Cuentas asociadas en Amazon DataZone - Amazon DataZone
Solicite la asociación con otras cuentas de AWSAcepte una solicitud de asociación de cuentas de un DataZone dominio de Amazon y active un plan de entornoHabilite un plan de entorno en una cuenta asociada AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuentas asociadas en Amazon DataZone

Al asociar tus AWS cuentas a tu DataZone dominio de Amazon, los usuarios del dominio pueden publicar y consumir datos de estas AWS cuentas. Hay tres pasos para configurar una asociación de cuentas.

  • En primer lugar, comparte el dominio con la AWS cuenta deseada solicitando la asociación. Amazon DataZone usa AWS Resource Access Manager (RAM) si la AWS cuenta es diferente de la AWS cuenta del dominio. Solo el DataZone dominio de Amazon puede iniciar una asociación de cuentas.

  • En segundo lugar, pida al propietario de la cuenta que acepte la solicitud de asociación.

  • En tercer lugar, pida al propietario de la cuenta que habilite los esquemas de entorno deseados. Al habilitar un blueprint, el propietario de la cuenta proporciona a los usuarios del dominio las funciones de IAM y las configuraciones de recursos necesarias para crear y acceder a los recursos de su cuenta, como las bases de datos de AWS Glue y los clústeres de Amazon Redshift.

Completa el siguiente paso para asociar una cuenta a Amazon DataZone:

Solicite la asociación con otras cuentas de AWS

nota

Al enviar una solicitud de asociación a otra AWS cuenta, compartes tu dominio con la otra AWS cuenta con AWS Resource Access Manager (RAM). Asegúrese de comprobar la precisión del identificador de cuenta que introduzca.

Para solicitar la asociación con otras AWS cuentas de la DataZone consola de Amazon para un DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazonpara obtener los permisos mínimos necesarios para solicitar la asociación de una cuenta.

Complete el siguiente procedimiento para solicitar la asociación con otras AWS cuentas.

  1. Inicie sesión en la consola AWS de administración y abra la consola de DataZone administración de Amazon en https://console.aws.amazon.com/datazone.

  2. Seleccione Ver dominios y elija el nombre del dominio de la lista. El nombre es un hipervínculo.

  3. Desplácese hacia abajo hasta la pestaña Cuentas asociadas y elija Solicitar asociación.

  4. Introduzca IDs las cuentas que desee solicitar la asociación. Cuando esté satisfecho con la lista de cuentas IDs, elija Solicitar asociación.

  5. En Política de RAM, especifique la política de RAM para la asociación de cuentas. Puedes elegir AWSRAMPermissionDataZonePortalReadWrite qué permitirá que las cuentas asociadas ejecuten Amazon DataZone APIs y accedan al portal de datos o puedes elegir AWSRAMPermissionDataZoneDefault qué permite que las cuentas asociadas solo ejecuten Amazon DataZone APIs y no proporcionen acceso al portal de datos. DataZone A continuación, Amazon crea un recurso compartido en AWS Resource Access Manager en nombre de su cuenta, con los ID de cuenta introducidos como principales.

  6. Debe notificar al propietario de las otras AWS cuentas para que acepte su solicitud. Las invitaciones vencen después de siete (7) días.

Concesión de acceso de cuenta a la clave KMS administrada por el cliente

Los DataZone dominios de Amazon y sus metadatos se cifran (de forma predeterminada) mediante una clave mantenida por AWS u (opcionalmente) una clave gestionada por el cliente del Servicio de gestión de AWS claves (KMS) que usted posea y que proporcione durante la creación del dominio. Si el dominio está cifrado con una clave administrada por el cliente, siga el procedimiento que se detalla a continuación para conceder permiso a la cuenta asociada para usar la clave KMS.

  1. Inicie sesión en la consola AWS de administración y abra la consola de KMS en. https://console.aws.amazon.com/kms/

  2. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.

  3. Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.

  4. En la lista de claves KMS, elija el alias o ID de clave de la clave KMS que desea examinar.

  5. Para permitir o impedir que AWS las cuentas externas usen la clave KMS, utilice los controles de la sección Otras AWS cuentas de la página. Las entidades principales de IAM de estas cuentas (con los permisos de KMS adecuados) pueden usar la clave KMS en operaciones criptográficas, como cifrar, descifrar, volver a cifrar y generar claves de datos.

Acepte una solicitud de asociación de cuentas de un DataZone dominio de Amazon y active un plan de entorno

Para aceptar la asociación en la consola DataZone de administración de Amazon con un DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazonpara obtener los permisos mínimos.

