Akun terkait di Amazon DataZone - Amazon DataZone
Minta asosiasi dengan AWS akun lainTerima permintaan asosiasi akun dari DataZone domain Amazon dan aktifkan cetak biru lingkunganMengaktifkan cetak biru lingkungan di akun terkait AWS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun terkait di Amazon DataZone

Mengaitkan AWS akun Anda dengan DataZone domain Amazon Anda memungkinkan pengguna domain mempublikasikan dan menggunakan data dari AWS akun ini. Ada tiga langkah untuk mengatur asosiasi akun.

  • Pertama, bagikan domain dengan AWS akun yang diinginkan dengan meminta asosiasi. Amazon DataZone menggunakan AWS Resource Access Manager (RAM) jika AWS akun berbeda dari AWS akun domain. Asosiasi akun hanya dapat dimulai oleh DataZone domain Amazon.

  • Kedua, minta pemilik akun menerima permintaan asosiasi.

  • Ketiga, minta pemilik akun mengaktifkan cetak biru lingkungan yang diinginkan. Dengan mengaktifkan cetak biru, pemilik akun menyediakan peran IAM dan konfigurasi sumber daya kepada pengguna di domain yang diperlukan untuk membuat dan mengakses sumber daya di akun mereka, seperti database AWS Glue dan cluster Amazon Redshift.

Selesaikan langkah berikut untuk mengaitkan akun dengan Amazon DataZone:

Minta asosiasi dengan AWS akun lain

catatan

Dengan mengirimkan permintaan asosiasi ke AWS akun lain, Anda membagikan domain Anda dengan AWS akun lain dengan AWS Resource Access Manager (RAM). Pastikan untuk memeriksa keakuratan ID akun yang Anda masukkan.

Untuk meminta asosiasi dengan AWS akun lain di DataZone konsol Amazon untuk DataZone domain Amazon, Anda harus mengambil peran IAM di akun dengan izin administratif. Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone untuk mendapatkan izin minimum yang diperlukan untuk meminta asosiasi akun.

Lengkapi prosedur berikut untuk meminta asosiasi dengan AWS akun lain.

  1. Masuk ke AWS Management Console dan buka konsol DataZone manajemen Amazon di https://console.aws.amazon.com/datazone.

  2. Pilih Lihat domain dan pilih nama domain dari daftar. Namanya hyperlink.

  3. Gulir ke bawah ke tab Akun terkait dan pilih Minta asosiasi.

  4. Masukkan akun IDs yang ingin Anda minta asosiasi. Bila Anda puas dengan daftar akun IDs, pilih Minta asosiasi.

  5. Di bawah Kebijakan RAM, tentukan kebijakan RAM untuk asosiasi akun. Anda dapat memilih AWSRAMPermissionDataZonePortalReadWrite mana yang akan mengaktifkan akun terkait untuk mengeksekusi Amazon DataZone APIs dan mengakses portal data atau Anda dapat memilihAWSRAMPermissionDataZoneDefault, yang akan memungkinkan akun terkait untuk hanya mengeksekusi Amazon DataZone APIs dan tidak akan memberikan akses portal data. Amazon DataZone kemudian membuat pembagian sumber daya di AWS Resource Access Manager atas nama akun Anda, dengan ID akun yang dimasukkan sebagai prinsipal.

  6. Anda harus memberi tahu pemilik AWS akun lain untuk menerima permintaan Anda. Undangan berakhir setelah tujuh (7) hari.

Berikan akses akun ke kunci KMS yang dikelola pelanggan Anda

DataZone Domain Amazon dan metadatanya dienkripsi, baik (secara default) menggunakan kunci yang dipegang oleh AWS, atau (opsional) kunci yang dikelola pelanggan dari Layanan Manajemen AWS Kunci (KMS) yang Anda miliki dan berikan selama pembuatan domain. Jika domain Anda dienkripsi dengan kunci yang dikelola pelanggan, ikuti prosedur di bawah ini untuk memberikan izin akun terkait untuk menggunakan kunci KMS.

  1. Masuk ke Konsol AWS Manajemen dan buka konsol KMS di https://console.aws.amazon.com/kms/.

  2. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.

