기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon DataZone의 도메인 및 사용자 액세스
이 섹션에서는 Amazon DataZone에서 도메인 및 사용자 액세스를 생성하고 관리하는 방법을 설명합니다.
Amazon DataZone 도메인은 자산, 사용자 및 프로젝트를 함께 연결하기 위한 조직 엔터티입니다. Amazon DataZone 도메인을 사용하면 기업을 위한 단일 Amazon DataZone 도메인 또는 여러 비즈니스 단위 또는 팀을 위한 여러 데이터 영역, 도메인을 생성하는지 여부에 관계없이 조직 구조의 데이터 및 분석 요구 사항을 유연하게 반영할 수 있습니다.
또한 이 섹션에서는 Amazon DataZone 콘솔 및 Amazon DataZone 포털에 대한 사용자 액세스를 관리하는 방법에 대해서도 설명합니다.
자세한 내용은 [Amazon DataZone 용어 및 개념](datazone-concepts.md) 섹션을 참조하세요.
**Topics**
+ [
# Amazon DataZone 도메인 생성
](create-domain.md)
+ [
# Amazon DataZone 도메인 편집
](edit-domain.md)
+ [
# Amazon DataZone 도메인 삭제
](delete-domain.md)
+ [
# Amazon DataZone에 대한 IAM Identity Center 활성화
](enable-IAM-identity-center-for-datazone.md)
+ [
# Amazon DataZone용 IAM Identity Center 비활성화
](disable-IAM-identity-center-for-datazone.md)
+ [
# Amazon DataZone 콘솔에서 사용자 관리
](user-management-console.md)
+ [
# Amazon DataZone 데이터 포털에서 사용자 권한 관리
](user-management-portal.md)
+ [
# Amazon DataZone에 대한 액세스 제한
](user-management-portal-restricting-programmatic-access.md)
+ [
# Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드
](upgrade-domain.md)
# Amazon DataZone 도메인 생성
**참고**
AWS Identity Center와 함께 Amazon DataZone을 사용하여 SSO 사용자 및 그룹에 대한 액세스를 제공하는 경우 현재 Amazon DataZone 도메인은 AWS Identity Center 인스턴스와 동일한 AWS 리전에 있어야 합니다.
Amazon DataZone, 도메인은 자산, 사용자 및 해당 프로젝트를 함께 연결하기 위한 조직 엔터티입니다. 자세한 내용은 [Amazon DataZone 용어 및 개념](datazone-concepts.md) 섹션을 참조하세요.
Amazon DataZone 도메인을 생성하려면 관리 권한이 있는 계정에서 IAM 역할을 수임해야 합니다. 도메인을 생성하는 데 필요한 최소 권한을 얻으려면 [Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성](create-iam-roles.md) 작업을 수행합니다.
Amazon DataZone은 기본 구성을 사용하는 도메인 사용자를 대신하여 작업을 수행하기 위해 추가 IAM 역할을 필요로 합니다. 이러한 IAM 역할을 미리 생성하거나 Amazon DataZone에서 해당 역할을 생성하도록 할 수 있습니다. 도메인 생성 프로세스 중에 Amazon DataZone이 이러한 IAM 역할을 생성하도록 하려면 도메인 생성 시 역할 생성 권한이 있는 IAM 역할을 맡아야 합니다. [Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성](create-iam-roles.md#create-custom-to-manage-EZCRZ)을(를) 참조하세요. 도메인 생성 선택에 따라 Amazon DataZone은 **AmazonDataZoneDomainExecutionRole**, **AmazonDataZoneGlueManageAccessRole**, **AmazonDataZoneRedshiftManageAccessRole**, **AmazonDataZoneProvisioningRole** 등 최대 4개의 새 IAM 역할을 생성합니다.
Amazon DataZone 도메인을 생성하려면 다음 절차를 완료합니다.
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) Amazon DataZone 콘솔로 이동하여 상단 탐색 모음의 리전 선택기를 사용하여 적절한 AWS 리전을 선택합니다.
1. **도메인 생성**을 선택하고 다음 필드에 값을 제공합니다.
+ **이름** - 도메인의 표시 이름을 지정합니다. 도메인이 생성되면 이 이름을 변경할 수 없습니다.
