Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comptes associés sur Amazon DataZone
<a name="working-with-associated-accounts"></a>

L'association de vos AWS comptes à votre DataZone domaine Amazon permet aux utilisateurs du domaine de publier et de consommer les données de ces AWS comptes. La configuration d'une association de comptes se fait en trois étapes.
+ Commencez par partager le domaine avec le AWS compte souhaité en demandant l'association. Amazon DataZone utilise AWS Resource Access Manager (RAM) si le AWS compte est différent du AWS compte du domaine. Une association de comptes ne peut être initiée que par le DataZone domaine Amazon.
+ Ensuite, demandez au propriétaire du compte d'accepter la demande d'association.
+ Troisièmement, demandez au propriétaire du compte d'activer les plans d'environnement souhaités. En activant un plan, le propriétaire du compte fournit aux utilisateurs du domaine les rôles IAM et les configurations de ressources nécessaires pour créer et accéder aux ressources de leur compte, telles que les bases de données AWS Glue et les clusters Amazon Redshift.

Procédez comme suit pour associer un compte à Amazon DataZone :
+ Étape 1 - [Demande d'association avec d'autres AWS comptes](#invite-account-to-associate) 
+ Étape 2 - [Accepter une demande d'association de compte provenant d'un DataZone domaine Amazon et activer un plan d'environnement](#accept-invitation-to-associate)
+ Étape 3 - [Activer un plan d'environnement dans un compte associé AWS](#enable-blueprint-in-associated-account)

## Demande d'association avec d'autres AWS comptes
<a name="invite-account-to-associate"></a>

**Note**  
En envoyant une demande d'association à un autre AWS compte, vous partagez votre domaine avec l'autre AWS compte avec AWS Resource Access Manager (RAM). Assurez-vous de vérifier l'exactitude de l'identifiant de compte que vous entrez.

Pour demander une association avec d'autres AWS comptes dans la DataZone console Amazon pour un DataZone domaine Amazon, vous devez assumer un rôle IAM dans le compte avec des autorisations administratives. [Configurer les autorisations IAM requises pour utiliser la console de DataZone gestion Amazon](create-iam-roles.md)pour obtenir les autorisations minimales nécessaires pour demander une association de compte.

Procédez comme suit pour demander une association avec d'autres AWS comptes.

1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Choisissez **Afficher les domaines** et choisissez le nom du domaine dans la liste. Le nom est un hyperlien.

1. Faites défiler l'écran jusqu'à l'onglet **Comptes associés** et sélectionnez **Demander une association**.

1. Entrez IDs les comptes dont vous souhaitez demander l'association. Lorsque vous êtes satisfait de la liste des comptes IDs, choisissez **Demander une association**.

1. Sous Politique de RAM, spécifiez la politique de RAM pour l'association de comptes. Vous pouvez soit choisir `AWSRAMPermissionDataZonePortalReadWrite` celui qui permettra aux comptes associés d'exécuter Amazon DataZone APIs et d'accéder au portail de données`AWSRAMPermissionDataZoneDefault`, soit celui qui permettra aux comptes associés d'exécuter uniquement Amazon DataZone APIs et ne fournira pas d'accès au portail de données. Amazon crée DataZone ensuite un partage de ressources dans le AWS Resource Access Manager au nom de votre compte, avec le ou les identifiants de compte saisis comme principaux.

1. Vous devez informer le propriétaire des autres AWS comptes pour qu'il accepte votre demande. Les invitations expirent au bout de sept (7) jours.

### Fournissez un accès au compte à votre clé KMS gérée par le client
<a name="invite-account-to-associate-domain-encrypted-with-customer-key"></a>

Les DataZone domaines Amazon et leurs métadonnées sont chiffrés, soit (par défaut) à l'aide d'une clé détenue par le client AWS, soit (éventuellement) d'une clé gérée par le client par le biais du AWS Key Management Service (KMS) que vous possédez et que vous fournissez lors de la création du domaine. Si votre domaine est chiffré à l'aide d'une clé gérée par le client, suivez la procédure ci-dessous pour autoriser le compte associé à utiliser la clé KMS.

1. Connectez-vous à la console de AWS gestion et ouvrez la console KMS à l'adresse [https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/).

1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez **Clés gérées par le client**.

1. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

1. Dans la liste des clés KMS, choisissez l'alias ou l'ID de clé de la clé KMS que vous souhaitez examiner.

1. Pour autoriser ou interdire aux AWS comptes externes d'utiliser la clé KMS, utilisez les commandes de la section **Autres AWS comptes** de la page. Les principaux IAM de ces comptes (dotés eux-mêmes des autorisations KMS appropriées) peuvent utiliser la clé KMS dans le cadre d'opérations cryptographiques, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.

