Amazon DataZone 中的關聯帳戶

將 AWS 您的帳戶與 Amazon DataZone 網域建立關聯，可讓網域使用者發佈和取用來自這些 AWS 帳戶的資料。設定帳戶關聯有三個步驟。

• 首先，透過請求關聯與所需 AWS 帳戶共用網域。如果 AWS 帳戶與網域 AWS 的帳戶不同，Amazon DataZone 會使用 AWS Resource Access Manager (RAM)。帳戶關聯只能由 Amazon DataZone 網域啟動。

• 第二，讓帳戶擁有者接受關聯請求。

• 第三，讓帳戶擁有者啟用所需的環境藍圖。透過啟用藍圖，帳戶擁有者為網域中的使用者提供在其帳戶中建立和存取資源所需的 IAM 角色和資源組態，例如 AWS Glue 資料庫和 Amazon Redshift 叢集。

請完成下列步驟，將 帳戶與 Amazon DataZone 建立關聯：

• 步驟 1 - 請求與其他 AWS 帳戶的關聯

• 步驟 2 - 接受來自 Amazon DataZone 網域的帳戶關聯請求，並啟用環境藍圖

• 步驟 3 - 在關聯的 AWS 帳戶中啟用環境藍圖

請求與其他 AWS 帳戶的關聯

注意

透過將關聯請求傳送至另一個 AWS 帳戶，您將與另一個 AWS 帳戶與 AWS Resource Access Manager (RAM) 共用您的網域。請務必檢查您輸入之帳戶 ID 的準確性。

若要請求與 Amazon DataZone 主控台中 Amazon DataZone 網域的其他 AWS 帳戶建立關聯，您必須在具有管理許可的帳戶中擔任 IAM 角色。 設定使用 Amazon DataZone 管理主控台所需的 IAM 許可 以取得請求帳戶關聯所需的最低許可。

完成下列程序，以請求與其他 AWS 帳戶的關聯。

1. 登入 AWS 管理主控台，並在 https://console.aws.amazon.com/datazone：// 開啟 Amazon DataZone 管理主控台。

2. 選擇檢視網域，然後從清單中選擇網域名稱。名稱是超連結。

3. 向下捲動至關聯帳戶索引標籤，然後選擇請求關聯。

4. 輸入您要請求關聯的帳戶 IDs。當您滿意帳戶 IDs清單時，請選擇請求關聯。

5. 在 RAM 政策下，指定帳戶關聯的 RAM 政策。您可以選擇AWSRAMPermissionDataZonePortalReadWrite讓關聯帳戶能夠執行 Amazon DataZone APIs 並存取資料入口網站，或者您可以選擇 AWSRAMPermissionDataZoneDefault，whcih 將允許關聯帳戶僅執行 Amazon DataZone APIs而且不會提供資料入口網站存取權。然後，Amazon DataZone 會代表您的帳戶在 AWS Resource Access Manager 中建立資源共享，並將輸入的帳戶 ID 作為主體。

6. 您必須通知其他 AWS 帳戶的擁有者 （以接受您的請求）。邀請會在七 (7) 天後過期。

提供客戶受管 KMS 金鑰的帳戶存取權

Amazon DataZone 網域及其中繼資料會使用 （預設） 持有的金鑰進行加密 AWS，或 （選用） 您在建立網域期間擁有和提供的 AWS 金鑰管理服務 (KMS) 的客戶管理金鑰。如果您的網域使用客戶受管金鑰加密，請遵循下列程序，授予關聯帳戶使用 KMS 金鑰的許可。

1. 登入 AWS 管理主控台，並在 https：//https://console.aws.amazon.com/kms/ 開啟 KMS 主控台。

2. 若要檢視您所建立及管理帳戶中的金鑰，請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。

3. 若要檢視您所建立及管理帳戶中的金鑰，請在導覽窗格中選擇Customer managed keys (客戶受管金鑰)。

4. 在 KMS 金鑰清單中，選擇您要檢查之 KMS 金鑰的別名或金鑰 ID。

5. 若要允許或拒絕外部 AWS 帳戶使用 KMS 金鑰，請使用頁面其他 AWS 帳戶區段中的控制項。這些帳戶中的 IAM 主體 （具有適當的 KMS 許可本身） 可以在密碼編譯操作中使用 KMS 金鑰，例如加密、解密、重新加密和產生資料金鑰。

接受來自 Amazon DataZone 網域的帳戶關聯請求，並啟用環境藍圖

若要在 Amazon DataZone 管理主控台中接受與 Amazon DataZone 網域的關聯，您必須在具有管理許可的帳戶中擔任 IAM 角色。 設定使用 Amazon DataZone 管理主控台所需的 IAM 許可以取得最低許可。

請完成下列步驟，以接受與 Amazon DataZone 網域的關聯。

1. 登入 AWS 管理主控台，並在 https://console.aws.amazon.com/datazone：// 開啟 Amazon DataZone 管理主控台。