+ **설명** - (선택 사항) 도메인 설명을 지정합니다.
+ ****데이터 암호화**** - Amazon DataZone 도메인, 메타데이터 및 보고 데이터는 Amazon DataZone 에 고유한 키를 사용하여 AWS Key Management Service(KMS)에 의해 암호화됩니다. 이 필드를 사용하여 소유 키를 사용할 AWS 지 아니면 다른 AWS KMS 키를 선택할지 지정합니다.
사용자 지정 고객 관리형 키 사용에 대한 자세한 내용은 [Amazon DataZone에 대한 저장 데이터 암호화](encryption-rest-datazone.md) 섹션을 참조하세요. 데이터 암호화에 자체 KMS 키를 사용하는 경우 기본 [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md)에 다음 문을 포함해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
+ **서비스 액세스** - Amazon DataZone에서 새 **DomainExecutionRole**을 생성하여 사용할지 또는 기존 IAM 역할을 선택할지 선택합니다.
+ **빠른 설정** - (선택 사항) Amazon DataZone에서 데이터 소비 및 게시를 위해 계정을 설정하여 더 빠르게 시작하려면 이 상자를 선택합니다. Amazon DataZone은 Glue 및 Amazon Redshift 리소스에 대한 액세스를 프로비저닝, 수집 및 관리하기 위한 세 가지 IAM 역할을 생성하고, 새 Amazon S3 버킷을 생성하고, 관리 Amazon DataZone 프로젝트를 생성하고, 데이터 레이크 및 데이터 AWS 웨어하우스 기본 블루프린트에 대한 환경 프로파일을 생성합니다.
+ 태그 -**** (선택 사항) 도메인에 대한 AWS 태그(키 및 값 페어)를 지정합니다.
+ 도메인이 성공적으로 생성되면 브라우저를 새로 고쳐 새 Amazon DataZone 도메인의 세부 정보 페이지를 표시해야 합니다.
# Amazon DataZone 도메인 편집
Amazon DataZone에서 도메인은 자산, 사용자 및 해당 프로젝트를 함께 연결하기 위한 조직 엔터티입니다. 자세한 내용은 [Amazon DataZone 용어 및 개념](datazone-concepts.md) 섹션을 참조하세요.
Amazon DataZone 도메인을 생성한 후 나중에 설명을 변경하고, IAM Identity Center를 활성화하고, 태그 키와 해당 값을 추가, 편집 또는 제거하도록 도메인을 편집할 수 있습니다. Amazon DataZone 도메인을 편집하려면 관리 권한이 있는 계정에서 IAM 역할을 수임해야 합니다. 도메인을 편집하는 데 필요한 최소 권한을 얻으려면 [Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성](create-iam-roles.md) 작업을 수행합니다.
도메인을 편집하려면 다음 단계를 완료합니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) Amazon DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. 도메인에 대한 세부 정보 페이지에서 **편집**을 선택합니다.
1.
+ **설명**을 편집합니다.
+ **IAM Identity Center 설정**을 설정합니다. [Amazon DataZone용 AWS IAM Identity Center 설정](sso-setup.md)의 이러한 설정에 대해 자세히 알아봅니다.
+ **태그** 키와 해당 값을 추가, 편집 또는 제거합니다.
1. 편집한 후에는 **도메인 업데이트**를 선택합니다.
# Amazon DataZone 도메인 삭제
Amazon DataZone에서 도메인은 자산, 사용자 및 해당 프로젝트를 함께 연결하기 위한 조직 엔터티입니다. 자세한 내용은 [Amazon DataZone 용어 및 개념](datazone-concepts.md) 섹션을 참조하세요.
도메인을 삭제하는 작업은 최종적입니다. 삭제하면 데이터 소스, 프로젝트, 환경, 자산, 용어집 및 메타데이터 양식을 포함한 모든 Amazon DataZone 엔터티를 취소할 수 없습니다. 삭제해도 IAM 역할, S3 버킷, AWS Glue 데이터베이스, LakeFormation 또는 Redshift를 통한 구독 권한 부여 등 Amazon DataZone이 생성하는 데 도움이 되었을 수 있는 비 Amazon DataZone AWS 리소스는 삭제되지 않습니다. 이러한 리소스가 더 이상 필요하지 않은 경우 해당 AWS 서비스에서 해당 리소스를 삭제합니다.
