Verbundene Konten bei Amazon DataZone - Amazon DataZone
Verknüpfung mit anderen AWS Konten beantragenAkzeptieren Sie eine Kontozuordnungsanfrage von einer DataZone Amazon-Domain und aktivieren Sie einen Umgebungs-BlueprintAktivieren Sie einen Umgebungs-Blueprint in einem zugehörigen Konto AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbundene Konten bei Amazon DataZone

Wenn Sie Ihre AWS Konten mit Ihrer DataZone Amazon-Domain verknüpfen, können Domain-Benutzer Daten aus diesen AWS Konten veröffentlichen und nutzen. Die Einrichtung einer Kontoverknüpfung besteht aus drei Schritten.

  • Teilen Sie zunächst die Domain mit dem gewünschten AWS Konto, indem Sie eine Zuordnung beantragen. Amazon DataZone verwendet AWS Resource Access Manager (RAM), wenn sich das AWS Konto vom AWS Konto der Domain unterscheidet. Eine Kontoverknüpfung kann nur von der DataZone Amazon-Domain initiiert werden.

  • Zweitens bitten Sie den Kontoinhaber, die Zuordnungsanfrage anzunehmen.

  • Drittens bitten Sie den Kontoinhaber, die gewünschten Umgebungs-Blueprints zu aktivieren. Durch die Aktivierung eines Blueprints stellt der Kontoinhaber den Benutzern in der Domain die IAM-Rollen und Ressourcenkonfigurationen zur Verfügung, die für die Erstellung und den Zugriff auf Ressourcen in ihrem Konto erforderlich sind, z. B. AWS Glue-Datenbanken und Amazon Redshift Redshift-Cluster.

Gehen Sie wie folgt vor, um ein Konto mit Amazon zu verknüpfen DataZone:

Verknüpfung mit anderen AWS Konten beantragen

Anmerkung

Wenn Sie eine Zuordnungsanfrage an ein anderes AWS Konto senden, teilen Sie Ihre Domain mit dem anderen AWS Konto mit AWS Resource Access Manager (RAM). Achten Sie darauf, die Richtigkeit der eingegebenen Konto-ID zu überprüfen.

Um eine Verknüpfung mit anderen AWS Konten in der DataZone Amazon-Konsole für eine DataZone Amazon-Domain zu beantragen, müssen Sie eine IAM-Rolle in dem Konto mit Administratorberechtigungen annehmen. Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sindum die Mindestberechtigungen zu erhalten, die für die Beantragung einer Kontoverknüpfung erforderlich sind.

Gehen Sie wie folgt vor, um eine Verknüpfung mit anderen AWS Konten zu beantragen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DataZone Management Console unter https://console.aws.amazon.com/datazone.

  2. Wählen Sie Domains anzeigen und wählen Sie den Namen der Domain aus der Liste aus. Der Name ist ein Hyperlink.

  3. Scrollen Sie nach unten zum Tab Verknüpfte Konten und wählen Sie Verknüpfung anfordern aus.

  4. Geben Sie IDs die Konten ein, deren Zuordnung Sie beantragen möchten. Wenn Sie mit der Kontenliste zufrieden sind IDs, wählen Sie Zuordnung beantragen aus.

  5. Geben Sie unter RAM-Richtlinie die RAM-Richtlinie für die Kontozuweisung an. Sie können entweder wählenAWSRAMPermissionDataZonePortalReadWrite, welche Konten die Ausführung von Amazon DataZone APIs und den Zugriff auf das Datenportal ermöglicht, oder Sie können wählenAWSRAMPermissionDataZoneDefault, dass zugeordnete Konten nur Amazon ausführen können DataZone APIs und keinen Zugriff auf das Datenportal gewähren. Amazon erstellt DataZone dann im Namen Ihres Kontos eine AWS Ressourcenfreigabe im Resource Access Manager, wobei die eingegebenen Konto-ID (s) als Principals verwendet werden.

  6. Sie müssen den Besitzer der anderen AWS Konten benachrichtigen, damit er Ihre Anfrage annehmen kann. Einladungen laufen nach sieben (7) Tagen ab.

Gewähren Sie Kontozugriff auf Ihren vom Kunden verwalteten KMS-Schlüssel

DataZone Amazon-Domains und ihre Metadaten werden entweder (standardmäßig) mit einem Schlüssel verschlüsselt, der von einem Kunden verwaltet wird AWS, oder (optional) mit einem vom Kunden verwalteten Schlüssel von AWS Key Management Service (KMS), den Sie besitzen und den Sie bei der Domainerstellung angeben. Wenn Ihre Domain mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, gehen Sie wie folgt vor, um dem zugehörigen Konto die Erlaubnis zur Verwendung des KMS-Schlüssels zu erteilen.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die KMS-Konsole unter https://console.aws.amazon.com/kms/.

