在擁有 Amazon DataZone 網域的 AWS 帳戶中啟用內建藍圖 - Amazon DataZone

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在擁有 Amazon DataZone 網域的 AWS 帳戶中啟用內建藍圖

建立環境的藍圖定義了環境所屬專案的工具和服務成員在處理 Amazon DataZone 目錄中的資產時,可以使用哪些工具和服務。

在目前版本的 Amazon 中 DataZone,有數個內建藍圖:資料湖藍圖、資料倉儲藍圖和 Amazon SageMaker 藍圖。

  • 資料湖藍圖包含啟動和設定一組服務 (AWS Glue、 AWS Lake Formation、Amazon Athena) 的定義,以便在 Amazon DataZone 目錄中發佈和使用資料湖資產。

  • 資料倉儲藍圖包含啟動和設定一組服務 (Amazon Redshift) 的定義,以便在 Amazon 目錄中發佈和使用 Amazon Redshift 資產。 DataZone

  • Amazon SageMaker 藍圖包含用於啟動和配置一組服務(Amazon SageMaker 工作室)的定義,以在 Amazon DataZone 目錄中發布和使用 Amazon SageMaker 資產。

如需詳細資訊,請參閱 Amazon DataZone 術語和概念

建立 Amazon DataZone 網域時,您可以選擇自動啟用預設資料湖和預設資料倉儲內建藍圖的快速設定,做為網域建立程序的一部分。快速設定也會使用這些內建藍圖,為您建立預設環境設定檔和預設環境。

如果您在建立 Amazon DataZone 網域時未選擇「快速設定」,可以使用以下程序在包含此 Amazon 網 DataZone 域的 AWS 帳戶中啟用可用的內建藍圖。您必須先啟用這些內建藍圖,才能在此網域中使用它們建立環境設定檔和環境。

若要透過 Amazon DataZone 管理主控台在 Amazon DataZone 網域中啟用內建藍圖,您必須在具有管理許可的帳戶中擔任IAM角色。 設定使用 Amazon DataZone 管理主控台所需的IAM許可以取得最低權限。

在 Amazon 網 DataZone域中啟用內建藍圖

  1. https://console.aws.amazon.com/datazone 上導航到 Amazon DataZone 控制台,然後使用您的帳戶憑據登錄。

  2. 選擇 [檢視網域],然後選擇您要啟用一或多個內建藍圖的網域。

  3. 在網域詳細資料頁面上,導覽至「圖」索引標籤。

  4. 圖清單中,選擇DefaultDataLakeDefaultDataWarehouse,或 Amazon SageMaker 藍圖。

  5. 在所選藍圖的詳細資料頁面上,選擇在此帳戶中啟用

  6. 在 [權限和資源] 頁面上,指定下列項目:

    • 如果您要啟用DefaultDataLake藍圖,請針對 Glue 管理存取角色指定新的或現有的服務角色,以授予 Amazon DataZone 授權,以擷取和管理 AWS Glue 和 AWS Lake Formation 中表格的存取權。

    • 如果您要啟用DefaultDataWarehouse藍圖,請針對 Redshift 管理存取角色指定新的或現有的服務角色,以授予 Amazon DataZone 授權,以擷取和管理 Amazon Redshift 中資料倉、資料表和檢視的存取權。

    • 如果您要啟用 Amazon SageMaker 藍圖,對於SageMaker 管理存取角色,請指定新的或現有的服務角色,以授 DataZone予 Amazon 許可,將 Amazon SageMaker 資料發佈到目錄。它還授予 Amazon DataZone 許可,以授予對目錄中 Amazon SageMaker 已發佈資產的存取權或撤銷存取權。

      重要

      當您啟用 Amazon SageMaker 藍圖時,Amazon DataZone 會檢查當前帳戶和區域中是否 DataZone 存在 Amazon 的以下IAM角色。如果這些角色不存在,Amazon DataZone 會自動建立這些角色。

