Amazon DataZone の組み込みブループリント - Amazon DataZone
Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にするAmazon DataZone ドメインを所有するアカウントの信頼されたサービスとして Amazon SageMaker を追加する AWS DataZone

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DataZone の組み込みブループリント

環境の作成に使用するブループリントには、環境が属しているプロジェクトのメンバーが Amazon DataZone カタログのアセットの使用時に使用できるツールとサービスが定義されます。Amazon DataZone の現在のリリースでは、以下の組み込みブループリントが用意されています。

  • データレイクのブループリント

  • データウェアハウスのブループリント

  • Amazon SageMaker ブループリント

Amazon DataZone でデフォルトのブループリントを有効にするには、以下の手順を実行します。

Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする

環境の作成に使用するブループリントには、環境が属しているプロジェクトのメンバーが Amazon DataZone カタログのアセットの使用時に使用できるツールとサービスが定義されます。

Amazon DataZone の現在のリリースでは、データレイクのブループリント、データウェアハウスのブループリント、Amazon SageMaker ブループリントという組み込みブループリントが用意されています。

  • データレイクの設計図には、Amazon DataZone カタログでデータレイクアセットを公開および使用するための一連のサービス (AWS Glue、 AWS Lake Formation、Amazon Athena) を起動および設定するための定義が含まれています。

  • データウェアハウスのブループリントには、Amazon DataZone カタログで Amazon Redshift アセットを公開および使用する一連のサービス (Amazon Redshift) を起動および設定するための定義が含まれています。

  • Amazon SageMaker ブループリントには、Amazon DataZone カタログで Amazon SageMaker アセットを公開および使用する一連のサービス (Amazon SageMaker Studio) を起動および設定するための定義が含まれています。

詳細については、「Amazon DataZone の用語と概念」を参照してください。

Amazon DataZone ドメインの作成中に、ドメイン作成プロセスの一環として、デフォルトのデータレイクとデフォルトのデータウェアハウスの組み込みブループリントを自動的に有効にする [Quick Setup] を選択できます。[Quick Setup] では、これらの組み込みブループリントを使用して、デフォルトの環境プロファイルとデフォルトの環境も作成されます。

Amazon DataZone ドメインの作成の一環としてクイックセットアップを選択しない場合は、次の手順を使用して、この Amazon DataZone ドメインを格納する AWS アカウントで使用可能な組み込みブループリントを有効にできます。これらの組み込みブループリントを使用してこのドメインに環境プロファイルと環境を作成するには、事前に該当するブループリントを有効にしておく必要があります。

Amazon DataZone マネジメントコンソールを介して Amazon DataZone ドメインの組み込みブループリントを有効にするには、管理者権限を持つアカウントで IAM ロールを引き受ける必要があります。Amazon DataZone マネジメントコンソールを使用するために必要な IAM アクセス許可を設定することで、最小限の権限を取得します。

Amazon DataZone ドメインで組み込みブループリントを有効にする

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、1 つ以上の組み込みブループリントを有効にするドメインを選択します。

  3. ドメインの詳細ページで、[ブループリント] タブに移動します。

  4. [ブループリント] リストから、DefaultDataLake または DefaultDataWarehouse、あるいは Amazon SageMaker ブループリントのいずれかを選択します。

  5. 選択したブループリントの詳細ページで、[このアカウントで有効にする] を選択します。

  6. [許可とリソース] ページで、以下を指定します。

    • DefaultDataLake ブループリントを有効にする場合は、 Glue 管理アクセスロールで、 Glue と AWS Lake Formation のテーブルへのアクセスを取り込んで管理するための Amazon DataZone AWS 認可を付与する新規または既存のサービスロールを指定します。

    • DefaultDataWarehouse ブループリントを有効にする場合は、Redshift 管理アクセスロールに、Amazon Redshift のデータ共有、テーブル、ビューへのアクセスを取り込んで管理するための許可を Amazon DataZone に付与する新規または既存のサービスロールを指定します。