누군가가 도메인을 악의적으로 삭제하지 못하도록 하려면 도메인을 삭제하려면 Amazon DataZone 에 대한 관리 IAM 권한이 필요하며, 이 권한은 IAM으로 구성할 수 있습니다. 누군가가 실수로 도메인을 삭제하지 못하도록 하려면 도메인을 삭제하려면 확인 단어(Amazon DataZone 콘솔에서)가 필요합니다.
도메인을 삭제하려면 다음 단계를 완료하세요.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) Amazon DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. **삭제**를 선택하고 정보 경고를 검토합니다.
1. 요청된 텍스트를 입력하여 이러한 경고를 이해했는지 확인합니다. **삭제**를 선택합니다.
**중요**
도메인 삭제는 사용자 또는 AWS에서 취소할 수 없는 취소 불가능한 작업입니다.
**참고**
사용자 또는 도메인 사용자가 프로젝트에서 환경을 생성하면 Amazon DataZone은 도메인 또는 연결된 계정에 AWS 리소스를 생성하여 사용자와 도메인 사용자에게 기능을 제공합니다. 다음은 Amazon DataZone이 도메인의 프로젝트에 대해 생성할 수 있는 AWS 리소스 목록과 기본 이름입니다. 도메인을 삭제해도 계정 AWS 에서 이러한 AWS 리소스는 삭제되지 않습니다.
IAM 역할: datazone\$1usr\$1.
Glue 데이터베이스: (1) \$1pub\$1db-\$1, (2) \$1sub\$1db-\$1. 이 이름의 기존 데이터베이스가 이미 있는 경우 Amazon DataZone은 환경 ID를 추가합니다.
Athena 작업 그룹: -\$1. 이 이름의 기존 작업 그룹이 이미 있는 경우 Amazon DataZone은 환경 ID를 추가합니다.
CloudWatch 로그 그룹: datazone\$1
# Amazon DataZone에 대한 IAM Identity Center 활성화
**참고**
이 절차를 완료하려면 Amazon DataZone 도메인과 동일한 AWS 리전에서 AWS IAM Identity Center가 활성화되어 있어야 합니다.
AWS IAM Identity Center를 사용하여 SSO 사용자 및 그룹에 Amazon DataZone 데이터 포털에 대한 액세스 권한을 제공할 수 있습니다. [Amazon DataZone용 AWS IAM Identity Center 설정](sso-setup.md) 작업을 완료한 후 SSO 사용자 및 그룹이 Amazon DataZone 도메인 데이터 포털에 액세스하도록 활성화할 수 있습니다.
Amazon DataZone 도메인에서 AWS 사용할 IAM Identity Center를 활성화하려면 관리 권한이 있는 계정에서 IAM 역할을 수임해야 합니다. [Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성](create-iam-roles.md) 및 [Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성](create-iam-roles.md#create-custom-to-manage-EZCRZ)는 Amazon DataZone에서 사용할 IAM Identity Center를 활성화하는 데 필요한 최소 권한을 얻어야 합니다.
Amazon DataZone용 AWS IAM Identity Center를 활성화하려면 다음 절차를 완료하세요.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. 도메인에 대한 세부 정보 페이지에서 **편집**을 선택합니다.
+ **IAM Identity Center에서 사용자 활성화** 확인란을 선택합니다.
+ IAM Identity Center의 조직 인스턴스에 연결할지 또는 IAM Identity Center의 계정 인스턴스에 연결할지 선택합니다.
+ 두 사용자 할당 모드 중에서 선택합니다. 도메인이 선택 항목으로 업데이트되면 나중에 변경할 수 없습니다.
+ **암시적 사용자 할당**을 사용하면 IAM Identity Center 디렉터리에 추가된 모든 사용자가 Amazon DataZone 도메인에 액세스할 수 있습니다.
+ **명시적 사용자 할당**을 사용하면 IAM Identity Center 디렉터리의 특정 사용자 또는 그룹을 추가하여 Amazon DataZone 도메인에 대한 액세스를 제공합니다. 나중에 Amazon DataZone 콘솔에서 이러한 사용자 및 그룹을 추가하고 제거합니다.