  2. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

  3. Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

  4. Wählen Sie in der Liste der KMS-Schlüssel den Alias oder die Schlüssel-ID des KMS-Schlüssels aus, den Sie untersuchen möchten.

  5. Verwenden Sie die Steuerelemente im Abschnitt Andere AWS AWS Konten der Seite, um externen Konten die Verwendung des KMS-Schlüssels zu gestatten oder zu verbieten. IAM-Prinzipale in diesen Konten (die selbst über die entsprechenden KMS-Berechtigungen verfügen) können den KMS-Schlüssel für kryptografische Operationen verwenden, z. B. beim Verschlüsseln, Entschlüsseln, erneuten Verschlüsseln und Generieren von Datenschlüsseln.

Akzeptieren Sie eine Kontozuordnungsanfrage von einer DataZone Amazon-Domain und aktivieren Sie einen Umgebungs-Blueprint

Um in der DataZone Amazon-Managementkonsole die Zuordnung zu einer DataZone Amazon-Domain zu akzeptieren, müssen Sie eine IAM-Rolle in dem Konto mit Administratorberechtigungen annehmen. Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sindum die Mindestberechtigungen zu erhalten.

Gehen Sie wie folgt vor, um die Zuordnung zu einer DataZone Amazon-Domain zu akzeptieren.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DataZone Management Console unter https://console.aws.amazon.com/datazone.

  2. Wählen Sie Anfragen anzeigen und wählen Sie die einladende Domain aus der Liste aus. Der Status der Einladung sollte „Angefragt“ lauten. Wählen Sie „Anfrage überprüfen“.

  3. Wählen Sie aus, ob die standardmäßigen Blueprints für die Data Lake- und/oder Data Warehouse-Umgebung aktiviert werden sollen, indem Sie keines, beide oder eines der Felder auswählen. Sie können dies später tun.

    • Der Data Lake-Umgebungs-Blueprint ermöglicht es Domain-Benutzern, AWS Glue-, Amazon S3- und Amazon Athena Athena-Ressourcen zu erstellen und zu verwalten, um sie von einem Data Lake aus zu veröffentlichen und zu nutzen.

    • Der Blueprint für die Data Warehouse-Umgebung ermöglicht es Domain-Benutzern, Amazon Redshift Redshift-Ressourcen zu erstellen und zu verwalten, um sie von einem Data Warehouse aus zu veröffentlichen und zu nutzen.

  4. Wenn Sie einen oder beide Standardumgebungs-Blueprints auswählen möchten, konfigurieren Sie die folgenden Berechtigungen und Ressourcen.

    • Die IAM-Rolle „Zugriff verwalten“ gewährt Amazon Berechtigungen DataZone, damit Domain-Benutzer den Zugriff auf Tabellen wie AWS Glue und Amazon Redshift aufnehmen und verwalten können. Sie können wählen, ob Amazon eine neue IAM-Rolle DataZone erstellen und verwenden soll, oder Sie können aus einer Liste vorhandener IAM-Rollen wählen.

    • Die IAM-Rolle Provisioning gewährt Amazon Berechtigungen DataZone, damit Domain-Benutzer Umgebungsressourcen wie AWS Glue-Datenbanken erstellen und konfigurieren können. Sie können wählen, ob Amazon eine neue IAM-Rolle DataZone erstellen und verwenden soll, oder Sie können aus einer Liste vorhandener IAM-Rollen wählen.

    • Der Amazon S3 S3-Bucket für Data Lake ist der Bucket oder Pfad, den Amazon DataZone verwendet, wenn Domain-Benutzer Data Lake-Daten speichern. Sie können den von Amazon ausgewählten Standard-Bucket verwenden DataZone oder Ihren eigenen vorhandenen Amazon S3 S3-Pfad wählen, indem Sie dessen Pfadzeichenfolge eingeben. Wenn Sie Ihren eigenen Amazon S3 S3-Pfad wählen, müssen Sie die IAM-Richtlinien aktualisieren, um Amazon die DataZone entsprechenden Nutzungsberechtigungen zu gewähren.