    • Amazon SageMaker ブループリントを有効にする場合は、SageMaker 管理アクセスロールに、Amazon SageMaker データをカタログに公開するためのアクセス許可を Amazon DataZone に付与する新規または既存のサービスロールを指定します。また、カタログ内で Amazon SageMaker によって公開されたアセットへのアクセスの付与やアクセスの取り消しを行うためのアクセス許可も Amazon DataZone に付与します。

      重要

      Amazon SageMaker ブループリントを有効にすると、Amazon DataZone では、Amazon DataZone の次の IAM ロールが現在のアカウントとリージョンに存在するかどうかの確認が行われます。これらのロールが存在しない場合、Amazon DataZone で自動的に作成されます。

      • AmazonDataZoneGlueAccess-<region>-<domainId>

      • AmazonDataZoneRedshiftAccess-<region>-<domainId>

    • プロビジョニングロールには、環境アカウントとリージョンで AWS CloudFormation を使用して環境リソースを作成および設定する権限を Amazon DataZone に付与する新規または既存のサービスロールを指定します。

    • Amazon SageMaker ブループリントを有効にする場合は、SageMaker-Glue データソースの Amazon S3 バケットに、 AWS アカウント内のすべての SageMaker 環境で使用する Amazon S3 バケットを指定します。 SageMaker 指定するバケットプレフィックスは、次のいずれかである必要があります。

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker-DataZone*

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. [ブループリントを有効にする] を選択します。

選択したブループリントを有効にすると、アカウント内のブループリントを使用して環境プロファイルを作成できるプロジェクトを制御できます。これを行うには、プロジェクトの管理をブループリントの設定に割り当てます。

重要

デフォルトでは、環境ブループリントに指定されている管理プロジェクトはありません。つまり、Amazon DataZone ユーザーは環境ブループリント用にプロファイルを作成できます。そのため、環境ブループリントの管理プロジェクトを必ず指定してガバナンスを強化することを強くお勧めします。

有効なブループリントで管理プロジェクトを指定する

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、選択したブループリントの管理プロジェクトを追加するドメインを選択します。

  3. [ブループリント] タブを選択し、使用するブループリントを選択します。

  4. デフォルトでは、ドメイン内のすべてのプロジェクトで、アカウントの DefaultDataLake、DefaultDataWareshouse、または Amazon SageMaker のブループリントを使用して環境プロファイルを作成できます。ただし、管理プロジェクトをブループリントに割り当てると、これを制限できます。管理プロジェクトを追加するには、[管理プロジェクトを選択] を選択し、ドロップダウンメニューから管理プロジェクトとして追加するプロジェクトを選択して、[管理プロジェクトを選択] を選択します。

AWS アカウントで DefaultDataWarehouse ブループリントを有効にすると、パラメータセットをブループリント設定に追加できます。パラメータセットは、Amazon DataZone が Amazon Redshift クラスターへの接続を確立するために必要なキーと値のグループであり、データウェアハウス環境を作成するために使用されます。これらのパラメータには、Amazon Redshift クラスター、データベースの名前、およびクラスターへの認証情報を保持するシーク AWS レットが含まれます。

DefaultDataWarehouse ブループリントへのパラメータセットの追加する

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、パラメータセットを追加するドメインを選択します。

  3. [ブループリント] タブを選択し、DefaultDataWareshouse ブループリントを選択してブループリントの詳細ページを開きます。

  4. ブループリントの詳細ページの[パラメータセット] タブで、[パラメータセットを作成] を選択します。

    • パラメータセットの [名前] を指定します。

    • 必要に応じて、パラメータセットの説明を入力します。

    • リージョンの選択

    • Amazon Redshift クラスターまたは Amazon Redshift Serverless のどちらかを選択します。

    • 選択した Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループの認証情報を保持する AWS シークレット ARN を選択します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

      • 既存の AWS シークレットがない場合は、Create New AWS Secret を選択して新しいシークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインでシークレットにタグが付けられていることを確認します。

    • 上記のステップで Amazon Redshift クラスターを選択した場合は、ドロップダウンからクラスターを選択します。上記のステップで Amazon Redshift ワークグループを選択した場合は、ドロップダウンからワークグループを選択します。

