Verbundene Konten bei Amazon DataZone - Amazon DataZone
Assoziation mit anderen beantragen AWS KontenAkzeptieren Sie eine Kontozuordnungsanfrage von einer DataZone Amazon-Domain und aktivieren Sie einen Umgebungs-BlueprintAktivieren Sie einen Umgebungs-Blueprint in einem zugehörigen AWS Konto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbundene Konten bei Amazon DataZone

Verknüpfen Sie Ihre AWS Konten mit Ihrer DataZone Amazon-Domain ermöglichen es Domain-Benutzern, Daten aus diesen zu veröffentlichen und zu konsumieren AWS Konten. Die Einrichtung einer Kontoverknüpfung besteht aus drei Schritten.

  • Teilen Sie zunächst die Domain mit dem gewünschten AWS Konto, indem Sie eine Zuordnung beantragen. Amazon DataZone verwendet AWS Resource Access Manager (RAM), wenn AWS Das Konto unterscheidet sich von dem der Domain AWS Konto. Eine Kontoverknüpfung kann nur von der DataZone Amazon-Domain initiiert werden.

  • Zweitens bitten Sie den Kontoinhaber, die Zuordnungsanfrage anzunehmen.

  • Drittens bitten Sie den Kontoinhaber, die gewünschten Umgebungs-Blueprints zu aktivieren. Durch die Aktivierung eines Blueprints stellt der Kontoinhaber den Benutzern in der Domäne die IAM Rollen und Ressourcenkonfigurationen zur Verfügung, die für die Erstellung und den Zugriff auf Ressourcen in ihrem Konto erforderlich sind, z. B. AWS Glue-Datenbanken und Amazon Redshift Redshift-Cluster.

Gehen Sie wie folgt vor, um ein Konto mit Amazon zu verknüpfen DataZone:

Assoziation mit anderen beantragen AWS Konten

Anmerkung

Indem Sie eine Assoziationsanfrage an einen anderen senden AWS Konto, Sie teilen Ihre Domain mit dem anderen AWS Konto mit AWS Resource Access Manager (RAM). Achten Sie darauf, die Richtigkeit der eingegebenen Konto-ID zu überprüfen.

Um eine Verbindung mit anderen zu beantragen AWS Konten in der DataZone Amazon-Konsole für eine DataZone Amazon-Domain, Sie müssen eine IAM Rolle in dem Konto mit Administratorrechten übernehmen. Konfigurieren Sie die IAM für die Nutzung der Amazon DataZone Management Console erforderlichen Berechtigungenum die Mindestberechtigungen zu erhalten, die für die Beantragung einer Kontoverknüpfung erforderlich sind.

Gehen Sie wie folgt vor, um eine Verknüpfung mit anderen zu beantragen AWS Konten.

  1. Loggen Sie sich ein in AWS Management Console und öffnen Sie die DataZone Amazon-Managementkonsole unter https://console.aws.amazon.com/datazone.

  2. Wählen Sie Domains anzeigen und wählen Sie den Namen der Domain aus der Liste aus. Der Name ist ein Hyperlink.

  3. Scrollen Sie nach unten zum Tab Verknüpfte Konten und wählen Sie Verknüpfung anfordern aus.

  4. Geben Sie IDs die Konten ein, deren Zuordnung Sie beantragen möchten. Wenn Sie mit der Liste der Konten zufrieden sindIDs, wählen Sie Zuordnung beantragen.

  5. Geben Sie unter RAM Richtlinie die RAM Richtlinie für die Kontoverknüpfung an. Sie können entweder wählenAWSRAMPermissionDataZonePortalReadWrite, welche Konten die Ausführung von Amazon DataZone APIs und den Zugriff auf das Datenportal ermöglicht, oder Sie können wählenAWSRAMPermissionDataZoneDefault, dass zugeordnete Konten nur Amazon ausführen können DataZone APIs und keinen Zugriff auf das Datenportal gewähren. Amazon erstellt DataZone dann einen Ressourcenanteil in der AWS Resource Access Manager im Namen Ihres Kontos, mit den eingegebenen Konto-IDs als Principals.

  6. Sie müssen den Besitzer des anderen Geräts benachrichtigen AWS Konto (e), um Ihre Anfrage anzunehmen. Einladungen laufen nach sieben (7) Tagen ab.

