Amazon DataZone の関連付けられているアカウント - Amazon DataZone
他の AWS アカウントとの関連付けをリクエストするAmazon DataZone ドメインからアカウントの関連付けリクエストを承認し、環境ブループリントを有効にする関連付けられた AWS アカウントで環境ブループリントを有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DataZone の関連付けられているアカウント

AWS アカウントを Amazon DataZone ドメインに関連付けると、ドメインユーザーはこれらの AWS アカウントからのデータを公開して使用できます。アカウントの関連付けを設定するには、3 つのステップがあります。

  • まず、関連付けをリクエストして、目的の AWS アカウントとドメインを共有します。 AWS アカウントがドメインの AWS アカウントと異なる場合、Amazon DataZone は AWS Resource Access Manager (RAM) を使用します。アカウントの関連付けを開始できるのは、Amazon DataZone ドメインのみです。

  • 2 つ目は、アカウント所有者に関連付けリクエストを承認してもらいます。

  • 3 つ目は、アカウント所有者に目的の環境ブループリントを有効にしてもらいます。ブループリントを有効にすることで、アカウント所有者は、 Glue データベースや Amazon Redshift クラスターなどの アカウント内のリソースを作成およびアクセスするために必要な IAM AWS ロールとリソース設定をドメイン内のユーザーに提供します。

アカウントを Amazon DataZone に関連付けるには、以下のステップを実行します。

他の AWS アカウントとの関連付けをリクエストする

注記

関連付けリクエストを別の AWS アカウントに送信することで、 AWS Resource Access Manager (RAM) でドメインを他の AWS アカウントと共有します。入力するアカウント ID に間違いがないことを必ず確認してください。

Amazon DataZone ドメインの Amazon DataZone コンソールで他の AWS アカウントとの関連付けをリクエストするには、管理者権限を持つアカウントで IAM ロールを引き受ける必要があります。 Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定する は、アカウントの関連付けをリクエストするために必要な最小限のアクセス許可を取得します。

他の AWS アカウントとの関連付けをリクエストするには、次の手順を実行します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/datazone で Amazon DataZone マネジメントコンソールを開きます。

  2. [ドメインを表示] を選択し、リストからドメイン名を選択します。名前はハイパーリンクになっています。

  3. [関連付けられているアカウント] タブまでスクロールダウンし、[関連付けをリクエスト] を選択します。

  4. 関連付けをリクエストするアカウントの ID を入力します。アカウント ID のリストに問題がなければ、[関連付けをリクエスト] を選択します。

  5. [RAM ポリシー] で、アカウントの関連付けの RAM ポリシーを指定します。関連付けられているアカウントが Amazon DataZone API を実行してデータポータルにアクセスできるようになる AWSRAMPermissionDataZonePortalReadWrite か、関連付けられているアカウントは Amazon DataZone API のみを実行でき、データポータルにはアクセスできない AWSRAMPermissionDataZoneDefault のどちらかを選択します。次に、Amazon DataZone は、入力されたアカウント ID (複数可) をプリンシパルとして、アカウントに代わって AWS Resource Access Manager にリソース共有を作成します。

  6. リクエストを受け入れるには、他の AWS アカウントの所有者 (複数可) に通知する必要があります。招待の有効期限は 7 日間です。

カスタマーマネージド KMS キーへのアカウントアクセスを提供する

Amazon DataZone ドメインとそのメタデータは、 (デフォルトで) によって保持されているキーを使用するか AWS、 (オプションで) ドメインの作成時に所有および提供する AWS Key Management Service (KMS) のカスタマーマネージドキーを使用して暗号化されます。ドメインがカスタマーマネージドキーで暗号化されている場合は、以下の手順に従って、関連付けられているアカウントに KMS キーを使用するためのアクセス許可を付与します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/kms/ で KMS コンソールを開きます。

  2. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。

  3. ユーザーが作成および管理するアカウント内のキーを表示するには、ナビゲーションペインで [Customer managed keys] (カスタマーマネージドキー) を選択します。