    • 選択した Amazon Redshift クラスターまたは Amazon Redshift Serverless ワークグループ内のデータベースの名前を入力します。

    • [パラメータセットを作成] を選択します。

注記

DefaultDataWarehouse ブループリントには最大 10 個のパラメータセットしか追加できません。

AWS アカウントで Amazon SageMaker ブループリントを有効にすると、パラメータセットをブループリント設定に追加できます。パラメータセットは、Amazon DataZone が Amazon SageMaker への接続を確立するために必要なキーと値のグループであり、sagemaker 環境を作成するために使用されます。

Amazon SageMaker ブループリントへのパラメータセットの追加

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、パラメータセットを追加する有効なブループリントを含むドメインを選択します。

  3. [ブループリント] タブを選択し、Amazon SageMaker ブループリントを選択してブループリントの詳細ページを開きます。

  4. ブループリントの詳細ページの [パラメータセット] タブで、[パラメータセットを作成] を選択し、以下を指定します。

    • パラメータセットの [名前] を指定します。

    • 必要に応じて、パラメータセットの [説明] を入力します。

    • Amazon SageMaker ドメインの許可タイプを指定します。IAM または IAM アイデンティティセンター (SSO) のどちらかを選択できます。

    • AWS リージョンを指定します。

    • データ暗号化用の AWS KMS キーを指定します。既存のキーを選択することも、新しいキーを作成することもできます。

    • [環境パラメータ] で以下を指定します。

      • [VPC ID] - Amazon SageMaker 環境の VPC に使用している ID。既存の VPC を使用することも、新しい VPC を作成することもできます。

      • [サブネット] - VPC 内の特定のリソースに対する IP アドレスの範囲を示す 1 つ以上の ID。

      • [ネットワークアクセス] - [VPC のみ][パブリックインターネットのみ] のどちらかを選択します。

      • [セキュリティグループ] - VPC とサブネットを設定するときに使用するセキュリティグループ。

    • [データソースパラメータ] で次のどちらかを選択します。

      • AWS Glue のみ

      • AWS Glue + Amazon Redshift Serverless。このオプションを選択する場合は、以下を指定する必要があります。

        • 選択した Amazon Redshift クラスターの認証情報を保持する AWS シークレット ARN を指定します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

          既存の AWS シークレットがない場合は、Create New Secret を選択して新しい AWS シークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインにシークレットがタグ付けされていることを確認します。

        • 環境の作成時に使用する Amazon Redshift ワークグループを指定します。

        • 環境の作成時に使用する (選択したワークグループ内にある) データベースの名前を指定します。

      • AWS Glue のみ + Amazon Redshift クラスター

        • 選択した Amazon Redshift クラスターの認証情報を保持する AWS シークレット ARN を指定します。パラメータセット内で使用するためには、 AWS シークレットに AmazonDataZoneDomain : [Domain_ID] タグを付ける必要があります。

          既存の AWS シークレットがない場合は、Create New Secret を選択して新しい AWS シークレットを作成することもできます。その場合はダイアログボックスが開き、そこでシークレットの名前、ユーザー名、パスワードを指定できます。新しい AWS シークレットの作成を選択すると、Amazon DataZone は AWS Secrets Manager サービスに新しいシークレットを作成し、パラメータセットを作成しようとしているドメインにシークレットがタグ付けされていることを確認します。

        • 環境の作成時に使用する Amazon Redshift クラスターを指定します。

        • 環境の作成時に使用する (選択したクラスター内にある) データベースの名前を指定します。

  5. [パラメータセットを作成] を選択します。

Amazon DataZone ドメインを所有するアカウントの信頼されたサービスとして Amazon SageMaker を追加する AWS DataZone

Amazon SageMaker ブループリントを有効にしている場合は、Amazon DataZone 内の信頼されたサービスの 1 つとして SageMaker も追加する必要があります。これを行うには、以下の手順を完了します。

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. [ドメインを表示] を選択し、有効な SageMaker ブループリントを含むドメインを選択します。

  3. [信頼されたサービス]Amazon SageMaker[有効化] の順に選択します。