2. 選擇檢視請求，然後從清單中選擇邀請網域。應請求邀請的狀態。選擇檢閱請求。

3. 選擇是否要啟用預設資料湖和/或資料倉儲環境藍圖，方法是同時選取兩個或其中一個方塊。您可以稍後再執行此操作。

   • 資料湖環境藍圖可讓網域使用者建立和管理 AWS Glue、Amazon S3 和 Amazon Athena 資源，以從資料湖發佈和使用。

   • 資料倉儲環境藍圖可讓網域使用者建立和管理 Amazon Redshift 資源，以從資料倉儲發佈和使用 。

4. 如果您選擇選取一個或兩個預設環境藍圖，請設定下列許可和資源。

   • 管理存取 IAM 角色提供許可給 Amazon DataZone，讓網域使用者能夠擷取和管理對 Glue AWS 和 Amazon Redshift 等資料表的存取。您可以選擇讓 Amazon DataZone 建立和使用新的 IAM 角色，也可以從現有 IAM 角色清單中選擇。

   • 佈建 IAM 角色提供許可給 Amazon DataZone，讓網域使用者能夠建立和設定環境資源，例如 AWS Glue 資料庫。您可以選擇讓 Amazon DataZone 建立和使用新的 IAM 角色，也可以從現有 IAM 角色清單中選擇。

   • Data Lake 的 Amazon S3 儲存貯體是網域使用者存放資料湖資料時 Amazon DataZone 將使用的儲存貯體或路徑。您可以使用 Amazon DataZone 選取的預設儲存貯體，或輸入其路徑字串來選擇您自己的現有 Amazon S3 路徑。如果您選擇自己的 Amazon S3 路徑，則需要更新 IAM 政策，以提供 Amazon DataZone 使用它的許可。

5. 當您對組態感到滿意時，請選擇接受並設定關聯。

在關聯的 AWS 帳戶中啟用環境藍圖

若要在 Amazon DataZone 管理主控台中啟用環境藍圖，您必須在具有管理許可的帳戶中擔任 IAM 角色。 設定使用 Amazon DataZone 管理主控台所需的 IAM 許可以取得最低許可。

請完成下列步驟，以在相關聯的網域中啟用藍圖。

1. 登入 AWS 管理主控台，並在 https://console.aws.amazon.com/datazone：// 開啟 Amazon DataZone 管理主控台。

2. 開啟左側導覽面板，然後選擇相關聯的網域。

3. 選擇您要啟用環境藍圖的網域。

4. 從藍圖清單中，選擇 DefaultDataLake 或 DefaultDataWarehouse、Amazon SageMaker 或 Custom AWS Service 藍圖。

   注意

   如果您要啟用自訂 AWS 服務藍圖，則不需要指定管理存取角色。當您使用此藍圖建立環境時，會處理自訂 AWS 服務 bluerpint 的許可和授權機制。如需詳細資訊，請參閱使用自訂 AWS 服務藍圖建立環境。

5. 在選擇的藍圖詳細資訊頁面上，選擇在此帳戶中啟用。

6. 在許可和資源頁面上，指定下列項目：

   • 如果您要啟用 DefaultDataLake 藍圖，請針對 Glue Manage Access 角色指定新的或現有的服務角色，以授予 Amazon DataZone 擷取和管理 Glue 和 AWS Lake Formation 中 AWS 資料表的存取權。

   • 如果您要啟用 DefaultDataWarehouse 藍圖，請針對 Redshift 管理存取角色指定新的或現有的服務角色，以授予 Amazon DataZone 擷取和管理 Amazon Redshift 中資料共用、資料表和檢視的存取權。

   • 如果您要啟用 Amazon SageMaker 藍圖，請針對 SageMaker 管理存取角色指定新的或現有的服務角色，以授予 Amazon DataZone 將 Amazon SageMaker 資料發佈至目錄的許可。它也授予 Amazon DataZone 許可，以授予對 目錄中 Amazon SageMaker 發佈資產的存取權或撤銷存取權。

     重要

     當您啟用 Amazon SageMaker 藍圖時，Amazon DataZone 會檢查目前帳戶和區域中是否存在下列 Amazon DataZone 的 IAM 角色。如果這些角色不存在，Amazon DataZone 會自動建立這些角色。

     • AmazonDataZoneGlueAccess-<region>-<domainId>

     • AmazonDataZoneRedshiftAccess-<region>-<domainId>

   • 對於佈建角色，請指定新的或現有的服務角色，以授予 Amazon DataZone 在環境帳戶和區域中使用 AWS CloudFormation 建立和設定環境資源的授權。

   • 如果您要啟用 Amazon SageMaker 藍圖，請針對 SageMaker-Glue 資料來源的 Amazon S3 儲存貯體指定帳戶中的所有 AWS SageMaker 環境要使用的 Amazon S3 儲存貯體。您指定的儲存貯體字首必須是下列其中一項：