## Accepter une demande d'association de compte provenant d'un DataZone domaine Amazon et activer un plan d'environnement
<a name="accept-invitation-to-associate"></a>

Pour accepter l'association dans la console DataZone de gestion Amazon avec un DataZone domaine Amazon, vous devez assumer un rôle IAM dans le compte avec des autorisations administratives. [Configurer les autorisations IAM requises pour utiliser la console de DataZone gestion Amazon](create-iam-roles.md)pour obtenir les autorisations minimales.

Complétez ce qui suit pour accepter l'association avec un DataZone domaine Amazon.

1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Choisissez **Afficher les demandes** et sélectionnez le domaine invitant dans la liste. L'état de l'invitation doit être **demandé**. Choisissez **Demande de révision**.

1. Choisissez d'activer les plans d'environnement d'entrepôt de données par défaut and/or des lacs de données en ne cochant aucune des cases, les deux ou l'une des cases. Tu pourras le faire plus tard.
   + Le plan d'environnement du lac de données permet aux utilisateurs du domaine de créer et de gérer les ressources AWS Glue, Amazon S3 et Amazon Athena à publier et à consommer à partir d'un lac de données.
   + Le plan d'environnement d'entrepôt de données permet aux utilisateurs du domaine de créer et de gérer des ressources Amazon Redshift à publier et à consommer à partir d'un entrepôt de données.

1. Si vous choisissez de sélectionner l'un des plans d'environnement par défaut ou les deux, configurez les autorisations et ressources suivantes.
   + Le **rôle IAM de gestion des accès** fournit des autorisations à Amazon pour permettre DataZone aux utilisateurs du domaine d'ingérer et de gérer l'accès à des tables, telles que AWS Glue et Amazon Redshift. Vous pouvez choisir de demander à Amazon de DataZone créer et d'utiliser un nouveau rôle IAM, ou vous pouvez choisir parmi une liste de rôles IAM existants.
   + Le **rôle Provisioning IAM** fournit des autorisations DataZone à Amazon pour permettre aux utilisateurs du domaine de créer et de configurer des ressources d'environnement, telles que les bases de données AWS Glue. Vous pouvez choisir de demander à Amazon de DataZone créer et d'utiliser un nouveau rôle IAM, ou vous pouvez choisir parmi une liste de rôles IAM existants.
   + Le compartiment **Amazon S3 pour Data Lake** est le compartiment ou le chemin qu'Amazon utilisera lorsque les utilisateurs du domaine DataZone stockeront les données du lac de données. Vous pouvez utiliser le compartiment par défaut sélectionné par Amazon DataZone ou choisir votre propre chemin Amazon S3 existant en saisissant sa chaîne de chemin. Si vous sélectionnez votre propre chemin Amazon S3, vous devrez mettre à jour les politiques IAM pour autoriser Amazon DataZone à l'utiliser.

1. Lorsque vous êtes satisfait de vos configurations, choisissez **Accepter et configurez l'association**.

## Activer un plan d'environnement dans un compte associé AWS
<a name="enable-blueprint-in-associated-account"></a>

Pour activer un plan d'environnement dans la console de DataZone gestion Amazon, vous devez assumer un rôle IAM dans le compte avec des autorisations administratives. [Configurer les autorisations IAM requises pour utiliser la console de DataZone gestion Amazon](create-iam-roles.md)pour obtenir les autorisations minimales.

Procédez comme suit pour activer un plan dans un domaine associé.

1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Ouvrez le panneau de navigation de gauche et choisissez **Domaines associés**.

1. Choisissez le domaine pour lequel vous souhaitez activer un plan d'environnement.

1. Dans la liste des **plans**, choisissez soit le plan **DefaultDataWarehouse**, **DefaultDataLake**soit le plan **Amazon SageMaker**, soit le plan du ** AWS service personnalisé**.
**Note**  
Si vous activez le plan de ** AWS service personnalisé**, il n'est pas nécessaire de spécifier un rôle de gestion des accès. Les autorisations et le mécanisme d'autorisation pour le plan du ** AWS service personnalisé** sont gérés lorsque vous créez des environnements à l'aide de ce plan. Pour de plus amples informations, veuillez consulter [Création d'un environnement à l'aide d'un plan AWS de service personnalisé](create-custom-environment.md). 