Gewähren Sie Kontozugriff auf Ihren vom Kunden verwalteten Schlüssel KMS

DataZone Amazon-Domains und ihre Metadaten werden entweder (standardmäßig) mit einem Schlüssel verschlüsselt, der von AWS oder (optional) ein vom Kunden verwalteter Schlüssel von AWS Schlüsselverwaltungsdienst (KMS), den Sie besitzen und den Sie bei der Domainerstellung bereitstellen. Wenn Ihre Domain mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, gehen Sie wie folgt vor, um dem zugehörigen Konto die Erlaubnis zur Verwendung des KMS Schlüssels zu erteilen.

  1. Melden Sie sich an bei AWS Management Console und öffnen Sie die KMS Konsole unter https://console.aws.amazon.com/kms/.

  2. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

  3. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

  4. Wählen Sie in der Liste der KMS Schlüssel den Alias oder die Schlüssel-ID des KMS Schlüssels aus, den Sie untersuchen möchten.

  5. Um externe Dateien zuzulassen oder zu verbieten AWS Um den KMS Schlüssel zu verwenden, verwenden Sie die Steuerelemente im Bereich Andere AWS Bereich Konten auf der Seite. IAMDie Hauptbenutzer dieser Konten (die selbst KMS über die entsprechenden Berechtigungen verfügen) können den KMS Schlüssel bei kryptografischen Vorgängen verwenden, z. B. beim Verschlüsseln, Entschlüsseln, erneuten Verschlüsseln und Generieren von Datenschlüsseln.

Akzeptieren Sie eine Kontozuordnungsanfrage von einer DataZone Amazon-Domain und aktivieren Sie einen Umgebungs-Blueprint

Um die Zuordnung zu einer DataZone Amazon-Domain in der DataZone Amazon-Managementkonsole zu akzeptieren, müssen Sie eine IAM Rolle in dem Konto mit Administratorrechten annehmen. Konfigurieren Sie die IAM für die Nutzung der Amazon DataZone Management Console erforderlichen Berechtigungenum die Mindestberechtigungen zu erhalten.

Gehen Sie wie folgt vor, um die Zuordnung zu einer DataZone Amazon-Domain zu akzeptieren.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die DataZone Amazon-Managementkonsole unter https://console.aws.amazon.com/datazone.

  2. Wählen Sie Anfragen anzeigen und wählen Sie die einladende Domain aus der Liste aus. Der Status der Einladung sollte „Angefragt“ lauten. Wählen Sie Anfrage überprüfen aus.

  3. Wählen Sie aus, ob die standardmäßigen Blueprints für die Data Lake- und/oder Data Warehouse-Umgebung aktiviert werden sollen, indem Sie keines, beide oder eines der Felder auswählen. Sie können dies später tun.

    • Der Data Lake-Umgebungs-Blueprint ermöglicht es Domänenbenutzern, Daten zu erstellen und zu verwalten AWS Glue-, Amazon S3- und Amazon Athena Athena-Ressourcen zum Veröffentlichen und Verwenden von einem Data Lake aus.

    • Der Blueprint für die Data Warehouse-Umgebung ermöglicht es Domain-Benutzern, Amazon Redshift Redshift-Ressourcen zu erstellen und zu verwalten, um sie von einem Data Warehouse aus zu veröffentlichen und zu nutzen.

  4. Wenn Sie einen oder beide Standardumgebungs-Blueprints auswählen möchten, konfigurieren Sie die folgenden Berechtigungen und Ressourcen.

    • Die IAMRolle „Zugriff verwalten“ gewährt Amazon Berechtigungen DataZone, damit Domain-Benutzer den Zugriff auf Tabellen aufnehmen und verwalten können, wie AWS Glue und Amazon Redshift. Sie können wählen, ob Amazon eine neue IAM Rolle DataZone erstellen und verwenden soll, oder Sie können aus einer Liste vorhandener IAM Rollen wählen.

    • Die IAMRolle Provisioning gewährt Amazon Berechtigungen DataZone, damit Domain-Benutzer Umgebungsressourcen erstellen und konfigurieren können, wie AWS Datenbanken zusammenkleben. Sie können wählen, ob Amazon eine neue IAM Rolle DataZone erstellen und verwenden soll, oder Sie können aus einer Liste vorhandener IAM Rollen wählen.