  4. KMS キーのリストで、確認する KMS キーのエイリアスまたはキー ID を選択します。

  5. 外部 AWS アカウントに KMS キーの使用を許可または禁止するには、ページの「その他の AWS アカウント」セクションのコントロールを使用します。これらのアカウントの IAM プリンシパル (適切な KMS アクセス許可を持つ) は、暗号化、復号化、再暗号化、データキーの生成などの暗号化操作で KMS キーを使用できます。

Amazon DataZone ドメインからアカウントの関連付けリクエストを承認し、環境ブループリントを有効にする

Amazon DataZone マネジメントコンソールで Amazon DataZone ドメインとの関連付けを承認するには、管理者権限を持つアカウントで IAM ロールを引き受ける必要があります。Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定することで、最小限の権限を取得します。

Amazon DataZone ドメインとの関連付けを承認するには、以下の手順を実行します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/datazone で Amazon DataZone マネジメントコンソールを開きます。

  2. [リクエストを表示] を選択し、リストから招待側のドメインを選択します。招待の状態は [リクエスト済み] になっているはずです。[リクエストを確認] を選択します。

  3. データレイクおよびデータウェアハウス、またはそのどちらかのデフォルトの環境ブループリントを有効にするかどうかを選択するには、どちらのボックスも選択しないか、両方のボックスを選択するか、あるいはどちらか 1 つのボックスを選択します。これは後で実行できます。

    • データレイク環境ブループリントを選択すると、ドメインユーザーは AWS Glue、Amazon S3、Amazon Athena のリソースを作成および管理して、データレイクから公開および消費できます。

    • データウェアハウス環境ブループリントを選択すると、ドメインユーザーは Amazon Redshift リソースを作成および管理して、データウェアハウスから公開および消費できます。

  4. デフォルトの環境ブループリントの 1 つまたは両方を選択する場合は、次のアクセス許可とリソースを設定します。

    • アクセス管理 IAM ロールは、ドメインユーザーが Glue や Amazon Redshift などのテーブルへのアクセスを取り込んで管理できるようにするアクセス許可を Amazon DataZone AWS に提供します。Amazon DataZone で新しい IAM ロールを作成して使用することも、既存の IAM ロールのリストから選択することもできます。

    • プロビジョニング IAM ロールは Amazon DataZone にアクセス許可を付与し、ドメインユーザーが AWS Glue データベースなどの環境リソースを作成および設定できるようにします。Amazon DataZone で新しい IAM ロールを作成して使用することも、既存の IAM ロールのリストから選択することもできます。

    • データレイク用の Amazon S3 バケットは、ドメインユーザーがデータレイクデータを保存するときに Amazon DataZone で使用されるバケットまたはパスです。Amazon DataZone で選択されたデフォルトのバケットを使用することも、パス文字列を入力して独自の既存の Amazon S3 パスを選択することもできます。独自の Amazon S3 パスを選択した場合は、IAM ポリシーを更新して、そのパスを使用するためのアクセス許可を Amazon DataZone に付与する必要があります。

  5. 設定に問題がなければ、[関連付けを承認して設定] を選択します。

関連付けられた AWS アカウントで環境ブループリントを有効にする

Amazon DataZone マネジメントコンソールで環境ブループリントを有効にするには、管理者権限を持つアカウントで IAM ロールを引き受ける必要があります。Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定することで、最小限の権限を取得します。

関連付けられているドメインでブループリントを有効にするには、以下を完了します。

  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/datazone で Amazon DataZone マネジメントコンソールを開きます。

  2. 左側のナビゲーションパネルを開き、[関連付けられているドメイン] を選択します。

  3. 環境ブループリントを有効にするドメインを選択します。

  4. [ブループリント] リストから、DefaultDataLakeDefaultDataWarehouse、または Amazon SageMaker、あるいはカスタム AWS サービスのブループリントのいずれかを選択します。

    注記

    カスタム AWS サービスブループリントを有効にする場合は、アクセスロールの管理を指定する必要はありません。カスタム AWS サービスブループリントのアクセス許可と認可メカニズムは、このブループリントを使用して環境を作成するときに処理されます。詳細については、「カスタム AWS サービスのブループリントを使用して環境を作成する」を参照してください。

