Cuentas asociadas en Amazon DataZone - Amazon DataZone
Solicite la asociación con otras cuentas de AWSAceptación de una solicitud de asociación de cuentas de un dominio de Amazon DataZone y activación de un esquema de entornoHabilitación de un esquema de entorno en una cuenta de AWS asociada

Cuentas asociadas en Amazon DataZone

Al asociar sus cuentas de AWS a su dominio de Amazon DataZone, los usuarios del dominio pueden publicar y consumir datos de estas cuentas de AWS. Hay tres pasos para configurar una asociación de cuentas.

  • En primer lugar, comparta el dominio con la cuenta de AWS deseada solicitando la asociación. Amazon DataZone usará AWS Resource Access Manager (RAM) si la cuenta de AWS es diferente de la cuenta del dominio de AWS. Solo el dominio Amazon DataZone puede iniciar una asociación de cuentas.

  • En segundo lugar, pida al propietario de la cuenta que acepte la solicitud de asociación.

  • En tercer lugar, pida al propietario de la cuenta que habilite los esquemas de entorno deseados. Al habilitar un esquema, el propietario de la cuenta proporciona a los usuarios del dominio los roles de IAM y las configuraciones de recursos necesarias para crear y acceder a los recursos de su cuenta, como las bases de datos de AWS Glue y los clústeres de Amazon Redshift.

Complete el siguiente paso para asociar una cuenta a Amazon DataZone:

Solicite la asociación con otras cuentas de AWS

nota

Al enviar una solicitud de asociación a otra cuenta de AWS, comparte su dominio con la otra cuenta de AWS con AWS Resource Access Manager (RAM). Asegúrese de comprobar la precisión del identificador de cuenta que introduzca.

Para solicitar la asociación con otras cuentas de AWS en la consola de Amazon DataZone para un dominio de Amazon DataZone, debe asumir un rol de IAM en la cuenta con permisos administrativos. Configuración de los permisos de IAM necesarios para usar la consola de administración de Amazon DataZone para obtener los permisos mínimos necesarios para solicitar una asociación de cuentas.

Complete el siguiente procedimiento para solicitar la asociación con otras cuentas de AWS.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de administración de Amazon DataZone en https://console.aws.amazon.com/datazone.

  2. Seleccione Ver dominios y elija el nombre del dominio de la lista. El nombre es un hipervínculo.

  3. Desplácese hacia abajo hasta la pestaña Cuentas asociadas y elija Solicitar asociación.

  4. Introduzca los ID de las cuentas a las que desee solicitar asociación. Cuando esté satisfecho con la lista de identificadores de cuentas, elija Solicitar asociación.

  5. En Política de RAM, especifique la política de RAM para la asociación de cuentas. Tendrá la posibilidad de elegir AWSRAMPermissionDataZonePortalReadWrite, lo qué permitirá a las cuentas asociadas ejecutar las API de Amazon DataZone y acceder al portal de datos, o puede elegir AWSRAMPermissionDataZoneDefault, lo qué permitirá que las cuentas asociadas solo ejecuten las API de Amazon DataZone y no proporcionen acceso al portal de datos. A continuación, Amazon DataZone creará un recurso compartido en el AWS Resource Access Manager en nombre de su cuenta, con los ID de cuenta introducidos como entidades principales.

  6. Debe notificar al propietario de las otras cuentas de AWS para que acepte su solicitud. Las invitaciones vencen después de siete (7) días.

Concesión de acceso de cuenta a la clave KMS administrada por el cliente

Los dominios de Amazon DataZone y sus metadatos se cifran (de forma predeterminada) mediante una clave mantenida por AWS o (de manera opcional) mediante una clave administrada por el cliente del AWS Key Management Service (KMS) que usted posea y que proporcione durante la creación del dominio. Si el dominio está cifrado con una clave administrada por el cliente, siga el procedimiento que se detalla a continuación para conceder permiso a la cuenta asociada para usar la clave KMS.

  1. Inicie sesión en la consola de administración de AWS y abra la consola KMS en https://console.aws.amazon.com/kms/.

  2. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.

  3. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.

  4. En la lista de claves KMS, elija el alias o ID de clave de la clave KMS que desea examinar.

  5. Para permitir o no permitir que las cuentas de AWS externas usen la clave KMS, utilice los controles de la sección Otras cuentas de AWS de la página. Las entidades principales de IAM de estas cuentas (con los permisos de KMS adecuados) pueden usar la clave KMS en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.