  5. Wenn Sie mit Ihren Konfigurationen zufrieden sind, wählen Sie Accept and configure association.

Aktivieren Sie einen Umgebungs-Blueprint in einem zugehörigen Konto AWS

Um einen Umgebungs-Blueprint in der Amazon DataZone Management Console zu aktivieren, müssen Sie eine IAM-Rolle in dem Konto mit Administratorberechtigungen annehmen. Konfigurieren Sie die IAM-Berechtigungen, die für die Nutzung der Amazon DataZone Management Console erforderlich sindum die Mindestberechtigungen zu erhalten.

Gehen Sie wie folgt vor, um einen Blueprint in einer zugehörigen Domäne zu aktivieren.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon DataZone Management Console unter https://console.aws.amazon.com/datazone.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Assoziierte Domains aus.

  3. Wählen Sie die Domain aus, für die Sie einen Umgebungs-Blueprint aktivieren möchten.

  4. Wählen Sie aus der Blueprint-Liste entweder den Blueprint DefaultDataLakeoder den DefaultDataWarehouseBlueprint oder den Blueprint von Amazon SageMaker oder Custom AWS Service aus.

    Anmerkung

    Wenn Sie den Custom AWS Service Blueprint aktivieren, müssen Sie keine Rolle für die Zugriffsverwaltung angeben. Die Berechtigungen und der Autorisierungsmechanismus für den benutzerdefinierten AWS Dienst-Bluerprint werden behandelt, wenn Sie Umgebungen mit diesem Blueprint erstellen. Weitere Informationen finden Sie unter Erstellen Sie eine Umgebung mithilfe eines benutzerdefinierten Service-Blueprints AWS.

  5. Wählen Sie auf der Detailseite des ausgewählten Blueprints die Option In diesem Konto aktivieren aus.

  6. Geben Sie auf der Seite „Berechtigungen und Ressourcen“ Folgendes an:

    • Wenn Sie den DefaultDataLakeBlueprint aktivieren, geben Sie für die Rolle Glue Manage Access eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung erteilt, den Zugriff auf Tabellen in AWS Glue und AWS Lake Formation aufzunehmen und zu verwalten.

    • Wenn Sie den DefaultDataWarehouseBlueprint aktivieren, geben Sie für die Rolle Redshift Manage Access eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung erteilt, den Zugriff auf Datashares, Tabellen und Ansichten in Amazon Redshift aufzunehmen und zu verwalten.

    • Wenn Sie den SageMakerAmazon-Blueprint aktivieren, geben Sie für die Rolle „Zugriff SageMaker verwalten“ eine neue oder bestehende Servicerolle an, die Amazon DataZone Berechtigungen zur Veröffentlichung von SageMaker Amazon-Daten im Katalog erteilt. Es gibt Amazon auch die DataZone Erlaubnis, Zugriff auf von Amazon SageMaker veröffentlichte Assets im Katalog zu gewähren oder den Zugriff zu widerrufen.

      Wichtig

      Wenn Sie den SageMakerAmazon-Blueprint aktivieren, DataZone prüft Amazon, ob die folgenden IAM-Rollen für Amazon im aktuellen Konto und in der Region DataZone existieren. Wenn diese Rollen nicht existieren, erstellt Amazon sie DataZone automatisch.

      • AmazonDataZoneGlueAccess- <region>- <domainId>

      • AmazonDataZoneRedshiftAccess- <region>- <domainId>

    • Geben Sie für die Bereitstellungsrolle eine neue oder bestehende Servicerolle an, die Amazon die DataZone Autorisierung erteilt, Umgebungsressourcen mithilfe AWS CloudFormation des Umgebungskontos und der Region zu erstellen und zu konfigurieren.

    • Wenn Sie den SageMakerAmazon-Blueprint aktivieren, geben Sie für die Datenquelle Amazon S3-Bucket SageMaker für -Glue einen Amazon S3 S3-Bucket an, der von allen SageMaker Umgebungen im AWS Konto verwendet werden soll. Das von Ihnen angegebene Bucket-Präfix muss eines der folgenden sein:

      • Amazon-Datazone*

      • Datazone-Sagemaker*

      • Sagemaker-Datazone*

      • DataZone-Sagemaker*

      • Salbeimacher- * DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Wählen Sie Blueprint aktivieren.

Sobald Sie die ausgewählten Blueprints aktiviert haben, können Sie steuern, welche Projekte die Blueprints in Ihrem Konto verwenden können, um Umgebungsprofile zu erstellen. Sie können dies tun, indem Sie der Konfiguration des Blueprints die Verwaltung von Projekten zuweisen.