1. Sur la page de détails du plan choisi, choisissez **Activer dans ce compte**.

1. Sur la page Autorisations et ressources, spécifiez les éléments suivants :
   + Si vous activez le **DefaultDataLake**plan, pour le rôle **Glue Manage Access, spécifiez un rôle** de service nouveau ou existant qui DataZone autorise Amazon à ingérer et à gérer l'accès aux tables dans AWS Glue and AWS Lake Formation.
   + Si vous activez le **DefaultDataWarehouse**plan, pour le rôle **Redshift Manage Access**, spécifiez un rôle de service nouveau ou existant qui autorise DataZone Amazon à ingérer et à gérer l'accès aux partages de données, aux tables et aux vues dans Amazon Redshift.
   + Si vous activez le SageMaker plan **Amazon**, pour le rôle de **SageMaker gestion des accès, spécifiez un rôle** de service nouveau ou existant qui accorde à Amazon l' DataZone autorisation de publier les SageMaker données Amazon dans le catalogue. Cela donne également à Amazon l' DataZone autorisation d'accorder ou de révoquer l'accès aux ressources SageMaker publiées par Amazon dans le catalogue. 
**Important**  
Lorsque vous activez le SageMaker plan **Amazon**, Amazon DataZone vérifie si les rôles IAM suivants pour Amazon DataZone existent dans le compte et la région actuels. Si ces rôles n'existent pas, Amazon les crée DataZone automatiquement.  
AmazonDataZoneGlueAccess- <region>- <domainId>
AmazonDataZoneRedshiftAccess- <region>- <domainId>
   + Pour le **rôle de provisionnement**, spécifiez un rôle de service nouveau ou existant qui accorde à Amazon DataZone l'autorisation de créer et de configurer les ressources de l'environnement AWS CloudFormation à l'aide du compte et de la région d'environnement.
   + Si vous activez le SageMaker plan **Amazon**, pour le compartiment **Amazon S3 pour la source de données SageMaker -Glue**, spécifiez un compartiment Amazon S3 qui doit être utilisé par tous les SageMaker environnements du AWS compte. Le préfixe de compartiment que vous spécifiez doit être l'un des suivants : 
     + zone de données Amazon\*
     + créateur de zones de données\*
     + zone de données SageMaker\*
     + DataZone- Sagemaker\*
     + Sagemaker- \* DataZone
     + DataZone-SageMaker\*
     + SageMaker-DataZone\*

1. Choisissez **Activer le plan**.

Une fois que vous avez activé le ou les plans choisis, vous pouvez contrôler quels projets peuvent utiliser les plans dans votre compte pour créer des profils d'environnement. Vous pouvez le faire en affectant la gestion des projets à la configuration du plan. 

**Spécifiez la gestion des projets sur Enabled DefaultDataLake ou DefaultDataWarehouse Blueprint**

1. Accédez à la DataZone console Amazon à l'adresse [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) et connectez-vous avec les informations d'identification de votre compte.

1. Ouvrez le panneau de navigation de gauche et sélectionnez **Domaines associés**, puis choisissez le domaine dans lequel vous souhaitez ajouter la gestion de projets.

1. Choisissez l'onglet **Blueprints**, puis choisissez DefaultDataLake ou DefaultDataWareshouse Blueprint.

1. Par défaut, tous les projets du domaine peuvent utiliser le DefaultDataWareshouse plan DefaultDataLake ou le plan du compte pour créer des profils d'environnement. Toutefois, vous pouvez limiter cela en affectant la gestion des projets au plan. Pour ajouter des projets de gestion, choisissez **Sélectionner la gestion du projet**, puis choisissez les projets que vous souhaitez ajouter en tant que gestion de projets dans le menu déroulant, puis **sélectionnez Sélectionner la gestion de projets**.

Une fois que vous avez activé le DefaultDataWarehouse plan dans votre AWS compte, vous pouvez ajouter des ensembles de paramètres à la configuration du plan. Un ensemble de paramètres est un groupe de clés et de valeurs, requis pour qu'Amazon DataZone établisse une connexion à votre cluster Amazon Redshift et est utilisé pour créer des environnements d'entrepôt de données. Ces paramètres incluent le nom de votre cluster Amazon Redshift, de votre base de données et le AWS secret contenant les informations d'identification du cluster. 

**Important**  
Par défaut, aucun projet de gestion n'est spécifié pour les plans d'environnement, ce qui signifie que tout DataZone utilisateur d'Amazon peut créer des profils pour un plan d'environnement. Par conséquent, il est fortement recommandé de toujours spécifier la gestion des projets pour vos plans d'environnement afin de garantir une gouvernance plus solide. 

**Ajouter des ensembles de paramètres au DefaultDataWarehouse plan**

1. Accédez à la DataZone console Amazon à l'adresse [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) et connectez-vous avec les informations d'identification de votre compte.

1. Ouvrez le panneau de navigation de gauche et sélectionnez **Domaines associés**, puis choisissez le domaine dans lequel vous souhaitez ajouter des ensembles de paramètres.