1. 선택한 항목에 만족하면 **도메인 업데이트**를 선택합니다.
# Amazon DataZone용 IAM Identity Center 비활성화
Amazon DataZone 도메인에 대해 AWS IAM Identity Center를 비활성화하면 모든 SSO 사용자의 액세스 권한이 제거됩니다.
**참고**
IAM Identity Center를 비활성화해도 SSO 사용자의 결제는 중지되지 않습니다. SSO 사용자의 결제를 중지하려면 도메인에서 해당 사용자를 비활성화해야 합니다. 결제는 사용자가 비활성화된 달이 끝날 때까지 계속됩니다. 사용자를 비활성화하려면 [Amazon DataZone 콘솔에서 사용자 관리](user-management-console.md) 섹션을 참조하세요.
AWS IAM Identity Center를 사용하여 SSO 사용자 및 그룹에 Amazon DataZone 데이터 포털에 대한 액세스 권한을 제공할 수 있습니다. Amazon DataZone용 AWS IAM Identity Center를 활성화한 경우 나중에 모든 사용자의 액세스를 비활성화할 수 있습니다.
Amazon DataZone 도메인에서 사용할 AWS IAM Identity Center를 비활성화하려면 관리 권한이 있는 계정에서 IAM 역할을 수임해야 합니다. [Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성](create-iam-roles.md) 및 [Amazon DataZone 서비스 콘솔 간소화된 역할 생성을 활성화하는 IAM 권한에 대한 사용자 지정 정책 생성](create-iam-roles.md#create-custom-to-manage-EZCRZ)는 IAM Identity Center가 Amazon DataZone에서 사용되지 않도록 비활성화하는 데 필요한 최소 권한을 얻어야 합니다.
Amazon DataZone용 AWS IAM Identity Center를 비활성화하려면 다음 절차를 완료하세요.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. arn:aws:datazone:::domain/으로 시작하는 도메인의 **Amazon 리소스 이름(ARN)**을 복사합니다.
1. [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)에서 IAM Identity Center 콘솔을 엽니다.
1. [**Applications**]를 선택합니다.
1. AWS IAM Identity Center를 비활성화하려는 도메인을 선택하면 모든 SSO 사용자의 도메인 데이터 포털에 대한 액세스 권한이 제거됩니다. **필터** 메뉴와 검색 상자를 사용하여 애플리케이션 목록을 필터링할 수 있습니다.
1. **작업** 메뉴에서 **비활성화**를 선택합니다.
1. SSO 사용자는 Amazon DataZone 도메인에 대한 액세스 권한을 잃게 됩니다.
1. Amazon DataZone 도메인에 대해 AWS IAM Identity Center를 다시 활성화하려면 AWS IAM Identity Center를 다시 활성화하려는 도메인을 선택하고 **작업** 메뉴에서 **활성화**를 선택합니다.
# Amazon DataZone 콘솔에서 사용자 관리
사용자는 AWS 자격 증명 또는 AWS Single Sign-On(SSO) 자격 증명을 사용하여 Amazon DataZone 데이터 포털에 액세스할 수 있습니다. Amazon DataZone 도메인의 Amazon DataZone 콘솔에서 사용자를 관리하려면 Amazon DataZone 관리 콘솔 권한이 부여된 계정에서 IAM 역할을 맡아야 합니다. [Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한 구성](create-iam-roles.md) 작업을 통해 Amazon DataZone 콘솔에서 사용자를 관리하는 데 필요한 최소 권한을 얻어야 합니다.