    • Der Amazon S3 S3-Bucket für Data Lake ist der Bucket oder Pfad, den Amazon DataZone verwendet, wenn Domain-Benutzer Data Lake-Daten speichern. Sie können den von Amazon ausgewählten Standard-Bucket verwenden DataZone oder Ihren eigenen vorhandenen Amazon S3 S3-Pfad wählen, indem Sie dessen Pfadzeichenfolge eingeben. Wenn Sie Ihren eigenen Amazon S3 S3-Pfad wählen, müssen Sie die IAM Richtlinien aktualisieren, um Amazon die DataZone entsprechenden Nutzungsberechtigungen zu erteilen.

  5. Wenn Sie mit Ihren Konfigurationen zufrieden sind, wählen Sie Accept and configure association.

Aktivieren Sie einen Umgebungs-Blueprint in einem zugehörigen AWS Konto

Um einen Umgebungs-Blueprint in der Amazon DataZone Management Console zu aktivieren, müssen Sie eine IAM Rolle in dem Konto mit Administratorberechtigungen übernehmen. Konfigurieren Sie die IAM für die Nutzung der Amazon DataZone Management Console erforderlichen Berechtigungenum die Mindestberechtigungen zu erhalten.

Gehen Sie wie folgt vor, um einen Blueprint in einer zugehörigen Domäne zu aktivieren.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die DataZone Amazon-Managementkonsole unter https://console.aws.amazon.com/datazone.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Assoziierte Domains aus.

  3. Wählen Sie die Domain aus, für die Sie einen Umgebungs-Blueprint aktivieren möchten.

  4. Wählen Sie in der Blueprint-Liste entweder den DefaultDataLakeoder den DefaultDataWarehouse, den Amazon SageMaker oder den Benutzerdefinierten AWS Plan für den Service.

    Anmerkung

    Wenn Sie den Benutzerdefiniert aktivieren AWS Service-Blueprint, Sie müssen keine Rolle für die Zugriffsverwaltung angeben. Die Berechtigungen und der Autorisierungsmechanismus für den Custom AWS Service Bluerpint wird verarbeitet, wenn Sie Umgebungen mit diesem Blueprint erstellen. Weitere Informationen finden Sie unter Erstellen Sie eine Umgebung mit einem benutzerdefinierten AWS Service-Blueprint.

  5. Wählen Sie auf der Detailseite des ausgewählten Blueprints die Option In diesem Konto aktivieren aus.

  6. Geben Sie auf der Seite „Berechtigungen und Ressourcen“ Folgendes an:

    • Wenn Sie den DefaultDataLakeBlueprint aktivieren, geben Sie für die Glue-Rolle „Zugriff verwalten“ eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung erteilt, den Zugriff auf Tabellen aufzunehmen und zu verwalten in AWS Glue und AWS Lake Formation.

    • Wenn Sie den DefaultDataWarehouseBlueprint aktivieren, geben Sie für die Rolle Redshift Manage Access eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung erteilt, den Zugriff auf Datashares, Tabellen und Ansichten in Amazon Redshift aufzunehmen und zu verwalten.

    • Wenn Sie den SageMakerAmazon-Blueprint aktivieren, geben Sie für die Rolle „Zugriff SageMaker verwalten“ eine neue oder bestehende Servicerolle an, die Amazon DataZone Berechtigungen zur Veröffentlichung von SageMaker Amazon-Daten im Katalog erteilt. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf von Amazon SageMaker veröffentlichte Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.

      Wichtig

      Wenn Sie den SageMakerAmazon-Blueprint aktivieren, DataZone prüft Amazon, ob die folgenden IAM Rollen für Amazon im aktuellen Konto und in der Region DataZone existieren. Wenn diese Rollen nicht existieren, erstellt Amazon sie DataZone automatisch.

      • AmazonDataZoneGlueAccess- <region>-< > domainId

      • AmazonDataZoneRedshiftAccess- <region>-< > domainId

    • Geben Sie für die Bereitstellungsrolle eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung zum Erstellen und Konfigurieren von Umgebungsressourcen erteilt, indem AWS CloudFormation im Umgebungskonto und in der Region.

    • Wenn Sie den SageMakerAmazon-Blueprint aktivieren, geben Sie für den Amazon S3-Bucket für SageMaker die -Glue-Datenquelle einen Amazon S3 S3-Bucket an, der von allen SageMaker Umgebungen in der AWS Konto. Das von Ihnen angegebene Bucket-Präfix muss eines der folgenden sein:

      • Amazon-Datazone*

      • Datazone-Sagemaker*

      • Sagemaker-Datazone*

      • DataZone-Sagemaker*

      • Salbeimacher- * DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Wählen Sie Blueprint aktivieren.