  5. 選択したブループリントの詳細ページで、[このアカウントで有効にする] を選択します。

  6. [許可とリソース] ページで、以下を指定します。

    • DefaultDataLake ブループリントを有効にする場合は、 Glue 管理アクセスロールで、 Glue と AWS Lake Formation の AWS テーブルへのアクセスを取り込んで管理する権限を Amazon DataZone に付与する新規または既存のサービスロールを指定します。

    • DefaultDataWarehouse ブループリントを有効にする場合は、Redshift 管理アクセスロールに、Amazon Redshift のデータ共有、テーブル、ビューへのアクセスを取り込んで管理するための許可を Amazon DataZone に付与する新規または既存のサービスロールを指定します。

    • Amazon SageMaker ブループリントを有効にする場合は、SageMaker 管理アクセスロールに、Amazon SageMaker データをカタログに公開するためのアクセス許可を Amazon DataZone に付与する新規または既存のサービスロールを指定します。また、カタログ内で Amazon SageMaker によって公開されたアセットへのアクセスの付与やアクセスの取り消しを行うためのアクセス許可も Amazon DataZone に付与します。

      重要

      Amazon SageMaker ブループリントを有効にすると、Amazon DataZone では、Amazon DataZone の次の IAM ロールが現在のアカウントとリージョンに存在するかどうかの確認が行われます。これらのロールが存在しない場合、Amazon DataZone で自動的に作成されます。

      • AmazonDataZoneGlueAccess-<region>-<domainId>

      • AmazonDataZoneRedshiftAccess-<region>-<domainId>

    • プロビジョニングロールには、環境アカウントとリージョンで AWS CloudFormation を使用して環境リソースを作成および設定する権限を Amazon DataZone に付与する新規または既存のサービスロールを指定します。

    • Amazon SageMaker ブループリントを有効にする場合は、SageMaker-Glue データソース の Amazon S3 バケットに、 AWS アカウントのすべての SageMaker 環境で使用する Amazon S3 バケットを指定します。指定するバケットプレフィックスは、次のいずれかである必要があります。

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker-DataZone*

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. [ブループリントを有効にする] を選択します。

選択したブループリントを有効にすると、アカウント内のブループリントを使用して環境プロファイルを作成できるプロジェクトを制御できます。これを行うには、プロジェクトの管理をブループリントの設定に割り当てます。

有効な DefaultDataLake または DefaultDataWarehouse のブループリントで管理プロジェクトを指定する

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. 左側のナビゲーションパネルを開き、[関連付けられているドメイン] を選択してから、管理プロジェクトを追加するドメインを選択します。

  3. [ブループリント] タブを選択し、DefaultDataLake または DefaultDataWareshouse のブループリントを選択します。

  4. デフォルトでは、ドメイン内のすべてのプロジェクトで、アカウントの DefaultDataLake または DefaultDataWareshouse ブループリントを使用して環境プロファイルを作成できます。ただし、管理プロジェクトをブループリントに割り当てると、これを制限できます。管理プロジェクトを追加するには、[管理プロジェクトを選択] を選択し、ドロップダウンメニューから管理プロジェクトとして追加するプロジェクトを選択して、[管理プロジェクトを選択] を選択します。

AWS アカウントで DefaultDataWarehouse ブループリントを有効にすると、パラメータセットをブループリント設定に追加できます。パラメータセットは、Amazon DataZone が Amazon Redshift クラスターへの接続を確立するために必要なキーと値のグループであり、データウェアハウス環境を作成するために使用されます。これらのパラメータには、Amazon Redshift クラスター、データベースの名前、およびクラスターへの認証情報を保持するシーク AWS レットが含まれます。

重要

デフォルトでは、環境ブループリントに指定されている管理プロジェクトはありません。つまり、Amazon DataZone ユーザーは環境ブループリント用にプロファイルを作成できます。そのため、環境ブループリントの管理プロジェクトを必ず指定してガバナンスを強化することを強くお勧めします。