1. Choisissez l'onglet **Plans**, puis choisissez le DefaultDataWareshouse plan pour ouvrir la page de détails du plan.

1. Dans l'onglet **Ensembles de paramètres** de la page de détails du plan, choisissez **Créer un jeu de paramètres**.
   + Entrez un nom pour le jeu de paramètres.
   + Fournissez éventuellement une description du jeu de paramètres.
   + Sélectionner une région
   + Sélectionnez le cluster Amazon Redshift ou Amazon Redshift Serverless.
   + Sélectionnez l'ARN AWS secret qui contient les informations d'identification du cluster Amazon Redshift sélectionné ou du groupe de travail Amazon Redshift Serverless. Le AWS secret doit être étiqueté avec le `AmazonDataZoneDomain : [Domain_ID]` tag afin de pouvoir être utilisé dans un ensemble de paramètres. 
     + Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant **Créer un nouveau AWS secret**. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi **Create New AWS Secret**, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres. 
   + Sélectionnez le cluster Amazon Redshift ou le groupe de travail Amazon Redshift Serverless.
   + Entrez le nom de la base de données au sein du cluster Amazon Redshift ou du groupe de travail Amazon Redshift Serverless sélectionné. 
   + Choisissez **Créer un jeu de paramètres**. 

**Note**  
Vous ne pouvez ajouter que 10 ensembles de paramètres au DefaultDataWarehouse plan.

Une fois que vous avez activé le SageMaker plan Amazon dans votre AWS compte, vous pouvez ajouter des ensembles de paramètres à la configuration du plan. Un ensemble de paramètres est un groupe de clés et de valeurs, requis pour DataZone qu'Amazon puisse établir une connexion avec votre Amazon SageMaker et utilisé pour créer des environnements Sagemaker. 

**Ajouter des ensembles de paramètres au SageMaker plan Amazon**

1. Accédez à la DataZone console Amazon à l'adresse [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) et connectez-vous avec les informations d'identification de votre compte.

1. Choisissez **Afficher les domaines**, puis choisissez le domaine contenant le plan activé dans lequel vous souhaitez ajouter le jeu de paramètres. 

1. Choisissez l'onglet **Blueprints**, puis choisissez le SageMaker plan Amazon pour ouvrir la page de détails du plan.

1. Sous l'onglet **Ensembles de paramètres** de la page de détails du plan, choisissez **Créer un jeu de paramètres**, puis spécifiez les éléments suivants :
   + Entrez un **nom** pour le jeu de paramètres.
   + Vous pouvez éventuellement fournir une **description** pour le jeu de paramètres.
   + Spécifiez le type d'authentification SageMaker du domaine Amazon. Vous pouvez choisir IAM ou IAM Identity Center (SSO). 
   + Spécifiez une AWS région.
   + Spécifiez une clé AWS KMS pour le chiffrement des données. Vous pouvez choisir une clé existante ou en créer une nouvelle.
   + Sous **Paramètres d'environnement**, spécifiez les éléments suivants : 
     + ID VPC : ID que vous utilisez pour le VPC de l'environnement Amazon. SageMaker Vous pouvez spécifier un VPC existant ou en créer un nouveau.
     + Sous-réseaux : un ou plusieurs IDs pour une plage d'adresses IP pour des ressources spécifiques au sein de votre VPC.
     + Accès au réseau : choisissez **VPC uniquement** ou **Internet public** uniquement.
     + Groupe de sécurité : groupe de sécurité à utiliser lors de la configuration du VPC et des sous-réseaux. 
   + Sous Paramètres de la source de données, sélectionnez l'une des options suivantes : 
     + AWS Glue uniquement
     + AWS Glue \+ Amazon Redshift sans serveur. Si vous choisissez cette option, spécifiez les éléments suivants :
       + Spécifiez l'ARN AWS secret qui contient les informations d'identification du cluster Amazon Redshift sélectionné. Le AWS secret doit être étiqueté avec le `AmazonDataZoneDomain : [Domain_ID]` tag afin de pouvoir être utilisé dans un ensemble de paramètres. 

         Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant **Créer un nouveau AWS secret**. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi **Create New AWS Secret**, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres. 
       + Spécifiez le groupe de travail Amazon Redshift que vous souhaitez utiliser lors de la création d'environnements.
       + Spécifiez le nom de la base de données (au sein du groupe de travail que vous avez choisi) que vous souhaitez utiliser lors de la création d'environnements.
     + AWS Glue uniquement \+ Amazon Redshift Cluster
       + Spécifiez l'ARN AWS secret qui contient les informations d'identification du cluster Amazon Redshift sélectionné. Le AWS secret doit être étiqueté avec le `AmazonDataZoneDomain : [Domain_ID]` tag afin de pouvoir être utilisé dans un ensemble de paramètres. 

         Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant **Créer un nouveau AWS secret**. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi **Create New AWS Secret**, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres. 
       + Spécifiez le cluster Amazon Redshift que vous souhaitez utiliser lors de la création d'environnements.
       + Spécifiez le nom de la base de données (au sein du cluster que vous avez choisi) que vous souhaitez utiliser lors de la création d'environnements.

1. Choisissez **Créer un jeu de paramètres**.