Amazon DataZone의 연결된 계정

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/datazone Amazon DataZone 관리 콘솔을 엽니다.

2. 도메인 보기를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.

3. 연결된 계정 탭으로 스크롤하여 연결 요청을 선택합니다.

4. 연결을 요청하려는 계정의 ID를 입력합니다. 계정 ID 목록에 만족하면 연결 요청을 선택합니다.

5. RAM 정책에서 계정 연결에 대한 RAM 정책을 지정합니다. 연결된 계정이 Amazon DataZone API를 실행하고 데이터 포털에 액세스할 수 있도록 하는 AWSRAMPermissionDataZonePortalReadWrite를 선택하거나, 연결된 계정이 Amazon DataZone API만 실행하도록 허용하고 데이터 포털 액세스는 제공하지 않는 AWSRAMPermissionDataZoneDefault를 선택할 수 있습니다. 그런 다음 Amazon DataZone은 사용자 계정을 대신하여 Resource Access Manager에 입력된 계정 ID(들)를 보안 주체로 사용하여 AWS 리소스 공유를 생성합니다.

6. 요청을 수락하려면 다른 AWS 계정(들)의 소유자에게 알려야 합니다. 초대는 칠(7)일 후에 만료됩니다.

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/kms/ KMS 콘솔을 엽니다.

2. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다.

3. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다.

4. KMS 키 목록에서 검사하려는 KMS 키의 별칭 또는 키 ID를 선택합니다.

5. 외부 AWS 계정에서 KMS 키를 사용하도록 허용하거나 허용하지 않으려면 페이지의 기타 AWS 계정 섹션에서 제어를 사용합니다. 이러한 계정의 IAM 위탁자(적절한 KMS 권한 자체)는 암호화, 복호화, 재암호화 및 데이터 키 생성과 같은 암호화 작업에 KMS 키를 사용할 수 있습니다.

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/datazone Amazon DataZone 관리 콘솔을 엽니다.

2. 요청 보기를 선택하고 목록에서 초대 도메인을 선택합니다. 초대 상태는 요청됨이어야 합니다. 요청 검토를 선택합니다.

3. 둘 다 또는 상자 중 하나를 선택하여 기본 데이터 레이크 및/또는 데이터 웨어하우스 환경 블루프린트를 활성화할지 여부를 선택합니다. 이 작업을 나중에 수행할 수도 있습니다.

   • 데이터 레이크 환경 블루프린트를 사용하면 도메인 사용자가 AWS Glue, Amazon S3 및 Amazon Athena 리소스를 생성하고 관리하여 데이터 레이크에서 게시하고 사용할 수 있습니다.

   • 데이터 웨어하우스 환경 블루프린트를 사용하면 도메인 사용자가 Amazon Redshift 리소스를 생성하고 관리하여 데이터 웨어하우스에서 게시하고 사용할 수 있습니다.

4. 기본 환경 블루프린트 중 하나 또는 둘 다를 선택하는 경우 다음 권한 및 리소스를 구성합니다.

   • 액세스 관리 IAM 역할은 Amazon DataZone에 도메인 사용자가 AWS Glue 및 Amazon Redshift와 같은 테이블에 대한 액세스를 수집하고 관리할 수 있는 권한을 제공합니다. Amazon DataZone에서 새 IAM 역할을 생성하고 사용하도록 선택하거나 기존 IAM 역할 목록에서 선택할 수 있습니다.

   • 프로비저닝 IAM 역할은 Amazon DataZone에 도메인 사용자가 AWS Glue 데이터베이스와 같은 환경 리소스를 생성하고 구성할 수 있는 권한을 제공합니다. Amazon DataZone에서 새 IAM 역할을 생성하고 사용하도록 선택하거나 기존 IAM 역할 목록에서 선택할 수 있습니다.

   • 데이터 레이크용 Amazon S3 버킷은 도메인 사용자가 데이터 레이크 데이터를 저장할 때 Amazon DataZone이 사용할 버킷 또는 경로입니다. Amazon DataZone에서 선택한 기본 버킷을 사용하거나 경로 문자열을 입력하여 기존 Amazon S3 경로를 선택할 수 있습니다. 자체 Amazon S3 경로를 선택하는 경우 IAM 정책을 업데이트하여 Amazon DataZone에 사용할 수 있는 권한을 제공해야 합니다.

5. 구성에 만족하면 연결 수락 및 구성을 선택합니다.

1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/datazone Amazon DataZone 관리 콘솔을 엽니다.

2. 왼쪽 탐색 패널을 열고 연결된 도메인을 선택합니다.

3. 환경 블루프린트를 활성화할 도메인을 선택합니다.