Aceptación de una solicitud de asociación de cuentas de un dominio de Amazon DataZone y activación de un esquema de entorno

Para aceptar la asociación con un dominio de Amazon DataZone en la consola de administración de Amazon DataZone, debe asumir un rol de IAM en la cuenta con permisos administrativos. Configuración de los permisos de IAM necesarios para usar la consola de administración de Amazon DataZone para obtener los permisos mínimos.

Complete el siguiente paso para aceptar la asociación con un dominio de Amazon DataZone:

  1. Inicie sesión en la consola de administración de AWS y abra la consola de administración de Amazon DataZone en https://console.aws.amazon.com/datazone.

  2. Elija Ver solicitudes y seleccione el dominio que lo invita de la lista. El estado de la invitación debe ser Solicitado. Seleccione Revisar solicitud.

  3. Elija si desea habilitar los esquemas predeterminados del entorno del lago de datos o del almacenamiento de datos. Para ello, seleccione una de las casillas, ambas o ninguna. Podrá hacerlo más adelante.

    • El esquema del entorno del lago de datos permite a los usuarios del dominio crear y administrar recursos de AWS Glue, Amazon S3 y Amazon Athena para publicarlos y consumirlos desde un lago de datos.

    • El esquema del entorno del almacenamiento de datos permite a los usuarios del dominio crear y administrar recursos de Amazon Redshift para publicarlos y consumirlos desde un almacenamiento de datos.

  4. Si elige seleccionar uno o ambos esquemas de entorno predeterminados, configure los siguientes permisos y recursos.

    • El rol de IAM de administración de acceso proporciona permisos a Amazon DataZone para permitir a los usuarios del dominio ingerir y administrar el acceso a tablas, como AWS Glue y Amazon Redshift. Puede elegir que Amazon DataZone cree y utilice un nuevo rol de IAM, o puede elegir uno de la lista de roles de IAM existentes.

    • El rol de IAM de aprovisionamiento proporciona permisos a Amazon DataZone para que los usuarios del dominio puedan crear y configurar recursos del entorno, como las bases de datos de AWS Glue. Puede elegir que Amazon DataZone cree y utilice un nuevo rol de IAM, o puede elegir uno de la lista de roles de IAM existentes.

    • El bucket de Amazon S3 para el lago de datos es el bucket o la ruta que utilizará Amazon DataZone cuando los usuarios del dominio almacenen datos del lago de datos. Puede usar el bucket predeterminado seleccionado por Amazon DataZone o elegir su propia ruta de Amazon S3 existente introduciendo su cadena de ruta. Si selecciona su propia ruta de Amazon S3, tendrá que actualizar las políticas de IAM para proporcionar a Amazon DataZone los permisos para usarla.

  5. Cuando le parezcan correctas las configuraciones, haga clic en Aceptar y configurar asociación.

Habilitación de un esquema de entorno en una cuenta de AWS asociada

Para habilitar un esquema de entorno en la consola de administración de Amazon DataZone, debe asumir un rol de IAM en la cuenta con permisos administrativos. Configuración de los permisos de IAM necesarios para usar la consola de administración de Amazon DataZone para obtener los permisos mínimos.

Complete lo siguiente para habilitar un esquema en un dominio asociado.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de administración de Amazon DataZone en https://console.aws.amazon.com/datazone.

  2. Abra el panel de navegación izquierdo y elija Dominios asociados.

  3. Elija el dominio para el que desea habilitar un esquema de entorno.

  4. En la lista Esquemas, elija DefaultDataLake o DefaultDataWarehouse, o Amazon SageMaker o el esquema Servicio de AWS personalizado.

    nota

    Si está habilitando el esquema Servicio personalizado de AWS, no necesita especificar un rol de administración de acceso. Los permisos y el mecanismo de autorización del esquema de Servicio personalizado de AWS se gestionan al crear entornos mediante este esquema. Para obtener más información, consulte Creación de un entorno mediante un esquema de servicios de AWS personalizado.

  5. En la página de detalles del esquema elegido, seleccione Habilitar en esta cuenta.

  6. En la página Permisos y recursos, especifique lo siguiente:

    • Si está habilitando el esquema DefaultDataLake para el rol de administración de acceso a Glue, especifique un rol de servicio nuevo o existente que autorice a Amazon DataZone a incorporar y administrar el acceso a las tablas de AWS Glue y AWS Lake Formation.

    • Si está habilitando el esquema DefaultDataWarehouse para el rol de administración de acceso a Redshift, especifique un rol de servicio nuevo o existente que autorice a Amazon DataZone a incorporar y administrar el acceso a recursos compartidos de datos, tablas y vistas en Amazon Redshift.