  3. Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.

  4. Dalam daftar kunci KMS, pilih alias atau ID kunci dari kunci KMS yang ingin Anda periksa.

  5. Untuk mengizinkan atau melarang AWS akun eksternal menggunakan kunci KMS, gunakan kontrol di bagian AWS Akun lain di halaman. Prinsipal IAM di akun ini (dengan izin KMS yang tepat sendiri) dapat menggunakan kunci KMS dalam operasi kriptografi, seperti mengenkripsi, mendekripsi, mengenkripsi ulang, dan menghasilkan kunci data.

Terima permintaan asosiasi akun dari DataZone domain Amazon dan aktifkan cetak biru lingkungan

Untuk menerima asosiasi di konsol DataZone manajemen Amazon dengan DataZone domain Amazon, Anda harus mengambil peran IAM di akun dengan izin administratif. Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone untuk mendapatkan izin minimum.

Lengkapi yang berikut ini untuk menerima asosiasi dengan DataZone domain Amazon.

  1. Masuk ke AWS Management Console dan buka konsol DataZone manajemen Amazon di https://console.aws.amazon.com/datazone.

  2. Pilih Lihat permintaan dan pilih domain yang mengundang dari daftar. Status undangan harus Diminta. Pilih Permintaan tinjau.

  3. Pilih apakah akan mengaktifkan cetak biru lingkungan data lake dan/atau data warehouse default dengan memilih tidak satu pun, keduanya, atau salah satu kotak. Anda bisa melakukannya nanti.

    • Cetak biru lingkungan data lake memungkinkan pengguna domain untuk membuat dan mengelola sumber daya AWS Glue, Amazon S3, dan Amazon Athena untuk dipublikasikan dan dikonsumsi dari data lake.

    • Cetak biru lingkungan gudang data memungkinkan pengguna domain membuat dan mengelola sumber daya Amazon Redshift untuk dipublikasikan dan dikonsumsi dari gudang data.

  4. Jika Anda memilih untuk memilih salah satu atau kedua cetak biru lingkungan default, maka konfigurasikan izin dan sumber daya berikut.

    • Peran Kelola akses IAM memberikan izin DataZone ke Amazon untuk memungkinkan pengguna domain menyerap dan mengelola akses ke tabel, seperti AWS Glue dan Amazon Redshift. Anda dapat memilih untuk DataZone membuat Amazon dan menggunakan peran IAM baru, atau Anda dapat memilih dari daftar peran IAM yang ada.

    • Peran IAM Penyediaan memberikan izin ke DataZone Amazon untuk memungkinkan pengguna domain membuat dan mengonfigurasi sumber daya lingkungan, seperti AWS database Glue. Anda dapat memilih untuk DataZone membuat Amazon dan menggunakan peran IAM baru, atau Anda dapat memilih dari daftar peran IAM yang ada.

    • Bucket Amazon S3 untuk Data Lake adalah bucket atau path yang DataZone akan digunakan Amazon saat pengguna domain menyimpan data lake data. Anda dapat menggunakan bucket default yang dipilih oleh Amazon DataZone atau memilih jalur Amazon S3 Anda sendiri yang ada dengan memasukkan string jalurnya. Jika Anda memilih jalur Amazon S3 Anda sendiri, Anda perlu memperbarui kebijakan IAM untuk DataZone memberi Amazon izin untuk menggunakannya.

  5. Bila Anda puas dengan konfigurasi Anda, pilih Terima dan konfigurasikan asosiasi.

Mengaktifkan cetak biru lingkungan di akun terkait AWS

Untuk mengaktifkan cetak biru lingkungan di konsol DataZone manajemen Amazon, Anda harus mengambil peran IAM di akun dengan izin administratif. Konfigurasikan izin IAM yang diperlukan untuk menggunakan konsol manajemen Amazon DataZone untuk mendapatkan izin minimum.

Selesaikan berikut ini untuk mengaktifkan cetak biru di domain terkait.