4. 블루프린트 목록에서 DefaultDataLake 또는 DefaultDataWarehouse 또는 Amazon SageMaker 또는 사용자 지정 AWS 서비스 블루프린트를 선택합니다.

   참고

   사용자 지정 AWS 서비스 블루프린트를 활성화하는 경우 액세스 관리 역할을 지정할 필요가 없습니다. 이 블루프린트를 사용하여 환경을 생성할 때 사용자 지정 AWS 서비스 블루핀에 대한 권한 및 권한 부여 메커니즘이 처리됩니다. 자세한 내용은 사용자 지정 AWS 서비스 블루프린트를 사용하여 환경 생성 단원을 참조하십시오.

5. 선택한 블루프린트의 세부 정보 페이지에서 이 계정에서 활성화를 선택합니다.

6. 권한 및 리소스 페이지에서 다음을 수행합니다.

   • DefaultDataLake 블루프린트를 활성화하는 경우 Glue 액세스 관리 역할에 Glue 및 AWS Lake Formation의 AWS 테이블에 대한 액세스를 수집하고 관리할 수 있는 권한을 Amazon DataZone에 부여하는 새 서비스 역할 또는 기존 서비스 역할을 지정합니다.

   • DefaultDataWarehouse 블루프린트를 활성화하는 경우 Redshift 액세스 관리 역할에 Amazon DataZone이 Amazon Redshift에서 데이터 공유, 테이블 및 뷰에 대한 액세스를 수집 및 관리할 수 있는 권한을 부여하는 새 또는 기존 서비스 역할을 지정합니다.

   • Amazon SageMaker 블루프린트를 활성화하는 경우 SageMaker 액세스 관리 역할에 대해 Amazon DataZone에 Amazon SageMaker 데이터를 카탈로그에 게시할 수 있는 권한을 부여하는 새 서비스 역할 또는 기존 서비스 역할을 지정합니다. 또한 카탈로그에 있는 Amazon SageMaker에 게시된 자산에 대한 액세스 권한을 부여하거나 액세스 권한을 취소할 수 있는 권한을 Amazon DataZone에 부여합니다.

     중요

     Amazon SageMaker 블루프린트를 활성화할 때 Amazon DataZone은 Amazon DataZone에 대한 다음 IAM 역할이 현재 계정 및 리전에 존재하는지 확인합니다. 이러한 역할이 없는 경우 Amazon DataZone에서 자동으로 생성합니다.

     • AmazonDataZoneGlueAccess-<region>-<domainId>

     • AmazonDataZoneRedshiftAccess-<region>-<domainId>

   • 프로비저닝 역할의 경우 환경 계정 및 리전에서 AWS CloudFormation을 사용하여 환경 리소스를 생성하고 구성할 수 있는 권한을 Amazon DataZone에 부여하는 신규 또는 기존 서비스 역할을 지정합니다.

   • Amazon SageMaker 블루프린트를 활성화하는 경우 SageMaker-Glue 데이터 소스용 Amazon S3 버킷에 AWS 계정의 모든 SageMaker 환경에서 사용할 Amazon S3 버킷을 지정합니다. 지정하는 버킷 접두사는 다음 중 하나여야 합니다.

     • amazon-datazone*

     • datazone-sagemaker*

     • sagemaker-datazone*

     • DataZone-Sagemaker*

     • Sagemaker-DataZone*

     • DataZone-SageMaker*

     • SageMaker-DataZone*

7. 블루프린트 활성화를 선택합니다.

활성화된 DefaultDataLake 또는 DefaultDataWarehouse 블루프린트에서 프로젝트 관리 지정

1. https://console.aws.amazon.com/datazone에서 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

2. 왼쪽 탐색 패널을 열고 연결된 도메인을 선택한 다음 프로젝트 관리를 추가할 도메인을 선택합니다.

3. 블루프린트 탭을 선택한 다음 DefaultDataLake 또는 DefaultDataWareshouse 블루프린트를 선택합니다.

4. 기본적으로 도메인 내의 모든 프로젝트는 계정에서 DefaultDataLake 또는 DefaultDataWareshouse 블루프린트를 사용하여 환경 프로파일을 생성할 수 있습니다. 그러나 블루프린트에 관리 프로젝트를 할당하여 이를 제한할 수 있습니다. 관리 프로젝트를 추가하려면 관리 프로젝트 선택을 선택한 다음 드롭다운 메뉴에서 프로젝트 관리로 추가하려는 프로젝트를 선택한 다음 관리 프로젝트 선택을 선택합니다.

DefaultDataWarehouse 블루프린트에 파라미터 세트 추가

1. https://console.aws.amazon.com/datazone에서 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

2. 왼쪽 탐색 패널을 열고 연결된 도메인을 선택한 다음 파라미터 세트를 추가할 도메인을 선택합니다.