Sobald Sie die ausgewählten Blueprints aktiviert haben, können Sie steuern, welche Projekte die Blueprints in Ihrem Konto verwenden können, um Umgebungsprofile zu erstellen. Sie können dies tun, indem Sie der Konfiguration des Blueprints die Verwaltung von Projekten zuweisen.

Geben Sie die Verwaltung von Projekten auf „Enabled“ oder „Blueprint“ DefaultDataLake an DefaultDataWarehouse

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Assoziierte Domains und dann die Domain aus, der Sie Verwaltungsprojekte hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann DefaultDataLake oder DefaultDataWareshouse Blueprint aus.

  4. Standardmäßig können alle Projekte innerhalb der Domain den DefaultDataWareshouse Blueprint DefaultDataLake oder im Konto verwenden, um Umgebungsprofile zu erstellen. Sie können dies jedoch einschränken, indem Sie dem Blueprint die Verwaltung von Projekten zuweisen. Um Verwaltungsprojekte hinzuzufügen, wählen Sie Verwaltungsprojekt auswählen aus, wählen Sie dann im Dropdownmenü die Projekte aus, die Sie als Verwaltungsprojekte hinzufügen möchten, und wählen Sie dann Verwaltungsprojekte auswählen aus.

Sobald Sie den DefaultDataWarehouse Blueprint in Ihrem aktiviert haben AWS Konto, Sie können der Blueprint-Konfiguration Parametersätze hinzufügen. Ein Parametersatz ist eine Gruppe von Schlüsseln und Werten, die Amazon benötigt, um eine Verbindung DataZone zu Ihrem Amazon Redshift Redshift-Cluster herzustellen, und wird zur Erstellung von Data Warehouse-Umgebungen verwendet. Zu diesen Parametern gehören der Name Ihres Amazon Redshift Redshift-Clusters, der Datenbank und AWS Geheimnis, das die Anmeldeinformationen für den Cluster enthält.

Wichtig

Standardmäßig sind für die Umgebungs-Blueprints keine Verwaltungsprojekte angegeben, was bedeutet, dass jeder DataZone Amazon-Benutzer Profile für einen Umgebungs-Blueprint erstellen kann. Es wird daher dringend empfohlen, dass Sie immer Verwaltungsprojekte für Ihre Umgebungs-Blueprints angeben, um eine bessere Verwaltung zu gewährleisten.

Hinzufügen von Parametersätzen zum Blueprint DefaultDataWarehouse

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Associated Domains und dann die Domain aus, zu der Sie Parametersätze hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann den DefaultDataWareshouse Blueprint aus, um die Blueprint-Detailseite zu öffnen.

  4. Wählen Sie auf der Blueprint-Detailseite auf der Registerkarte Parametersätze die Option Parametersatz erstellen aus.

    • Geben Sie einen Namen für den Parametersatz ein.

    • Geben Sie optional eine Beschreibung für den Parametersatz ein.

    • Region auswählen

    • Wählen Sie entweder Amazon Redshift Cluster oder Amazon Redshift Serverless aus.

    • Wählen Sie AWS geheimARN, das die Anmeldeinformationen für den ausgewählten Amazon Redshift-Cluster oder die Amazon Redshift Serverless-Arbeitsgruppe enthält. Das Tool AWS secret muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet sein, um innerhalb eines Parametersatzes verwendet werden zu können.

      • Wenn Sie noch kein vorhandenes haben AWS Secret, Sie können auch ein neues Secret erstellen, indem Sie Create New wählen AWS Geheim. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort eingeben können. Sobald Sie „Neu erstellen“ ausgewählt haben AWS Geheim, Amazon DataZone kreiert ein neues Geheimnis in der AWS Secrets Manager dient und stellt sicher, dass das Geheimnis mit der Domäne gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

    • Wählen Sie entweder Amazon Redshift-Cluster oder Amazon Redshift Serverless Workgroup aus.

    • Geben Sie den Namen der Datenbank innerhalb des ausgewählten Amazon Redshift-Clusters oder der Amazon Redshift Serverless-Arbeitsgruppe ein.

    • Wählen Sie Parametersatz erstellen aus.

Anmerkung

Sie können dem DefaultDataWarehouse Blueprint nur bis zu 10 Parametersätze hinzufügen.

