policies-to-projects-in-domain-unit.md)
+ [在 Amazon DataZone 藍圖組態中指派授權政策](assign-authorization-policies-in-blueprint-config.md)
# 在 Amazon DataZone 中建立網域單位
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
**建立網域單位**
1. 使用資料入口網站 URL 導覽至 Amazon DataZone 資料入口網站,並使用 SSO 或 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在建立 Amazon DataZone 網域 AWS 的帳戶中存取位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,以取得資料入口網站 URL。
1. 選擇**檢視網域**,然後選擇您要建立網域單位的網域。
1. 在網域詳細資訊頁面上,導覽至**網域單位**索引標籤。
1. 選擇**建立網域單位**。
1. 指定下列項目,然後選擇**建立網域單位**:
+ 在**網域單位詳細資訊**下,針對**名稱**,指定網域單位名稱。
+ 在**網域單位詳細資訊**下,針對**描述**,指定網域單位描述。
+ **網域單位父**系 - 選擇您要在其中新增網域單位的父系網域單位。
+ **網域單位擁有者** - 指定可以編輯此網域單位的網域單位擁有者。
# 在 Amazon DataZone 中編輯網域單位
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
**編輯網域單位**
1. 使用資料入口網站 URL 導覽至 Amazon DataZone 資料入口網站,並使用 SSO 或 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在建立 Amazon DataZone 網域 AWS 的帳戶中存取位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,以取得資料入口網站 URL。
1. 選擇**檢視網域**,然後選擇您要編輯網域單位的網域。
1. 在網域詳細資訊頁面上,導覽至**網域單位**索引標籤,然後選擇您要編輯的網域單位。
1. 展開**動作**,然後選擇**編輯網域單位**。
1. 對網域單位名稱和描述進行變更,然後選擇**儲存變更**。
# 在 Amazon DataZone 中刪除網域單位
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
**編輯網域單位**
1. 使用資料入口網站 URL 導覽至 Amazon DataZone 資料入口網站,並使用 SSO 或 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在建立 Amazon DataZone 網域 AWS 的帳戶中存取位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,以取得資料入口網站 URL。
1. 選擇**檢視網域**,然後選擇您要刪除網域單位的網域。
1. 在網域詳細資訊頁面上,導覽至**網域單位**索引標籤,然後選擇您要刪除的網域單位。
1. 展開動作,然後選擇**刪除網域單位**。
1. 在**刪除網域單位**快顯視窗中,選擇刪除**網域單位以確認刪除**。
# 在 Amazon DataZone 中管理網域單位擁有者
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
若要透過 Amazon DataZone 管理主控台將擁有者新增至頂層網域單位,請完成下列步驟。
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇您要新增網域單位擁有者的 Amazon DataZone 網域。
1. 在網域詳細資訊頁面上,導覽至**網域根擁有者**資料表。
1. 選擇**新增**,然後指定您要建立網域單位擁有者的使用者。選擇**新增根網域擁有者 (S)**。
若要透過 Amazon DataZone Data Portal 新增網域單位擁有者,請完成下列程序:
1. 使用資料入口網站 URL 導覽至 Amazon DataZone 資料入口網站,並使用 SSO 或 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在建立 Amazon DataZone 網域 AWS 的帳戶中存取位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,以取得資料入口網站 URL。
1. 選擇**檢視網域**,然後選擇您要新增網域單位擁有者的網域和網域單位。
1. 在網域單位詳細資訊頁面上,選擇**擁有者**索引標籤,然後選擇**新增擁有者**。
1. 在**新增網域單位擁有者**快顯視窗中,指定您要建立網域單位擁有者的使用者,然後選擇**新增擁有者**。