Geben Sie die Verwaltung von Projekten auf „Enabled“ oder „Blueprint“ DefaultDataLake an DefaultDataWarehouse

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Assoziierte Domains und dann die Domain aus, der Sie Verwaltungsprojekte hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann DefaultDataLake oder DefaultDataWareshouse Blueprint aus.

  4. Standardmäßig können alle Projekte innerhalb der Domain den DefaultDataWareshouse Blueprint DefaultDataLake oder im Konto verwenden, um Umgebungsprofile zu erstellen. Sie können dies jedoch einschränken, indem Sie dem Blueprint die Verwaltung von Projekten zuweisen. Um Verwaltungsprojekte hinzuzufügen, wählen Sie Verwaltungsprojekt auswählen aus, wählen Sie dann im Dropdownmenü die Projekte aus, die Sie als Verwaltungsprojekte hinzufügen möchten, und wählen Sie dann Verwaltungsprojekte auswählen aus.

Sobald Sie den DefaultDataWarehouse Blueprint in Ihrem AWS Konto aktiviert haben, können Sie der Blueprint-Konfiguration Parametersätze hinzufügen. Ein Parametersatz ist eine Gruppe von Schlüsseln und Werten, die Amazon benötigt, um eine Verbindung DataZone zu Ihrem Amazon Redshift Redshift-Cluster herzustellen, und wird zur Erstellung von Data Warehouse-Umgebungen verwendet. Zu diesen Parametern gehören der Name Ihres Amazon Redshift Redshift-Clusters, die Datenbank und das AWS Geheimnis, das die Anmeldeinformationen für den Cluster enthält.

Wichtig

Standardmäßig sind für die Umgebungs-Blueprints keine Verwaltungsprojekte angegeben, was bedeutet, dass jeder DataZone Amazon-Benutzer Profile für einen Umgebungs-Blueprint erstellen kann. Es wird daher dringend empfohlen, dass Sie immer Verwaltungsprojekte für Ihre Umgebungs-Blueprints angeben, um eine bessere Verwaltung zu gewährleisten.

Hinzufügen von Parametersätzen zum Blueprint DefaultDataWarehouse

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Öffnen Sie den linken Navigationsbereich und wählen Sie Associated Domains und dann die Domain aus, zu der Sie Parametersätze hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann den DefaultDataWareshouse Blueprint aus, um die Blueprint-Detailseite zu öffnen.

  4. Wählen Sie auf der Blueprint-Detailseite auf der Registerkarte Parametersätze die Option Parametersatz erstellen aus.

    • Geben Sie einen Namen für den Parametersatz ein.

    • Geben Sie optional eine Beschreibung für den Parametersatz ein.

    • Region auswählen

    • Wählen Sie entweder Amazon Redshift Cluster oder Amazon Redshift Serverless aus.

    • Wählen Sie den AWS geheimen ARN aus, der die Anmeldeinformationen für den ausgewählten Amazon Redshift-Cluster oder die Amazon Redshift Serverless-Arbeitsgruppe enthält. Das AWS Geheimnis muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet sein, um innerhalb eines Parametersatzes verwendet werden zu können.

      • Wenn Sie noch kein AWS Geheimnis haben, können Sie auch ein neues Geheimnis erstellen, indem Sie Neues AWS Geheimnis erstellen wählen. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort angeben können. Sobald Sie Create New AWS Secret wählen, DataZone erstellt Amazon ein neues Secret im AWS Secrets Manager-Service und stellt sicher, dass das Secret mit der Domain gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

    • Wählen Sie entweder Amazon Redshift-Cluster oder Amazon Redshift Serverless Workgroup aus.

    • Geben Sie den Namen der Datenbank innerhalb des ausgewählten Amazon Redshift-Clusters oder der Amazon Redshift Serverless-Arbeitsgruppe ein.

    • Wählen Sie Parametersatz erstellen aus.

Anmerkung

Sie können dem DefaultDataWarehouse Blueprint nur bis zu 10 Parametersätze hinzufügen.

Sobald Sie den SageMaker Amazon-Blueprint in Ihrem AWS Konto aktiviert haben, können Sie der Blueprint-Konfiguration Parametersätze hinzufügen. Ein Parametersatz ist eine Gruppe von Schlüsseln und Werten, die Amazon benötigt, um eine Verbindung DataZone zu Ihrem Amazon herzustellen, SageMaker und wird verwendet, um Sagemaker-Umgebungen zu erstellen.