DefaultDataWarehouse ブループリントへのパラメータセットの追加する

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. 左側のナビゲーションパネルを開き、[関連付けられているドメイン] を選択し、パラメータセットを追加するドメインを選択します。

  3. [ブループリント] タブを選択し、DefaultDataWareshouse ブループリントを選択してブループリントの詳細ページを開きます。

  4. ブループリントの詳細ページの[パラメータセット] タブで、[パラメータセットを作成] を選択します。

    • パラメータセットの [名前] を指定します。

    • 必要に応じて、パラメータセットの説明を入力します。

    • リージョンの選択

    • Amazon Redshift クラスターまたは Amazon Redshift Serverless のどちらかを選択します。

    • 選択した Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループの認証情報を保持する AWS シークレット ARN を選択します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

      • 既存の AWS シークレットがない場合は、Create New Secret を選択して新しい AWS シークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインにシークレットがタグ付けされていることを確認します。

    • Amazon Redshift クラスターまたは Amazon Redshift Serverless のどちらかを選択します。

    • 選択した Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループ内のデータベースの名前を入力します。

    • [パラメータセットを作成] を選択します。

注記

DefaultDataWarehouse ブループリントには最大 10 個のパラメータセットしか追加できません。

AWS アカウントで Amazon SageMaker ブループリントを有効にすると、パラメータセットをブループリント設定に追加できます。パラメータセットは、Amazon DataZone が Amazon SageMaker への接続を確立するために必要なキーと値のグループであり、sagemaker 環境を作成するために使用されます。

Amazon SageMaker ブループリントへのパラメータセットの追加

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、パラメータセットを追加する有効なブループリントを含むドメインを選択します。

  3. [ブループリント] タブを選択し、Amazon SageMaker ブループリントを選択してブループリントの詳細ページを開きます。

  4. ブループリントの詳細ページの [パラメータセット] タブで、[パラメータセットを作成] を選択し、以下を指定します。

    • パラメータセットの [名前] を指定します。

    • 必要に応じて、パラメータセットの [説明] を入力します。

    • Amazon SageMaker ドメインの許可タイプを指定します。IAM または IAM アイデンティティセンター (SSO) のどちらかを選択できます。

    • AWS リージョンを指定します。

    • データ暗号化用の AWS KMS キーを指定します。既存のキーを選択することも、新しいキーを作成することもできます。

    • [環境パラメータ] で以下を指定します。

      • [VPC ID] - Amazon SageMaker 環境の VPC に使用している ID。既存の VPC を使用することも、新しい VPC を作成することもできます。

      • [サブネット] - VPC 内の特定のリソースに対する IP アドレスの範囲を示す 1 つ以上の ID。

      • [ネットワークアクセス] - [VPC のみ][パブリックインターネットのみ] のどちらかを選択します。

      • [セキュリティグループ] - VPC とサブネットを設定するときに使用するセキュリティグループ。

    • [データソースパラメータ] で次のどちらかを選択します。

      • AWS Glue のみ

      • AWS Glue + Amazon Redshift Serverless。このオプションを選択する場合は、以下を指定する必要があります。

        • 選択した Amazon Redshift クラスターの認証情報を保持する AWS シークレット ARN を指定します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

          既存の AWS シークレットがない場合は、Create New Secret を選択して新しい AWS シークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインでシークレットにタグが付けられていることを確認します。

        • 環境の作成時に使用する Amazon Redshift ワークグループを指定します。

        • 環境の作成時に使用する (選択したワークグループ内にある) データベースの名前を指定します。

      • AWS Glue のみ + Amazon Redshift クラスター

        • 選択した Amazon Redshift クラスターの認証情報を保持する AWS シークレット ARN を指定します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

          既存の AWS シークレットがない場合は、Create New Secret を選択して新しい AWS シークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインでシークレットにタグが付けられていることを確認します。

        • 環境の作成時に使用する Amazon Redshift クラスターを指定します。

        • 環境の作成時に使用する (選択したクラスター内にある) データベースの名前を指定します。

  5. [パラメータセットを作成] を選択します。