Amazon DataZone ドメインを作成する - Amazon DataZone

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DataZone ドメインを作成する

注記

AWS アイデンティティセンターで Amazon DataZone を使用して SSO ユーザーとグループへのアクセスを提供する場合、現在、Amazon DataZone ドメインは AWS アイデンティティセンターインスタンスと同じ AWS リージョンに存在する必要があります。

Amazon DataZone においてドメインとは、アセット、ユーザー、およびプロジェクトを関連付けて整理するエンティティです。詳細については、「Amazon DataZone の用語と概念」を参照してください。

Amazon DataZone ドメインを作成するには、管理者権限を持つアカウントで IAM ロールを引き受ける必要があります。Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定すると、ドメインの作成に最小限必要な権限を取得できます。

Amazon DataZone では、デフォルト設定のドメインユーザーに代わってアクションを実行するのに追加の IAM ロールが必要です。追加の IAM ロールは事前に作成することも、Amazon DataZone で作成することもできます。ドメイン作成プロセス中に Amazon DataZone で追加の IAM ロールを作成する場合は、ドメイン作成時にロール作成権限を持つ IAM ロールを引き受ける必要があります。「Amazon DataZone サービスコンソールの簡素化されたロール作成を有効にする IAM アクセス許可のカスタムポリシーを作成する 」を参照してください。ドメイン作成の選択内容に応じて、Amazon DataZone は最大 4 つの IAM ロール (AmazonDataZoneDomainExecutionRoleAmazonDataZoneGlueManageAccessRoleAmazonDataZoneRedshiftManageAccessRoleAmazonDataZoneProvisioningRole) を新規作成します。

Amazon DataZone ドメインを作成するには、次の手順を実行します。

  1. https://console.aws.amazon.com/datazone の Amazon DataZone コンソールに移動し、上部のナビゲーションバーのリージョンセレクターを使用して、適切な AWS リージョンを選択します。

  2. [ドメインを作成] を選択し、次のフィールドに値を指定します。

    • [名前] - ドメインにわかりやすい名前を指定します。ドメインが作成されると、この名前は変更できません。

    • [説明] - (オプション) ドメインの説明を指定します。

    • [データ暗号化] - Amazon DataZone ドメイン、メタデータ、およびレポートデータは、 AWS Key Management Service (KMS) で Amazon DataZone に固有のキーを使用して暗号化します。このフィールドを使用して、 AWS 所有キーを使用するか、別の KMS AWS キーを選択するかを指定します。

      カスタマーマネージドキーの詳細については、「Amazon DataZone での保管中のデータ暗号化」を参照してください。データ暗号化にユーザー独自の KMS キーを使用する場合は、デフォルトの AmazonDataZoneDomainExecutionRole に次のステートメントを含める必要があります。

      
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:GenerateDataKey"
      ],
      "Resource": [
        "arn:<partition>:kms:<region>:<account-id>:key/<key-id>"
      ]
    }
  ]
}

    • [サービスアクセス] - Amazon DataZone で新しい DomainExecutionRole を作成して使用するか、既存の IAM ロールを選択するかを選択します。

    • [Quick Setup] - (オプション) このボックスにチェックを入れると、データの消費と公開のためのアカウントが Amazon DataZone でセットアップされ、迅速に開始できます。Amazon DataZone は、Glue および Amazon Redshift AWS リソースへのアクセスをプロビジョニング、取り込み、管理するための 3 つの IAM ロールを作成し、新しい Amazon S3 バケットを作成し、管理 Amazon DataZone プロジェクトを作成し、データレイクとデータウェアハウスのデフォルトブループリントの環境プロファイルを作成します。

    • タグ - (オプション) ドメインの AWS タグ (キーと値のペア) を指定します。

    • ドメインが正常に作成されるとブラウザが更新され、新しい Amazon DataZone ドメインの詳細ページが表示されます。