# 將授權政策指派給 Amazon DataZone 網域單位內的使用者和群組
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
在 Amazon DataZone 網域單位中,您可以將下列授權政策指派給使用者和群組,以在此網域單位中授予他們各種授權許可:
+ 網域單位建立政策
+ 專案建立政策
+ 專案成員資格政策
+ 網域單位擁有權假設政策
+ 專案擁有權假設政策
若要將授權政策指派給網域單位內的使用者和群組,請完成下列程序:
1. 導覽至 Amazon DataZone 資料入口網站 URL,並使用單一登入 (SSO) 或您的 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone):// 導覽至 Amazon DataZone 主控台,並使用建立網域 AWS 帳戶 的 登入,然後選擇**開啟資料入口網站**。
1. 選擇**檢視網域**,然後選擇您要指派授權政策的網域和網域單位。
1. 在網域單位詳細資訊頁面上,選擇您要指派給使用者/群組的授權政策,然後選擇**新增使用者**。
1. 在**新增使用者**快顯視窗中,執行下列其中一項操作:
+ 選擇**選取的使用者和群組**,指定您要為其指派所選授權政策的使用者和群組,然後選擇**新增使用者**。
+ 選擇**所有使用者**,然後選擇**新增使用者**。
+ 選擇**所有群組**,然後選擇**新增使用者**。
1. 您也可以為選取的使用者啟用或停用所選授權政策的層疊許可。若要這樣做,請選擇您要為其啟用層疊許可的使用者 (然後展開**動作**),然後選擇**將層疊許可設為 true**。選取的使用者將擁有此政策在此網域單位下所有子網域單位中授予的許可。或者,您可以選擇要停用串聯許可的使用者 (然後展開**動作**),並將**設定串聯許可設定為 false**。
# Amazon DataZone 中網域單位階層中的專案成員資格政策
專案成員資格政策會定義有資格新增為網域單位內專案成員的個人或群組。本主題說明政策與階層結構中個別網域單位和網域單位相關的影響案例。
請務必注意本主題中使用的幾個概念:
+ 成員集區 - 透過專案成員政策授予存取權的委託人 (使用者或群組) 會被視為專案成員集區的一部分。例如,如果將網域單位 DU1 的政策授予使用者 U1 和 U2,以及單一登入 (SSO) 群組 G1,則 DU1 的專案成員資格集區將由 \$1U1、U2, G1\$1 組成。
+ 層疊 - 將授予傳遞至透過網域單位階層連線的所有子網域單位的能力。
+ 授予 - 使用者或群組執行動作的許可。
**案例 1** - 任何使用者或群組都可以新增至網域單位 1 下的專案,因為成員資格集區包含 \$1All Users/Groups\$1。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario1.png)
**案例 2** - 使用者 \$1U1, G1\$1 可以新增至網域單位 2 下的專案,因為它們是網域單位 2 下成員集區的一部分。使用者 \$1U3, G2\$1 無法新增至任何專案,因為它們不屬於成員資格集區。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario2.png)
**案例 3** - 成員集區的交集:當不同網域單位階層層級有成員集區時,只有所有成員集區中的使用者和群組才能新增至專案。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario3.png)
+ 兩個成員集區的使用者交集區為 \$1U1、U2, G1\$1。
+ 使用者 \$1U1、U2, G1\$1 可以新增至網域單位 3 下的專案。
+ 即使所有使用者和所有群組都在根網域單位層級的成員集區中,使用者 \$1U3, G2\$1 也無法新增至網域單位 3 下的專案。
**案例 4** - 成員集區的交集:當不同網域單位階層層級有成員集區時,只有所有成員集區中的使用者和群組才能新增至專案。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario4.png)
+ 兩個成員集區的使用者交集區為 \$1U1、U2, G1\$1。
+ 網域單位 4 的成員集區是 \$1所有使用者/群組\$1,但成員集區無法擴展到根網域 \$1U1、U2, G1\$1 的成員集區之外。
+ 即使所有使用者和所有群組都在網域單位 4 的成員集區中,使用者 \$1U3, G2\$1 也無法新增至網域單位 4 下的專案。