3. 블루프린트 탭을 선택한 다음 DefaultDataWareshouse 블루프린트를 선택하여 블루프린트 세부 정보 페이지를 엽니다.

4. 블루프린트 세부 정보 페이지의 파라미터 세트 탭에서 파라미터 세트 생성을 선택합니다.

   • 파라미터 세트의 이름을 입력합니다.

   • 선택적으로 파라미터 세트에 대한 설명을 제공합니다.

   • 리전 선택

   • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless를 선택합니다.

   • 선택한 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹에 자격 증명을 보유한 AWS 보안 암호 ARN을 선택합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

     • 기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성을 선택하여 새 AWS 보안 암호를 생성할 수도 있습니다. 그러면 보안 암호의 이름, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성을 선택하면 Amazon DataZone은 AWS Secrets Manager 서비스에 새 보안 암호를 생성하고 파라미터 세트를 생성하려는 도메인으로 보안 암호에 태그가 지정되도록 합니다.

   • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹을 선택합니다.

   • 선택한 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹 내에 데이터베이스 이름을 입력합니다.

   • 파라미터 세트 생성을 선택합니다.

Amazon SageMaker 블루프린트에 파라미터 세트 추가

1. https://console.aws.amazon.com/datazone에서 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

2. 도메인 보기를 선택한 다음 파라미터 세트를 추가할 활성화된 블루프린트가 포함된 도메인을 선택합니다.

3. 블루프린트 탭을 선택한 다음 Amazon SageMaker 블루프린트를 선택하여 블루프린트의 세부 정보 페이지를 엽니다.

4. 블루프린트 세부 정보 페이지의 파라미터 세트 탭에서 파라미터 세트 생성을 선택한 다음 다음을 지정합니다.

   • 파라미터 세트의 이름을 입력합니다.

   • 선택적으로 파라미터 세트에 대한 설명을 제공합니다.

   • Amazon SageMaker 도메인 인증 유형을 지정합니다. IAM 또는 IAM Identity Center(SSO)를 선택할 수 있습니다.

   • AWS 리전을 지정합니다.

   • 데이터 암호화를 위한 AWS KMS 키를 지정합니다. 기존 키 페어를 선택하거나 새로 생성할 수 있습니다.

   • 환경 파라미터에서 다음을 지정합니다.

     • VPC ID - Amazon SageMaker 환경의 VPC에 사용 중인 ID입니다. 새 버킷을 생성하거나 기존 버킷을 지정할 수 있습니다.

     • 서브넷 - VPC 내의 특정 리소스에 대한 IP 주소 범위에 대한 하나 이상의 ID입니다.

     • 네트워크 액세스 - VPC 전용 또는 퍼블릭 인터넷 전용을 선택합니다.

     • 보안 그룹 - VPC 및 서브넷을 구성할 때 사용할 보안 그룹입니다.

   • 데이터 소스 파라미터에서 다음 중 하나를 선택합니다.

     • AWS Glue 전용

     • AWS Glue + Amazon Redshift Serverless. 이 옵션을 설정하는 경우 다음을 지정해야 합니다.

       • 선택한 Amazon Redshift 클러스터에 자격 증명을 보유하는 AWS 보안 암호 ARN을 지정합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

         기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성을 선택하여 새 AWS 보안 암호를 생성할 수도 있습니다. 그러면 보안 암호의 이름, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성을 선택하면 Amazon DataZone은 AWS Secrets Manager 서비스에 새 보안 암호를 생성하고 파라미터 세트를 생성하려는 도메인으로 보안 암호에 태그가 지정되도록 합니다.

       • 환경을 생성할 때 사용할 Amazon Redshift 작업 그룹을 지정합니다.

       • 환경을 생성할 때 사용할 데이터베이스의 이름(선택한 작업 그룹 내)을 지정합니다.

     • AWS Glue 전용 + Amazon Redshift 클러스터

       • 선택한 Amazon Redshift 클러스터에 자격 증명을 보유하는 AWS 보안 암호 ARN을 지정합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

         기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성을 선택하여 새 AWS 보안 암호를 생성할 수도 있습니다. 그러면 보안 암호의 이름, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성을 선택하면 Amazon DataZone은 AWS Secrets Manager 서비스에 새 보안 암호를 생성하고 파라미터 세트를 생성하려는 도메인으로 보안 암호에 태그가 지정되도록 합니다.

       • 환경을 생성할 때 사용할 Amazon Redshift 클러스터를 지정합니다.

       • 환경을 생성할 때 사용할 데이터베이스의 이름(선택한 클러스터 내)을 지정합니다.

5. 파라미터 세트 생성을 선택합니다.