**Topics**
+ [
## IAM 역할 및 사용자 관리
](#manage-IAM-users-roles)
+ [
## SSO 사용자 관리
](#manage-sso-users)
+ [
## SSO 그룹 관리
](#manage-sso-groups)
## IAM 역할 및 사용자 관리
IAM 역할 및 사용자는 AWS Identity and Access Management(IAM)를 사용하여 생성되며 정책을 통해 연결된 권한을 통해 Amazon DataZone 도메인에 액세스할 수 있습니다. 자세한 내용은 [Amazon DataZone 데이터 포털을 사용하는 데 필요한 IAM 권한 구성](data-portal-permissions.md) 단원을 참조하십시오. Amazon DataZone의 현재 릴리스에서 Amazon DataZone 도메인 소유자 계정의 관리자는 자신의 계정에 있는 사용자 또는 연결된 계정의 사용자에 대한 IAM 사용자 프로파일을 생성할 수 있습니다. Amazon DataZone 도메인 소유자 계정의 관리자는 기존 사용자의 상태를 할당됨 또는 할당되지 않음(Amazon DataZone을 사용하도록 할당되거나 할당되지 않음)으로 설정하거나 기존 사용자를 활성화 또는 비활성화할 수도 있습니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. 도메인 세부 정보 페이지에서 **사용자 관리** 탭을 선택합니다.
1. Amazon DataZone 도메인 소유자 계정 또는 연결된 계정에서 사용자 IAM 사용자를 추가하려면 **추가**를 선택한 다음 **IAM 사용자 추가**를 선택합니다.
1. **사용자 추가** 페이지에서 **현재 계정** 또는 **연결된 계정**을 선택하고 **사용자 또는 역할 찾기 및 추가** 필드를 사용하여 추가하려는 사용자를 찾은 다음 **사용자 추가**를 선택합니다.
1. 기존 IAM 사용자의 상태를 보려면 **사용자 관리** 페이지의 사용자 유형 드롭다운 메뉴에서 **IAM 사용자**를 선택합니다.
+ **이름** 열에는 IAM 사용자 또는 역할의 ARN이 표시됩니다.
+ **상태** 열에는 도메인의 IAM 사용자 또는 역할의 현재 상태가 표시됩니다.
+ ‘할당됨’이란 IAM 사용자가 Amazon DataZone 을 사용하도록 할당되었음을 의미합니다.
+ ‘미할당’이란 IAM 사용자가 Amazon DataZone 를 사용하도록 할당되지 않았음을 의미합니다.
+ 활성화됨은 IAM 사용자 또는 역할이 해당 도메인에 대해 API를 직접적으로 호출하거나, 명령줄 인터페이스를 통해 명령을 실행하거나, Amazon DataZone 포털에 액세스했음을 의미합니다.
+ 비활성화됨은 IAM 사용자 또는 역할이 더 이상 Amazon DataZone 데이터 포털을 사용할 수 없음을 의미합니다. 프로그래밍 방식 액세스를 제한하려면 [Amazon DataZone에 대한 액세스 제한](user-management-portal-restricting-programmatic-access.md) 섹션을 참조하세요.
1. 현재 활성화된 IAM 사용자 또는 역할을 비활성화하려면 사용자 옆의 확인란을 선택하고 **작업** 메뉴에서 **비활성화**를 선택합니다. 그러면 사용자가 더 이상 Amazon DataZone 데이터 포털을 사용할 수 없게 됩니다. 프로그래밍 방식 액세스를 제한하려면 [Amazon DataZone에 대한 액세스 제한](user-management-portal-restricting-programmatic-access.md) 섹션을 참조하세요.
1. 현재 비활성화된 IAM 사용자 또는 역할을 활성화하려면 사용자 옆의 확인란을 선택하고 **작업** 메뉴에서 **활성화**를 선택합니다. IAM 사용자 또는 역할에 `datazone:GetUserPortalLoginUrl` 권한이 있는 경우 사용자는 Amazon DataZone 데이터 포털에 액세스할 수 있습니다.
## SSO 사용자 관리
SSO 사용자는 자격 증명 공급자와 함께 생성되거나 동기화됩니다. 자세한 내용은 [Amazon DataZone용 AWS IAM Identity Center 설정](sso-setup.md) 및 [Amazon DataZone에 대한 IAM Identity Center 활성화](enable-IAM-identity-center-for-datazone.md) 섹션을 참조하여 Amazon DataZone용 AWS IAM Identity Center를 활성화하고 구성합니다. 도메인에 할당된 SSO 사용자 목록을 보고, SSO 사용자를 추가하고, SSO 사용자를 제거할 수 있습니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. 도메인의 세부 정보 페이지에서 아래로 스크롤하여 **사용자 관리**를 선택합니다.