      • AmazonDataZoneGlueAccess-<region>-< > domainId

      • AmazonDataZoneRedshiftAccess-<region>-< > domainId

    • 對於佈建角色,請指定授與 Amazon DataZone 授權的新服務角色或現有服務角色,以便在環境帳戶和區域 AWS CloudFormation 中使用建立和設定環境資源。

    • 如果您要啟用 Amazon SageMaker 藍圖,請針對 SageMaker-Glue 資料來源的 Amazon S3 儲存貯體,指定 AWS 帳戶中所有 SageMaker 環境要使用的 Amazon S3 儲存貯體。您指定的值區前置字元必須是下列其中一項:

      • 亞馬遜數據氮 *

      • 數據發射器 *

      • 箭頭-數據酮 *

      • DataZone-射手機 *

      • 下垂器-* DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. 選擇啟用藍圖

啟用選擇的藍圖後,您可以控制哪些專案可以使用帳戶中的藍圖來建立環境設定檔。您可以透過將管理專案指派給藍圖的組態來執行此操作。

重要

依預設,不會為環境藍圖指定管理專案,這表示任何 Amazon DataZone 使用者都可以為環境藍圖建立設定檔。因此,強烈建議您一律為環境藍圖指定管理專案,以確保更強大的管理能力。

指定管理已啟用藍圖上的專案

  1. https://console.aws.amazon.com/datazone 上導航到 Amazon DataZone 控制台,然後使用您的帳戶憑據登錄。

  2. 選擇 [檢視網域],然後選擇要為所選藍圖新增管理專案的網域。

  3. 選擇圖索引標籤,然後選擇您要使用的藍圖。

  4. 依預設,網域內的所有專案都可以使用帳戶中的或或 Amazon SageMaker 藍圖來建立環境設定檔。 DefaultDataLake DefaultDataWareshouse但是,您可以透過將管理專案指派給藍圖來限制此問題。若要新增管理專案,請選擇 [選取管理專案],然後從下拉式功能表中選擇要新增為管理專案的專案,然後選擇 [選取管理專案]。

在 AWS 帳戶中啟用 DefaultDataWarehouse 藍圖後,您可以將參數集新增至藍圖組態。參數集是一組金鑰和值,Amazon 必須建立與 Amazon DataZone Redshift 叢集的連線,並用來建立資料倉儲環境。這些參數包括 Amazon Redshift 叢集的名稱、資料庫,以及保留叢集登入資料的 AWS 密碼。

將參數集新增至 DefaultDataWarehouse 藍圖

  1. https://console.aws.amazon.com/datazone 上導航到 Amazon DataZone 控制台,然後使用您的帳戶憑據登錄。

  2. 選擇 [檢視網域],然後選擇要新增參數集的網域。

  3. 選擇圖索引標籤,然後選擇藍 DefaultDataWareshouse 圖以開啟藍圖詳細資料頁面。

  4. 在藍圖詳細資料頁面的 [參數集] 索引標籤下,選擇 [建立參數集]。

    • 提供參數組的「名稱」。

    • (可選) 提供參數集的描述。

    • 選擇區域

    • 選取 Amazon Redshift 叢集或 Amazon Redshift 無伺服器。

    • 選取ARN保留所選 Amazon Redshift 叢集或 Amazon Redshift 無伺服器工作群組的登入資料的 AWS 密碼。 AWS 密碼必須使用標籤加上AmazonDataZoneDomain : [Domain_ID]標籤,才有資格在參數組中使用。

      • 如果您沒有現有的 AWS 密碼,也可以選擇建立新密碼來建立新 AWS 密碼。這將打開一個對話框,您可以在其中提供密碼的名稱,用戶名和密碼。一旦您選擇建 DataZone立新 AWS 密碼,Amazon 就會在 Sec AWS rets Manager 服務中建立一個新密碼,並確保密碼會以您嘗試建立參數集的網域加上標記。

    • 如果您在上述步驟中選擇了 Amazon Redshift 叢集,現在可以從下拉式清單中選擇叢集。如果您在上述步驟中選擇了 Amazon Redshift 工作組,現在從下拉菜單中選擇一個工作組。