Completa lo siguiente para aceptar la asociación con un DataZone dominio de Amazon.

  1. Inicie sesión en la consola AWS de administración y abra la consola de DataZone administración de Amazon en https://console.aws.amazon.com/datazone.

  2. Elija Ver solicitudes y seleccione el dominio que lo invita de la lista. El estado de la invitación debe ser Solicitado. Seleccione Revisar solicitud.

  3. Elija si desea habilitar los esquemas predeterminados del entorno del lago de datos o del almacenamiento de datos. Para ello, seleccione una de las casillas, ambas o ninguna. Podrá hacerlo más adelante.

    • El esquema del entorno del lago de datos permite a los usuarios del dominio crear y administrar recursos de AWS Glue, Amazon S3 y Amazon Athena para publicarlos y consumirlos desde un lago de datos.

    • El esquema del entorno del almacenamiento de datos permite a los usuarios del dominio crear y administrar recursos de Amazon Redshift para publicarlos y consumirlos desde un almacenamiento de datos.

  4. Si elige seleccionar uno o ambos esquemas de entorno predeterminados, configure los siguientes permisos y recursos.

    • La función Gestionar el acceso (IAM) proporciona permisos a Amazon DataZone para permitir a los usuarios del dominio ingerir y gestionar el acceso a las tablas, como AWS Glue y Amazon Redshift. Puede elegir que Amazon DataZone cree y utilice un nuevo rol de IAM, o puede elegir uno de los roles de IAM existentes.

    • La función IAM de aprovisionamiento proporciona permisos DataZone a Amazon para que los usuarios del dominio puedan crear y configurar recursos del entorno, como las bases de datos de AWS Glue. Puede elegir que Amazon DataZone cree y utilice un nuevo rol de IAM, o puede elegir uno de los roles de IAM existentes.

    • El depósito de Amazon S3 para Data Lake es el depósito o la ruta que DataZone utilizará Amazon cuando los usuarios del dominio almacenen datos de data lake. Puedes usar el bucket predeterminado seleccionado por Amazon DataZone o elegir tu propia ruta de Amazon S3 existente introduciendo su cadena de ruta. Si seleccionas tu propia ruta de Amazon S3, tendrás que actualizar las políticas de IAM para conceder a Amazon DataZone los permisos necesarios para usarla.

  5. Cuando le parezcan correctas las configuraciones, haga clic en Aceptar y configurar asociación.

Habilite un plan de entorno en una cuenta asociada AWS

Para habilitar un blueprint de entorno en la consola DataZone de administración de Amazon, debe asumir una función de IAM en la cuenta con permisos administrativos. Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazonpara obtener los permisos mínimos.

Complete lo siguiente para habilitar un esquema en un dominio asociado.

  1. Inicie sesión en la consola AWS de administración y abra la consola de DataZone administración de Amazon en https://console.aws.amazon.com/datazone.

  2. Abra el panel de navegación izquierdo y elija Dominios asociados.

  3. Elija el dominio para el que desea habilitar un esquema de entorno.

  4. En la lista de planos, elija el DefaultDataLakeplano DefaultDataWarehouse SageMaker, Amazon o Custom AWS Service.

    nota

    Si está habilitando el esquema de AWS servicio personalizado, no necesita especificar una función de administración del acceso. Los permisos y el mecanismo de autorización del modelo de AWS servicio personalizado se gestionan al crear entornos mediante este esquema. Para obtener más información, consulte Creación de un entorno mediante un esquema de servicios de AWS personalizado.

  5. En la página de detalles del esquema elegido, seleccione Habilitar en esta cuenta.

  6. En la página Permisos y recursos, especifique lo siguiente:

    • Si estás habilitando el DefaultDataLakeblueprint, para la función Glue Manage Access, especifica una función de servicio nueva o existente que DataZone autorice a Amazon a ingerir y gestionar el acceso a las tablas de AWS Glue and AWS Lake Formation.

    • Si está habilitando el DefaultDataWarehouseblueprint, para la función Administrar acceso de Redshift, especifique una función de servicio nueva o existente que autorice a DataZone Amazon a ingerir y administrar el acceso a datos compartidos, tablas y vistas en Amazon Redshift.

    • Si está habilitando el SageMaker blueprint de Amazon, en la función SageMaker Administrar acceso, especifique una función de servicio nueva o existente que conceda DataZone permisos a Amazon para publicar SageMaker datos de Amazon en el catálogo. También otorga DataZone permisos a Amazon para conceder o revocar el acceso a los activos SageMaker publicados por Amazon en el catálogo.

      importante

      Al activar el SageMaker blueprint de Amazon, Amazon DataZone comprueba si las siguientes funciones de IAM para Amazon DataZone existen en la cuenta corriente y la región. Si estos roles no existen, Amazon los crea DataZone automáticamente.