**案例 5** - 使用者 \$1U1, G1\$1 可以新增至專案 5,因為它們是根網域與網域單位 5 之間成員集區交集的一部分。由於三個成員集區的交集是空的,因此無法將任何使用者/群組新增至專案 6。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario5.png)
**案例 6** - 所有三個成員資格集區的交集區表示只能將使用者 \$1U1\$1 新增至專案 8。網域單元 8 的交集集區為 \$1U1\$1、\$1U1\$1、\$1U1、U2\$1 - 其中只有 \$1U1\$1 是這三個通用的。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario6.png)
**案例 7** - 使用者 \$1U1、U2, G1\$1 可以新增至根網域的專案,因為它們是根網域成員資格集區的一部分。任何使用者或群組都可以新增至網域單位 9 下的專案,因為成員集區由 \$1All Users/Groups\$1 組成,因為階層在其上方的根網域中設定為 false。
![\[網域單位階層中的專案成員資格政策\]](http://docs.aws.amazon.com/zh_tw/datazone/latest/userguide/images/scenario7.png)
# 將授權政策指派給 Amazon DataZone 網域單位內的專案
在 Amazon DataZone 中,網域單位可讓您在特定業務單位和團隊下組織資產和其他網域實體。如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
在 Amazon DataZone 網域單位中,您可以將下列授權政策指派給您的專案,以在此網域單位中授予這些實體各種授權許可:
+ 詞彙表建立政策
+ 中繼資料表單建立政策
+ 自訂資產類型建立政策
若要將授權政策指派給網域單位內的專案,請完成下列程序:
1. 導覽至 Amazon DataZone 資料入口網站 URL,並使用單一登入 (SSO) 或您的 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone):// 導覽至 Amazon DataZone 主控台,並使用建立網域 AWS 帳戶 的 登入,然後選擇**開啟資料入口網站**。
1. 選擇**管理網域**,然後選擇您要指派授權政策的網域和網域單位。
1. 在網域單位詳細資訊頁面上,選擇您要指派的授權政策,然後按一下 進行設定。
# 在 Amazon DataZone 藍圖組態中指派授權政策
在 Amazon DataZone 中使用授權機制的另一種方法是將授權政策套用至 Amazon DataZone 藍圖組態內的專案和網域單位擁有者。
Amazon DataZone 藍圖組態是一種實體,可封裝建立和設定用於發佈和訂閱使用者工作流程的資源所需的資訊。此資訊包括 AWS 帳戶號碼和區域、CFN 範本、帳戶層級參數,例如 VPCs和子網路,也可以包含資料庫連線資訊和登入資料。為了控制成本並改善安全性,資料平台使用者需要能夠控制誰可以使用這些藍圖並建立環境。
在特定藍圖組態中,您可以將下列授權政策指派給專案和網域單位擁有者:
+ 使用此藍圖建立環境設定檔 - 此政策可指派給 Amazon DataZone 專案,並授權他們使用此藍圖建立環境設定檔。
+ 授予使用此藍圖建立環境設定檔的許可 - 此政策可指派給網域單位擁有者,並授權他們授予許可給使用此藍圖建立環境設定檔的專案。
**透過 Amazon DataZone 資料入口網站,**將使用此藍圖授權政策建立環境設定檔**指派給藍圖組態中的專案**
1. 導覽至 Amazon DataZone 資料入口網站 URL,並使用單一登入 (SSO) 或您的 AWS 登入資料登入。如果您是 Amazon DataZone 管理員,您可以在 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone):// 導覽至 Amazon DataZone 主控台,並使用建立網域 AWS 帳戶 的 登入,然後選擇**開啟資料入口網站**。
1. 在資料入口網站中,選擇已啟用您要使用的藍圖的網域,然後導覽至**藍圖組態**索引標籤。
1. 在**藍圖組態**索引標籤中,選擇您要使用的已啟用藍圖,然後在此藍圖的詳細資訊頁面中,導覽至**授權政策**索引標籤,然後使用**此藍圖授權政策選擇建立環境設定檔**。
1. 在**使用此藍圖授權政策詳細資訊建立環境設定檔**頁面中,展開**動作**,然後選擇**新增專案**。
1. 在**新增專案**快顯視窗中,您可以執行下列其中一項操作:
+ 選擇**網域單位中的所有專案**選項,然後搜尋並指定包含您想要授權使用此藍圖建立環境設定檔之專案的網域單位,然後選擇**新增專案**。
+ 選擇**網域單位中的所選專案**選項,然後搜尋並指定包含您要指派此政策之專案的網域單位,接著請教 並選擇您要指派此政策的專案,然後選擇**新增專案**。
**透過 Amazon DataZone 管理主控台,將**使用此藍圖授權政策建立環境設定檔的授予許可**指派給藍圖組態中的網域單位擁有者**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 在 Amazon DataZone 主控台中,選擇具有您要使用的已啟用藍圖的網域,然後導覽至**藍圖**索引標籤。
1. 在**藍圖**索引標籤中,選擇您要使用的已啟用藍圖,然後在藍圖的詳細資訊頁面中,導覽至**委派許可**索引標籤。
1. 在**委派許可**索引標籤中,搜尋您要為其指派**授予許可以使用此藍圖政策建立環境設定檔**的擁有者並選擇網域單位,然後選擇**新增委派許可**。