    • Si está habilitando el esquema de Amazon SageMaker para el rol de administración de acceso a SageMaker, especifique un rol de servicio nuevo o existente que conceda permisos a Amazon DataZone para publicar datos de Amazon SageMaker en el catálogo. También proporciona permisos a Amazon DataZone para conceder o revocar acceso a los activos publicados de Amazon SageMaker en el catálogo.

      importante

      Cuando habilita el esquema de Amazon SageMaker, Amazon DataZone comprueba si los siguientes roles de IAM para Amazon DataZone existen en la cuenta y en la región actuales. Si estos roles no existen, Amazon DataZone los crea automáticamente.

      • AmazonDataZoneGlueAccess-<region>-<domainId>

      • AmazonDataZoneRedshiftAccess-<region>-<domainId>

    • Para el rol de aprovisionamiento, especifique un rol de servicio nuevo o existente que autorice a Amazon DataZone a crear y configurar recursos del entorno mediante AWS CloudFormation en la cuenta y la región del entorno.

    • Si está habilitando el esquema de Amazon SageMaker para el bucket de Amazon S3 para el origen de datos de SageMaker-Glue, especifique un bucket de Amazon S3 que vaya a ser utilizado por todos los entornos de SageMaker en la cuenta de AWS. El prefijo del bucket que especifique debe ser uno de los siguientes:

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker-DataZone*

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Elija Habilitar esquema.

Una vez que haya habilitado el/los esquema/s elegido/s, podrá controlar qué proyectos pueden utilizarlos en su cuenta para crear perfiles de entorno. Para ello, asigne la administración de proyectos a la configuración del esquema.

Especificación de la administración de proyectos en el esquema DefaultDataLake o DefaultDataWarehouse habilitado

  1. Vaya a la consola de Amazon DataZone en https://console.aws.amazon.com/datazone e inicie sesión con las credenciales de su cuenta.

  2. Abra el panel de navegación izquierdo y seleccione Dominios asociados y, a continuación, elija el dominio al que desea añadir proyectos de gestión.

  3. Seleccione la pestaña Esquemas y, a continuación, elija el esquema DefaultDataLake o DefaultDataWareshouse.

  4. Todos los proyectos del dominio pueden usar el esquema de DefaultDataLake o DefaultDataWareshouse de forma predeterminada en la cuenta para crear perfiles de entorno. Sin embargo, puede restringirlo asignando la administración de proyectos al esquema. Para agregar proyectos de gestión, elija Seleccionar proyecto de gestión y, a continuación, elija los proyectos que desee añadir como proyectos de gestión en el menú desplegable y, a continuación, seleccione Seleccionar proyecto(s) de gestión.

Una vez que habilite el esquema DefaultDataWarehouse en su cuenta de AWS, podrá añadir conjuntos de parámetros a la configuración del esquema. Un conjunto de parámetros es un grupo de claves y valores necesarios para que Amazon DataZone establezca una conexión con el clúster de Amazon Redshift y se utiliza para crear entornos de almacenamiento de datos. Estos parámetros incluyen el nombre del clúster de Amazon Redshift, la base de datos y el secreto de AWS que contiene las credenciales del clúster.

importante

Para los esquemas del entorno no se especifica ninguna administración de proyectos de forma predeterminada, lo que significa que cualquier usuario de Amazon DataZone puede crear perfiles para un esquema de entorno. Por lo tanto, se recomienda encarecidamente que siempre especifique la administración de proyectos para los esquemas de su entorno a fin de garantizar una gobernanza más sólida.

Agregación de conjuntos de parámetros al esquema de DefaultDataWarehouse

  1. Vaya a la consola de Amazon DataZone en https://console.aws.amazon.com/datazone e inicie sesión con las credenciales de su cuenta.

  2. Abra el panel de navegación izquierdo y seleccione Dominios asociados y, a continuación, elija el dominio al que desea añadir los conjuntos de proyectos.

  3. Seleccione la pestaña Esquemas y, a continuación, elija el esquema DefaultDataWareshouse para abrir la página de detalles del esquema.

  4. En la pestaña Conjuntos de parámetros de la página de detalles del esquema, elija Crear conjunto de parámetros.

    • Proporcione un Nombre para el conjunto de parámetros.

    • Si lo desea, facilite una descripción para el conjunto de parámetros.

    • Seleccione una región

    • Seleccione un clúster de Amazon Redshift o Amazon Redshift sin servidor.

    • Seleccione el ARN del secreto de AWS que contiene las credenciales del clúster de Amazon Redshift seleccionado o del grupo de trabajo de Amazon Redshift sin servidor. El secreto de AWS debe estar etiquetado con la etiqueta AmazonDataZoneDomain : [Domain_ID] para que pueda usarse dentro de un conjunto de parámetros.