      • AmazonDataZoneGlueAccess- <region>- <domainId>

      • AmazonDataZoneRedshiftAccess- <region>- <domainId>

    • En la función de aprovisionamiento, especifique una función de servicio nueva o existente que DataZone autorice a Amazon a crear y configurar los recursos del entorno utilizando AWS CloudFormation la cuenta y la región del entorno.

    • Si está habilitando el SageMaker blueprint de Amazon, para el bucket de Amazon S3 para la fuente de datos SageMaker -Glue, especifique un bucket de Amazon S3 que vayan a utilizar todos los SageMaker entornos de la AWS cuenta. El prefijo del bucket que especifique debe ser uno de los siguientes:

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker- * DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Elija Habilitar esquema.

Una vez que haya habilitado el/los esquema/s elegido/s, podrá controlar qué proyectos pueden utilizarlos en su cuenta para crear perfiles de entorno. Para ello, asigne la administración de proyectos a la configuración del esquema.

Especifique la gestión de proyectos en modo activado DefaultDataLake o plano DefaultDataWarehouse

  1. Ve a la DataZone consola de Amazon en https://console.aws.amazon.com/datazone e inicia sesión con las credenciales de tu cuenta.

  2. Abra el panel de navegación izquierdo y seleccione Dominios asociados y, a continuación, elija el dominio al que desea añadir proyectos de gestión.

  3. Selecciona la pestaña Planos y, a continuación, elige nuestro plano. DefaultDataLake DefaultDataWareshouse

  4. De forma predeterminada, todos los proyectos del dominio pueden usar el DefaultDataWareshouse plano DefaultDataLake o plano de la cuenta para crear perfiles de entorno. Sin embargo, puede restringirlo asignando la administración de proyectos al esquema. Para agregar proyectos de gestión, elija Seleccionar proyecto de gestión y, a continuación, elija los proyectos que desee añadir como proyectos de gestión en el menú desplegable y, a continuación, seleccione Seleccionar proyecto(s) de gestión.

Una vez que habilite el DefaultDataWarehouse blueprint en su AWS cuenta, podrá añadir conjuntos de parámetros a la configuración del blueprint. Un conjunto de parámetros es un grupo de claves y valores necesarios para que Amazon DataZone establezca una conexión con el clúster de Amazon Redshift y que se utiliza para crear entornos de almacenamiento de datos. Estos parámetros incluyen el nombre del clúster de Amazon Redshift, la base de datos y el AWS secreto que contiene las credenciales del clúster.

importante

De forma predeterminada, no se especifica ningún proyecto de gestión para los blueprints del entorno, lo que significa que cualquier DataZone usuario de Amazon puede crear perfiles para un blueprint del entorno. Por lo tanto, se recomienda encarecidamente que siempre especifique la administración de proyectos para los esquemas de su entorno a fin de garantizar una gobernanza más sólida.

Añadir conjuntos de parámetros al esquema DefaultDataWarehouse

  1. Ve a la DataZone consola de Amazon en https://console.aws.amazon.com/datazone e inicia sesión con las credenciales de tu cuenta.

  2. Abra el panel de navegación izquierdo y seleccione Dominios asociados y, a continuación, elija el dominio al que desea añadir los conjuntos de proyectos.

  3. Selecciona la pestaña Blueprints y, a continuación, elige el DefaultDataWareshouse blueprint para abrir la página de detalles del blueprint.

  4. En la pestaña Conjuntos de parámetros de la página de detalles del esquema, elija Crear conjunto de parámetros.

    • Proporcione un Nombre para el conjunto de parámetros.

    • Si lo desea, facilite una descripción para el conjunto de parámetros.

    • Seleccione una región

    • Seleccione un clúster de Amazon Redshift o Amazon Redshift sin servidor.

    • Seleccione el ARN AWS secreto que contiene las credenciales del clúster de Amazon Redshift seleccionado o del grupo de trabajo Amazon Redshift Serverless. El AWS secreto debe estar etiquetado con la AmazonDataZoneDomain : [Domain_ID] etiqueta para que pueda usarse dentro de un conjunto de parámetros.

      • Si no tienes un AWS secreto existente, también puedes crear uno nuevo seleccionando Crear nuevo AWS secreto. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando eliges Create New AWS Secret, Amazon DataZone crea un nuevo secreto en el servicio AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que intentas crear el conjunto de parámetros.