Sobald Sie den SageMaker Amazon-Blueprint in Ihrem aktiviert haben AWS Konto, Sie können der Blueprint-Konfiguration Parametersätze hinzufügen. Ein Parametersatz ist eine Gruppe von Schlüsseln und Werten, die Amazon benötigt, um eine Verbindung DataZone zu Ihrem Amazon herzustellen, SageMaker und wird verwendet, um Sagemaker-Umgebungen zu erstellen.

Hinzufügen von Parametersätzen zum SageMaker Amazon-Blueprint

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Wählen Sie Domains anzeigen und wählen Sie dann die Domain aus, die den aktivierten Blueprint enthält, zu dem Sie den Parametersatz hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann den SageMaker Amazon-Blueprint aus, um die Detailseite des Blueprints zu öffnen.

  4. Wählen Sie auf der Blueprint-Detailseite auf der Registerkarte Parametersätze die Option Parametersatz erstellen aus und geben Sie dann Folgendes an:

    • Geben Sie einen Namen für den Parametersatz ein.

    • Geben Sie optional eine Beschreibung für den Parametersatz ein.

    • Geben Sie den SageMaker Amazon-Domain-Authentifizierungstyp an. Sie können entweder IAM oder IAM Identity Center (SSO) wählen.

    • Geben Sie eine an AWS Region.

    • Geben Sie eine an AWS KMSSchlüssel für die Datenverschlüsselung. Sie können einen vorhandenen Schlüssel auswählen oder einen neuen Schlüssel erstellen.

    • Geben Sie unter Umgebungsparameter Folgendes an:

      • VPCID — die ID, die Sie für die VPC SageMaker Amazon-Umgebung verwenden. Sie können eine bestehende angeben oder eine neue erstellenVPC.

      • Subnetze — eines oder mehrere IDs für einen Bereich von IP-Adressen für bestimmte Ressourcen innerhalb IhresVPC.

      • Netzwerkzugriff — wählen Sie entweder „VPCNur“ oder „Nur öffentliches Internet“.

      • Sicherheitsgruppe — Die Sicherheitsgruppe, die bei der Konfiguration von VPC Subnetzen verwendet werden soll.

    • Wählen Sie unter Datenquellenparameter eine der folgenden Optionen aus:

      • AWS Nur Glue

      • AWS Glue + Amazon Redshift Serverless. Wenn Sie diese Option wählen, geben Sie Folgendes an:

        • Geben Sie die AWS GeheimnisARN, das die Anmeldeinformationen für den ausgewählten Amazon Redshift Redshift-Cluster enthält. Das Tool AWS secret muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet werden, um innerhalb eines Parametersatzes verwendet werden zu können.

          Wenn Sie noch kein vorhandenes haben AWS Secret, Sie können auch ein neues Secret erstellen, indem Sie Create New wählen AWS Geheim. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort eingeben können. Sobald Sie „Neu erstellen“ ausgewählt haben AWS Geheim, Amazon DataZone kreiert ein neues Geheimnis in der AWS Secrets Manager dient und stellt sicher, dass das Geheimnis mit der Domäne gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

        • Geben Sie die Amazon Redshift Redshift-Arbeitsgruppe an, die Sie beim Erstellen von Umgebungen verwenden möchten.

        • Geben Sie den Namen der Datenbank (innerhalb der von Ihnen ausgewählten Arbeitsgruppe) an, die Sie beim Erstellen von Umgebungen verwenden möchten.

      • AWS Nur Glue + Amazon Redshift Cluster

        • Geben Sie das an AWS GeheimnisARN, das die Anmeldeinformationen für den ausgewählten Amazon Redshift Redshift-Cluster enthält. Das Tool AWS secret muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet werden, um innerhalb eines Parametersatzes verwendet werden zu können.

          Wenn Sie noch kein vorhandenes haben AWS Secret, Sie können auch ein neues Secret erstellen, indem Sie Create New wählen AWS Geheim. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort eingeben können. Sobald Sie „Neu erstellen“ ausgewählt haben AWS Geheim, Amazon DataZone kreiert ein neues Geheimnis in der AWS Secrets Manager dient und stellt sicher, dass das Geheimnis mit der Domäne gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

        • Geben Sie den Amazon Redshift Redshift-Cluster an, den Sie beim Erstellen von Umgebungen verwenden möchten.

        • Geben Sie den Namen der Datenbank (innerhalb des von Ihnen ausgewählten Clusters) an, die Sie beim Erstellen von Umgebungen verwenden möchten.

  5. Wählen Sie Parametersatz erstellen aus.