     • amazon-datazone*

     • datazone-sagemaker*

     • sagemaker-datazone*

     • DataZone-Sagemaker*

     • Sagemaker-DataZone*

     • DataZone-SageMaker*

     • SageMaker-DataZone*

7. 選擇啟用藍圖。

啟用選擇的藍圖 (Bluprint) 之後，您就可以控制哪些專案可以使用帳戶中的藍圖來建立環境設定檔。您可以透過將管理專案指派給藍圖的組態來執行此操作。

在已啟用的 DefaultDataLake 或 DefaultDataWarehouse 藍圖上指定管理專案

1. 導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。

2. 開啟左側導覽面板，然後選擇關聯的網域，然後選擇您要新增管理專案的網域。

3. 選擇藍圖索引標籤，然後選擇 DefaultDataLake 或 DefaultDataWareshouse 藍圖。

4. 根據預設，網域中的所有專案都可以在帳戶中使用 DefaultDataLake 或 DefaultDataWareshouse 藍圖來建立環境設定檔。不過，您可以透過將管理專案指派給藍圖來限制這一點。若要新增管理專案，請選擇選取管理專案，然後從下拉式選單中選擇您要新增為管理專案的專案，然後選擇選取管理專案 (s)。

在 AWS 帳戶中啟用 DefaultDataWarehouse 藍圖後，您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon Redshift 叢集連線所需的一組金鑰和值，用於建立資料倉儲環境。這些參數包括 Amazon Redshift 叢集的名稱、資料庫，以及存放叢集憑證的 AWS 秘密。

重要

根據預設，環境藍圖不會指定 的管理專案，這表示任何 Amazon DataZone 使用者可以建立環境藍圖的設定檔。因此，強烈建議您一律為環境藍圖指定管理專案，以確保更強大的控管。

將參數集新增至 DefaultDataWarehouse 藍圖

1. 導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。

2. 開啟左側導覽面板，然後選擇關聯的網域，然後選擇您要新增參數集的網域。

3. 選擇藍圖索引標籤，然後選擇 DefaultDataWareshouse 藍圖以開啟藍圖詳細資訊頁面。

4. 在藍圖詳細資訊頁面上的參數集索引標籤下，選擇建立參數集。

   • 提供 參數集的名稱。

   • 或者，提供參數集的說明。

   • 選擇區域

   • 選取 Amazon Redshift 叢集或 Amazon Redshift Serverless。

   • 選取將登入資料保留到所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。

     • 如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。

   • 選取 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組。

   • 輸入所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組中的資料庫名稱。

   • 選擇建立參數集。

注意

您最多只能將 10 個參數集新增至 DefaultDataWarehouse 藍圖。

在 AWS 帳戶中啟用 Amazon SageMaker 藍圖後，您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon SageMaker 連線所需的一組索引鍵和值，用於建立 Sagemaker 環境。

將參數集新增至 Amazon SageMaker 藍圖

1. 導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。

2. 選擇檢視網域，然後選擇包含已啟用藍圖的網域，以新增參數集。

3. 選擇藍圖索引標籤，然後選擇 Amazon SageMaker 藍圖以開啟藍圖的詳細資訊頁面。

4. 在藍圖詳細資訊頁面上的參數集索引標籤下，選擇建立參數集，然後指定下列項目：

   • 提供 參數集的名稱。

   • 或者，提供參數集的描述。

   • 指定 Amazon SageMaker 網域身分驗證類型。您可以選擇 IAM 或 IAM Identity Center (SSO)。

   • 指定 AWS 區域。

   • 指定用於資料加密的 AWS KMS 金鑰。您可以選擇現有的金鑰或建立新的金鑰。

   • 在環境參數下，指定下列項目：

     • VPC ID - 您用於 Amazon SageMaker 環境 VPC 的 ID。您可以指定現有的 或建立新的 VPC。

     • 子網路 - VPC 內特定資源之 IP 地址範圍的一或多個 IDs。

     • 網路存取 - 選擇僅限 VPC 或僅限公有網際網路。

     • 安全群組 - 設定 VPC 和子網路時要使用的安全群組。

   • 在資料來源參數下，選擇下列其中一項：

     • AWS 僅限 Glue

     • AWS Glue + Amazon Redshift Serverless。如果您選擇此選項，請指定下列項目：

       • 指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。

         如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。

       • 指定您要在建立環境時使用的 Amazon Redshift 工作群組。

       • 指定您要在建立環境時使用的資料庫名稱 （在您選擇的工作群組內）。

     • AWS 僅限 Glue + Amazon Redshift 叢集

       • 指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。

         如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。

       • 指定您要在建立環境時使用的 Amazon Redshift 叢集。

       • 指定您要在建立環境時使用的資料庫名稱 （在您選擇的叢集內）。

5. 選擇建立參數集。