      • Si no tiene un secreto de AWS, también puede crear uno nuevo eligiendo Crear un nuevo secreto de AWS. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando selecciona Crear un nuevo secreto de AWS, Amazon DataZone crea un nuevo secreto en el servicio de AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que está intentando crear el conjunto de parámetros.

    • Seleccione un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor.

    • Introduzca el nombre de la base de datos del clúster de Amazon Redshift o del grupo de trabajo de Amazon Redshift sin servidor seleccionado.

    • Elija Crear conjunto de parámetros.

nota

Solo puede añadir un máximo de 10 conjuntos de parámetros al esquema de DefaultDataWarehouse.

Una vez que habilite el esquema Amazon SageMaker en su cuenta de AWS, podrá añadir conjuntos de parámetros a la configuración del esquema. Un conjunto de parámetros es un grupo de claves y valores necesarios para que Amazon DataZone establezca una conexión con Amazon SageMaker, y se utiliza para crear entornos de SageMaker.

Agregación de conjuntos de parámetros al esquema de Amazon SageMaker

  1. Vaya a la consola de Amazon DataZone en https://console.aws.amazon.com/datazone e inicie sesión con las credenciales de su cuenta.

  2. Elija Ver dominios y, a continuación, elija el dominio que contiene el esquema habilitado en el que desea agregar el conjunto de parámetros.

  3. Elija la pestaña Esquemas y, a continuación, elija el esquema Amazon SageMaker para abrir la página de detalles del esquema.

  4. En la pestaña Conjuntos de parámetros de la página de detalles del esquema, elija Crear conjunto de parámetros y, a continuación, especifique lo siguiente:

    • Proporcione un Nombre para el conjunto de parámetros.

    • Si lo desea, facilite una Descripción para el conjunto de parámetros.

    • Especifique el tipo de autenticación del dominio de Amazon Sagemaker. Puede elegir IAM o IAM Identity Center (SSO).

    • Especifique una región de AWS.

    • Especifique una clave de AWS KMS para el cifrado de datos. Puede elegir una clave que ya exista o crear una nueva.

    • En Parámetros del entorno, especifique lo siguiente:

      • ID de VPC: el ID que está utilizando para la VPC del entorno Amazon SageMaker. Puede especificar una VPC que ya exista o crear una nueva.

      • Subredes: uno o más ID para un rango de direcciones IP para recursos específicos dentro de su VPC.

      • Acceso a la red: elija VPC solo o Internet público solo.

      • Grupo de seguridad: el grupo de seguridad que se debe usar al configurar la VPC y las subredes.

    • En Parámetros de origen de datos, elija una de las siguientes opciones:

      • AWS Glue únicamente

      • AWS Glue + Amazon Redshift sin servidor. Si elige esta opción, debe especificar lo siguiente:

        • Especifique el ARN del secreto de AWS que contiene las credenciales del clúster de Amazon Redshift seleccionado. El secreto de AWS debe estar etiquetado con la etiqueta AmazonDataZoneDomain : [Domain_ID] para que pueda usarse dentro de un conjunto de parámetros.

          Si no tiene un secreto de AWS, también puede crear uno nuevo eligiendo Crear un nuevo secreto de AWS. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando selecciona Crear un nuevo secreto de AWS, Amazon DataZone crea un nuevo secreto en el servicio de AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que está intentando crear el conjunto de parámetros.

        • Especifique el grupo de trabajo de Amazon Redshift que desee utilizar al crear entornos.

        • Especifique el nombre de la base de datos (dentro del grupo de trabajo que elija) que desee utilizar al crear entornos.

      • AWS Glue únicamente + Clúster de Amazon Redshift

        • Especifique el ARN del secreto de AWS que contiene las credenciales del clúster de Amazon Redshift seleccionado. El secreto de AWS debe estar etiquetado con la etiqueta AmazonDataZoneDomain : [Domain_ID] para que pueda usarse dentro de un conjunto de parámetros.

          Si no tiene un secreto de AWS, también puede crear uno nuevo eligiendo Crear un nuevo secreto de AWS. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando selecciona Crear un nuevo secreto de AWS, Amazon DataZone crea un nuevo secreto en el servicio de AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que está intentando crear el conjunto de parámetros.

        • Especifique el clúster de Amazon Redshift que desea utilizar al crear entornos.

        • Especifique el nombre de la base de datos (dentro del clúster que elija) que desee utilizar al crear entornos.

  5. Elija Crear conjunto de parámetros.