Hinzufügen von Parametersätzen zum SageMaker Amazon-Blueprint

  1. Navigieren Sie zur DataZone Amazon-Konsole unter https://console.aws.amazon.com/datazone und melden Sie sich mit Ihren Kontoanmeldeinformationen an.

  2. Wählen Sie Domains anzeigen und wählen Sie dann die Domain aus, die den aktivierten Blueprint enthält, zu dem Sie den Parametersatz hinzufügen möchten.

  3. Wählen Sie die Registerkarte Blueprints und dann den SageMaker Amazon-Blueprint aus, um die Detailseite des Blueprints zu öffnen.

  4. Wählen Sie auf der Blueprint-Detailseite auf der Registerkarte Parametersätze die Option Parametersatz erstellen aus und geben Sie dann Folgendes an:

    • Geben Sie einen Namen für den Parametersatz ein.

    • Geben Sie optional eine Beschreibung für den Parametersatz ein.

    • Geben Sie den SageMaker Amazon-Domain-Authentifizierungstyp an. Sie können entweder IAM oder IAM Identity Center (SSO) wählen.

    • Geben Sie eine Region an AWS .

    • Geben Sie einen AWS KMS-Schlüssel für die Datenverschlüsselung an. Sie können einen vorhandenen Schlüssel auswählen oder einen neuen Schlüssel erstellen.

    • Geben Sie unter Umgebungsparameter Folgendes an:

      • VPC-ID — die ID, die Sie für die VPC der SageMaker Amazon-Umgebung verwenden. Sie können eine bestehende VPC angeben oder eine neue erstellen.

      • Subnetze — eines oder mehrere IDs für einen Bereich von IP-Adressen für bestimmte Ressourcen innerhalb Ihrer VPC.

      • Netzwerkzugriff — wählen Sie entweder „Nur VPC“ oder „Nur öffentliches Internet“.

      • Sicherheitsgruppe — Die Sicherheitsgruppe, die bei der Konfiguration von VPC und Subnetzen verwendet werden soll.

    • Wählen Sie unter Datenquellenparameter eine der folgenden Optionen aus:

      • AWS Nur Glue

      • AWS Glue + Amazon Redshift Serverless. Wenn Sie diese Option wählen, geben Sie Folgendes an:

        • Geben Sie den AWS geheimen ARN an, der die Anmeldeinformationen für den ausgewählten Amazon Redshift Redshift-Cluster enthält. Der AWS geheime Schlüssel muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet sein, um innerhalb eines Parametersatzes verwendet werden zu können.

          Wenn Sie noch kein AWS Geheimnis haben, können Sie auch ein neues Geheimnis erstellen, indem Sie Neues AWS Geheimnis erstellen wählen. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort angeben können. Sobald Sie Create New AWS Secret wählen, DataZone erstellt Amazon ein neues Secret im AWS Secrets Manager-Service und stellt sicher, dass das Secret mit der Domain gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

        • Geben Sie die Amazon Redshift Redshift-Arbeitsgruppe an, die Sie beim Erstellen von Umgebungen verwenden möchten.

        • Geben Sie den Namen der Datenbank (innerhalb der von Ihnen ausgewählten Arbeitsgruppe) an, die Sie beim Erstellen von Umgebungen verwenden möchten.

      • AWS Nur Glue + Amazon Redshift Cluster

        • Geben Sie den AWS geheimen ARN an, der die Anmeldeinformationen für den ausgewählten Amazon Redshift Redshift-Cluster enthält. Der AWS geheime Schlüssel muss mit dem AmazonDataZoneDomain : [Domain_ID] Tag gekennzeichnet sein, um innerhalb eines Parametersatzes verwendet werden zu können.

          Wenn Sie noch kein AWS Geheimnis haben, können Sie auch ein neues Geheimnis erstellen, indem Sie Neues AWS Geheimnis erstellen wählen. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Namen des Geheimnisses, den Benutzernamen und das Passwort angeben können. Sobald Sie Create New AWS Secret wählen, DataZone erstellt Amazon ein neues Secret im AWS Secrets Manager-Service und stellt sicher, dass das Secret mit der Domain gekennzeichnet ist, in der Sie versuchen, den Parametersatz zu erstellen.

        • Geben Sie den Amazon Redshift Redshift-Cluster an, den Sie beim Erstellen von Umgebungen verwenden möchten.

        • Geben Sie den Namen der Datenbank (innerhalb des von Ihnen ausgewählten Clusters) an, die Sie beim Erstellen von Umgebungen verwenden möchten.

  5. Wählen Sie Parametersatz erstellen aus.