  1. Masuk ke AWS Management Console dan buka konsol DataZone manajemen Amazon di https://console.aws.amazon.com/datazone.

  2. Buka panel navigasi kiri dan pilih Domain terkait.

  3. Pilih domain yang ingin Anda aktifkan cetak biru lingkungan.

  4. Dari daftar Blueprints, pilih salah satu atau, DefaultDataLakeatau Amazon DefaultDataWarehouse SageMaker, atau cetak biru Layanan Kustom AWS .

    catatan

    Jika Anda mengaktifkan cetak biru AWS layanan Kustom, Anda tidak perlu menentukan peran kelola akses. Izin dan mekanisme otorisasi untuk bluerpint AWS layanan Kustom ditangani saat Anda membuat lingkungan menggunakan cetak biru ini. Untuk informasi selengkapnya, lihat Buat lingkungan menggunakan cetak biru AWS layanan kustom.

  5. Pada halaman detail cetak biru yang dipilih, pilih Aktifkan di akun ini.

  6. Pada halaman Izin dan sumber daya, tentukan yang berikut ini:

    • Jika Anda mengaktifkan DefaultDataLakecetak biru, untuk peran Glue Manage Access, tentukan peran layanan baru atau yang sudah ada yang memberikan DataZone otorisasi Amazon untuk menyerap dan mengelola akses ke tabel di Glue dan Lake Formation. AWS AWS

    • Jika Anda mengaktifkan DefaultDataWarehousecetak biru, untuk peran Kelola Akses Redshift, tentukan peran layanan baru atau yang sudah ada yang memberikan DataZone otorisasi Amazon untuk menyerap dan mengelola akses ke rangkaian data, tabel, dan tampilan di Amazon Redshift.

    • Jika Anda mengaktifkan SageMaker cetak biru Amazon, untuk peran SageMaker Kelola Akses, tentukan peran layanan baru atau yang sudah ada yang memberikan izin Amazon DataZone untuk mempublikasikan data Amazon ke katalog. SageMaker Ini juga memberikan DataZone izin Amazon untuk memberikan akses atau mencabut akses ke aset yang SageMaker diterbitkan Amazon dalam katalog.

      penting

      Saat Anda mengaktifkan SageMaker cetak biru Amazon, Amazon memeriksa apakah peran IAM berikut untuk DataZone DataZone Amazon ada di akun dan wilayah saat ini. Jika peran ini tidak ada, Amazon DataZone secara otomatis membuatnya.

      • AmazonDataZoneGlueAccess- <region>- <domainId>

      • AmazonDataZoneRedshiftAccess- <region>- <domainId>

    • Untuk peran Penyediaan, tentukan peran layanan baru atau yang sudah ada yang memberikan otorisasi DataZone Amazon untuk membuat dan mengonfigurasi sumber daya lingkungan yang AWS CloudFormation digunakan di akun dan wilayah lingkungan.

    • Jika Anda mengaktifkan SageMaker cetak biru Amazon, untuk bucket Amazon S3 untuk sumber data SageMaker -Glue, tentukan bucket Amazon S3 yang akan digunakan oleh semua lingkungan di akun. SageMaker AWS Awalan bucket yang Anda tentukan harus salah satu dari berikut ini:

      • datazon amazon*

      • pembuat sagemaker datazon*

      • pembuat data sagemaker*

      • DataZone-Pembuat sagem*

      • Sagemaker- * DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Pilih Aktifkan cetak biru.

Setelah Anda mengaktifkan cetak biru yang dipilih, Anda dapat mengontrol proyek mana yang dapat menggunakan cetak biru di akun Anda untuk membuat profil lingkungan. Anda dapat melakukan ini dengan menetapkan mengelola proyek ke konfigurasi cetak biru.

Tentukan pengelolaan proyek pada diaktifkan DefaultDataLake atau DefaultDataWarehouse cetak biru

  1. Arahkan ke DataZone konsol Amazon di https://console.aws.amazon.com/datazone dan masuk dengan kredensi akun Anda.

  2. Buka panel navigasi kiri dan pilih Domain terkait dan kemudian pilih domain tempat Anda ingin menambahkan proyek pengelolaan.