    • Seleccione un clúster de Amazon Redshift o un grupo de trabajo de Amazon Redshift sin servidor.

    • Introduzca el nombre de la base de datos del clúster de Amazon Redshift o del grupo de trabajo de Amazon Redshift sin servidor seleccionado.

    • Elija Crear conjunto de parámetros.

nota

Solo puedes añadir un máximo de 10 conjuntos de parámetros al DefaultDataWarehouse plano.

Una vez que habilites el SageMaker blueprint de Amazon en tu AWS cuenta, podrás añadir conjuntos de parámetros a la configuración del blueprint. Un conjunto de parámetros es un grupo de claves y valores necesarios para DataZone que Amazon establezca una conexión con tu Amazon SageMaker y que se utiliza para crear entornos de SageMaker.

Añadir conjuntos de parámetros al SageMaker blueprint de Amazon

  1. Ve a la DataZone consola de Amazon en https://console.aws.amazon.com/datazone e inicia sesión con las credenciales de tu cuenta.

  2. Elija Ver dominios y, a continuación, elija el dominio que contiene el esquema habilitado en el que desea agregar el conjunto de parámetros.

  3. Selecciona la pestaña Blueprints y, a continuación, elige el SageMaker blueprint de Amazon para abrir la página de detalles del blueprint.

  4. En la pestaña Conjuntos de parámetros de la página de detalles del esquema, elija Crear conjunto de parámetros y, a continuación, especifique lo siguiente:

    • Proporcione un Nombre para el conjunto de parámetros.

    • Si lo desea, facilite una Descripción para el conjunto de parámetros.

    • Especifica el tipo de autenticación SageMaker del dominio de Amazon. Puede elegir IAM o IAM Identity Center (SSO).

    • Especifique una AWS región.

    • Especifique una clave AWS KMS para el cifrado de datos. Puede elegir una clave que ya exista o crear una nueva.

    • En Parámetros del entorno, especifique lo siguiente:

      • ID de VPC: el ID que utilizas para la VPC del entorno de Amazon. SageMaker Puede especificar una VPC que ya exista o crear una nueva.

      • Subredes: una o más IDs para un rango de direcciones IP para recursos específicos dentro de la VPC.

      • Acceso a la red: elija VPC solo o Internet público solo.

      • Grupo de seguridad: el grupo de seguridad que se debe usar al configurar la VPC y las subredes.

    • En Parámetros de origen de datos, elija una de las siguientes opciones:

      • AWS Glue únicamente

      • AWS Glue + Amazon Redshift Serverless. Si elige esta opción, debe especificar lo siguiente:

        • Especifique el AWS ARN secreto que contiene las credenciales del clúster de Amazon Redshift seleccionado. El AWS secreto debe estar etiquetado con la AmazonDataZoneDomain : [Domain_ID] etiqueta para que pueda usarse dentro de un conjunto de parámetros.

          Si no tienes un AWS secreto existente, también puedes crear uno nuevo seleccionando Crear nuevo AWS secreto. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando eliges Create New AWS Secret, Amazon DataZone crea un nuevo secreto en el servicio AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que intentas crear el conjunto de parámetros.

        • Especifique el grupo de trabajo de Amazon Redshift que desee utilizar al crear entornos.

        • Especifique el nombre de la base de datos (dentro del grupo de trabajo que elija) que desee utilizar al crear entornos.

      • AWS Solo Glue + Amazon Redshift Cluster

        • Especifique el AWS ARN secreto que contiene las credenciales del clúster de Amazon Redshift seleccionado. El AWS secreto debe estar etiquetado con la AmazonDataZoneDomain : [Domain_ID] etiqueta para que pueda usarse dentro de un conjunto de parámetros.

          Si no tienes un AWS secreto existente, también puedes crear uno nuevo seleccionando Crear nuevo AWS secreto. Esto abre un cuadro de diálogo en el que podrá proporcionar el nombre del secreto, el nombre de usuario y la contraseña. Cuando eliges Create New AWS Secret, Amazon DataZone crea un nuevo secreto en el servicio AWS Secrets Manager y se asegura de que el secreto esté etiquetado con el dominio en el que intentas crear el conjunto de parámetros.

        • Especifique el clúster de Amazon Redshift que desea utilizar al crear entornos.

        • Especifique el nombre de la base de datos (dentro del clúster que elija) que desee utilizar al crear entornos.

  5. Elija Crear conjunto de parámetros.