    • 輸入所選亞馬遜紅移叢集或亞馬遜 Redshift 無伺服器工作群組內的資料庫名稱。

    • 選擇「建立參數組」。

注意

您最多只能將 10 個參數集新增至 DefaultDataWarehouse藍圖。

在 AWS 帳戶中啟用 Amazon SageMaker 藍圖後,您可以將參數集新增至藍圖組態。參數集是 Amazon 建立與 Amazon DataZone 的連接所需的一組密鑰和值, SageMaker 並用於創建 Sageemaker 環境。

將參數集添加到 Amazon SageMaker 藍圖

  1. https://console.aws.amazon.com/datazone 上導航到 Amazon DataZone 控制台,然後使用您的帳戶憑據登錄。

  2. 選擇 [檢視網域],然後選擇包含要在其中新增參數集之已啟用藍圖的網域。

  3. 選擇圖索引標籤,然後選擇 Amazon 藍 SageMaker 圖以開啟藍圖的詳細資料頁面。

  4. 在藍圖詳細資料頁面的 [參數集] 索引標籤下,選擇 [建立參數集],然後指定下列項目:

    • 提供參數組的「名稱」。

    • (可選) 提供參數集的「描述」。

    • 指定 Amazon SageMaker 網域身份驗證類型。您可以選擇IAM或IAM身分識別中心 (SSO)。

    • 指定一個 AWS 區域。

    • 指定用於資料加密的 AWS KMS金鑰。您可以選擇現有的金鑰或建立新金鑰。

    • 在「環境參數」下,指定下列項目:

      • VPCID-您在 Amazon SageMaker 環境中使用VPC的 ID。您可以指定既有的或建立新的VPC。

      • 子網路-一個或多IDs個 IP 位址範圍內特定資源的 VPC IP 位址

      • 網路存取-選擇 [僅限] 或 [VPC僅公用網際網路]。

      • 安全性群組-設定VPC和子網路時要使用的安全性群組。

    • 在 [資料來源參數] 下,選擇下列其中一項:

      • AWS 只有 Glue

      • AWS Glue + Amazon Redshift 無服務器。如果您選擇此選項,請指定下列項目:

        • 指定保留ARN所選 Amazon Redshift 叢集登入資料的 AWS 密碼。 AWS 密碼必須使用標籤加上AmazonDataZoneDomain : [Domain_ID]標籤,才有資格在參數組中使用。

          如果您沒有現有的 AWS 密碼,也可以選擇建立新密碼來建立新 AWS 密碼。這將打開一個對話框,您可以在其中提供密碼的名稱,用戶名和密碼。一旦您選擇建 DataZone 立新 AWS 密碼,Amazon 就會在 Sec AWS rets Manager 服務中建立一個新密碼,並確保密碼會以您嘗試建立參數集的網域加上標記。

        • 指定建立環境時要使用的 Amazon Redshift 工作群組。

        • 指定建立環境時要使用的資料庫名稱 (在您選擇的工作群組內)。

      • AWS 僅 Glue + Amazon Redshift 集群

        • 指定保留ARN所選 Amazon Redshift 叢集登入資料的 AWS 密碼。 AWS 密碼必須使用標籤加上AmazonDataZoneDomain : [Domain_ID]標籤,才有資格在參數組中使用。

          如果您沒有現有的 AWS 密碼,也可以選擇建立新密碼來建立新 AWS 密碼。這將打開一個對話框,您可以在其中提供密碼的名稱,用戶名和密碼。一旦您選擇建 DataZone 立新 AWS 密碼,Amazon 就會在 Sec AWS rets Manager 服務中建立一個新密碼,並確保密碼會以您嘗試建立參數集的網域加上標記。

        • 指定建立環境時要使用的 Amazon Redshift 叢集。

        • 指定建立環境時要使用的資料庫名稱 (在您選擇的叢集內)。

  5. 選擇「建立參數組」。