  3. Pilih tab Blueprints dan kemudian pilih DefaultDataLake atau cetak biru. DefaultDataWareshouse

  4. Secara default, semua proyek dalam domain dapat menggunakan DefaultDataLake atau DefaultDataWareshouse cetak biru di akun untuk membuat profil lingkungan. Namun, Anda dapat membatasi ini dengan menetapkan mengelola proyek ke cetak biru. Untuk menambahkan proyek pengelolaan, pilih Pilih mengelola proyek, lalu pilih proyek yang ingin Anda tambahkan sebagai mengelola proyek dari menu tarik-turun, lalu pilih Pilih mengelola proyek.

Setelah Anda mengaktifkan DefaultDataWarehouse cetak biru di AWS akun Anda, Anda dapat menambahkan set parameter ke konfigurasi cetak biru. Kumpulan parameter adalah sekelompok kunci dan nilai, yang diperlukan Amazon untuk membuat koneksi DataZone ke klaster Amazon Redshift Anda dan digunakan untuk membuat lingkungan gudang data. Parameter ini mencakup nama cluster Amazon Redshift Anda, database, dan AWS rahasia yang menyimpan kredensi ke cluster.

penting

Secara default, tidak ada proyek pengelolaan yang ditentukan untuk cetak biru lingkungan, yang berarti bahwa setiap DataZone pengguna Amazon dapat membuat profil untuk cetak biru lingkungan. Oleh karena itu, sangat disarankan agar Anda selalu menentukan pengelolaan proyek untuk cetak biru lingkungan Anda untuk memastikan tata kelola yang lebih kuat.

Menambahkan set parameter ke DefaultDataWarehouse cetak biru

  1. Arahkan ke DataZone konsol Amazon di https://console.aws.amazon.com/datazone dan masuk dengan kredensi akun Anda.

  2. Buka panel navigasi kiri dan pilih Domain terkait dan kemudian pilih domain tempat Anda ingin menambahkan set parameter.

  3. Pilih tab Blueprints dan kemudian pilih DefaultDataWareshouse cetak biru untuk membuka halaman detail cetak biru.

  4. Di bawah tab Set parameter pada halaman detail cetak biru, pilih Buat set parameter.

    • Berikan Nama untuk set parameter.

    • Secara opsional, berikan deskripsi untuk set parameter.

    • Pilihan wilayah

    • Pilih cluster Amazon Redshift atau Amazon Redshift Tanpa Server.

    • Pilih ARN AWS rahasia yang menyimpan kredensil ke cluster Amazon Redshift yang dipilih atau workgroup Amazon Redshift Tanpa Server. AWS Rahasia harus ditandai dengan AmazonDataZoneDomain : [Domain_ID] tag agar memenuhi syarat untuk digunakan dalam set parameter.

      • Jika Anda tidak memiliki AWS rahasia yang ada, Anda juga dapat membuat rahasia baru dengan memilih Buat AWS Rahasia Baru. Ini membuka kotak dialog di mana Anda dapat memberikan nama rahasia, nama pengguna, dan kata sandi. Setelah Anda memilih Buat AWS Rahasia Baru, Amazon DataZone membuat rahasia baru di layanan AWS Secrets Manager dan memastikan bahwa rahasia tersebut ditandai dengan domain tempat Anda mencoba membuat set parameter.

    • Pilih cluster Amazon Redshift atau grup kerja Amazon Redshift Serverless.

    • Masukkan nama database dalam klaster Amazon Redshift atau grup kerja Amazon Redshift Serverless yang dipilih.

    • Pilih Buat set parameter.

catatan

Anda hanya dapat menambahkan hingga 10 set parameter ke DefaultDataWarehouse cetak biru.

Setelah Anda mengaktifkan SageMaker cetak biru Amazon di AWS akun Anda, Anda dapat menambahkan set parameter ke konfigurasi cetak biru. Set parameter adalah sekelompok kunci dan nilai, yang diperlukan Amazon untuk membuat koneksi DataZone ke Amazon Anda SageMaker dan digunakan untuk membuat lingkungan pembuat sagemaker.

Menambahkan set parameter ke SageMaker cetak biru Amazon

  1. Arahkan ke DataZone konsol Amazon di https://console.aws.amazon.com/datazone dan masuk dengan kredensi akun Anda.

  2. Pilih Lihat domain dan kemudian pilih domain yang berisi cetak biru yang diaktifkan di mana Anda ingin menambahkan set parameter.

  3. Pilih tab Blueprints dan kemudian pilih SageMaker cetak biru Amazon untuk membuka halaman detail cetak biru.

  4. Di bawah tab Set parameter pada halaman detail cetak biru, pilih Buat set parameter, lalu tentukan yang berikut ini:

    • Berikan Nama untuk set parameter.

    • Secara opsional, berikan Deskripsi untuk set parameter.

    • Tentukan jenis otentikasi SageMaker domain Amazon. Anda dapat memilih IAM atau IAM Identity Center (SSO).

    • Tentukan suatu AWS wilayah.

    • Tentukan kunci AWS KMS untuk enkripsi data. Anda dapat memilih kunci yang ada atau membuat kunci baru.

    • Di bawah parameter Lingkungan, tentukan yang berikut ini:

      • ID VPC - ID yang Anda gunakan untuk VPC lingkungan Amazon. SageMaker Anda dapat menentukan yang sudah ada atau membuat VPC baru.

      • Subnet - satu atau lebih IDs untuk berbagai alamat IP untuk sumber daya tertentu dalam VPC Anda.

      • Akses jaringan - pilih VPC saja atau Internet publik saja.

      • Grup keamanan - grup keamanan untuk digunakan saat mengkonfigurasi VPC dan subnet.

    • Di bawah Parameter sumber data, pilih salah satu dari berikut ini:

      • AWS Glue saja

      • AWS Glu+Amazon Redshift Tanpa Server. Jika Anda memilih opsi ini, tentukan yang berikut:

        • Tentukan ARN AWS rahasia yang menyimpan kredensional ke cluster Amazon Redshift yang dipilih. AWS Rahasia harus ditandai dengan AmazonDataZoneDomain : [Domain_ID] tag agar memenuhi syarat untuk digunakan dalam set parameter.

          Jika Anda tidak memiliki AWS rahasia yang ada, Anda juga dapat membuat rahasia baru dengan memilih Buat AWS Rahasia Baru. Ini membuka kotak dialog di mana Anda dapat memberikan nama rahasia, nama pengguna, dan kata sandi. Setelah Anda memilih Buat AWS Rahasia Baru, Amazon DataZone membuat rahasia baru di layanan AWS Secrets Manager dan memastikan bahwa rahasia tersebut ditandai dengan domain tempat Anda mencoba membuat set parameter.

        • Tentukan workgroup Amazon Redshift yang ingin Anda gunakan saat membuat lingkungan.

        • Tentukan nama database (dalam workgroup yang Anda pilih) yang ingin Anda gunakan saat membuat lingkungan.

      • AWS Hanya lem + Amazon Redshift Cluster

        • Tentukan ARN AWS rahasia yang menyimpan kredensional ke cluster Amazon Redshift yang dipilih. AWS Rahasia harus ditandai dengan AmazonDataZoneDomain : [Domain_ID] tag agar memenuhi syarat untuk digunakan dalam set parameter.

          Jika Anda tidak memiliki AWS rahasia yang ada, Anda juga dapat membuat rahasia baru dengan memilih Buat AWS Rahasia Baru. Ini membuka kotak dialog di mana Anda dapat memberikan nama rahasia, nama pengguna, dan kata sandi. Setelah Anda memilih Buat AWS Rahasia Baru, Amazon DataZone membuat rahasia baru di layanan AWS Secrets Manager dan memastikan bahwa rahasia tersebut ditandai dengan domain tempat Anda mencoba membuat set parameter.

        • Tentukan cluster Amazon Redshift yang ingin Anda gunakan saat membuat lingkungan.

        • Tentukan nama database (dalam cluster yang Anda pilih) yang ingin Anda gunakan saat membuat lingkungan.

  5. Pilih Buat set parameter.