1. 사용자 유형에서 **SSO 사용자**를 선택하여 이전에 데이터 포털에 인증한 SSO 사용자의 현재 목록을 표시합니다. 암시적 사용자 할당을 사용할 경우, 데이터 포털에 이전에 인증한 적이 없는 SSO 사용자는 목록에 표시되지 않습니다.
+ **이름** 열에는 SSO 사용자의 이름이 표시됩니다.
+ **상태** 열에는 도메인에서 SSO 사용자의 현재 상태가 표시됩니다.
+ ‘할당됨’이란 SSO 사용자가 도메인에 명시적으로 할당되었음을 의미합니다. 따라서 사용자는 Amazon DataZone 에 액세스할 수 있습니다. 이 상태는 도메인의 자격 증명 공급자 모드가 명시적 할당으로 설정된 경우에만 사용됩니다.
+ 활성화됨은 SSO 사용자가 도메인의 Amazon DataZone 포털에 액세스했음을 의미합니다. 활성화는 자동으로 이루어집니다.
+ ‘비활성화됨’이란 도메인의 데이터 포털에 대한 SSO 사용자의 액세스가 차단되었음을 의미합니다.
+ ‘제거됨’은 SSO 사용자가 이전에 도메인에 할당되었지만 액세스하기 전에 제거되었음을 의미합니다.
1. **추가** 및 **사용자 추가**를 선택하여 SSO 사용자를 추가합니다. 도메인이 암시적 사용자 할당으로 설정된 경우 이 옵션을 사용할 수 없습니다. 즉, ID 풀의 모든 사용자가 Amazon DataZone 도메인에 액세스할 수 있습니다.
+ **사용자 추가** 페이지에서 추가하려는 사용자의 별칭을 검색합니다. 검색 상자 아래에 일치하는 목록이 표시됩니다.
+ 추가할 사용자를 선택합니다. 별칭은 검색 상자 아래에 칩으로 표시됩니다.
+ 추가하려는 사용자 목록에 만족하면 **사용자 추가**를 선택합니다.
+ 사용자는 상태가 **할당됨**인 Amazon DataZone 도메인에 할당됩니다.
+ 사용자가 도메인의 데이터 포털에 처음 액세스하면 상태가 자동으로 **활성화됨**으로 변경됩니다.
1. 사용자를 선택하고 **작업** 메뉴에서 **할당 취소**를 선택하여 **할당된** SSO 그룹을 제거합니다. 따라서 사용자는 Amazon DataZone 도메인에 액세스할 수 없게 됩니다. 사용자의 상태는 **할당되지 않음**으로 표시됩니다. 도메인이 암시적 사용자 할당으로 설정된 경우 이 옵션을 사용할 수 없습니다.
1. 사용자를 선택하고 **작업** 메뉴에서 **비활성화**를 선택하여 **활성화된** SSO 사용자를 비활성화합니다. 따라서 Amazon DataZone 데이터 포털에 대한 사용자의 액세스 권한이 손실되고 차단됩니다. 사용자의 상태는 **비활성화됨**으로 표시됩니다.
1. 사용자를 선택하고 **작업** 메뉴에서 **활성화**를 선택하여 **비활성화된** SSO 사용자를 활성화합니다. 따라서 사용자는 Amazon DataZone 데이터 포털에 다시 액세스할 수 있습니다. 사용자는 **활성화됨**으로 표시됩니다.
## SSO 그룹 관리
SSO 그룹은 AWS IAM Identity Center에서 생성되거나 ID 제공업체와 동기화됩니다. 자세한 내용은 [Amazon DataZone용 AWS IAM Identity Center 설정](sso-setup.md) 및 [Amazon DataZone에 대한 IAM Identity Center 활성화](enable-IAM-identity-center-for-datazone.md) 섹션을 참조하여 Amazon DataZone용 AWS IAM Identity Center를 활성화하고 구성합니다. 도메인에 할당된 SSO 그룹 목록을 보고, SSO 그룹을 추가하고, SSO 그룹을 제거할 수 있습니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) DataZone 콘솔을 엽니다.
1. **도메인 보기**를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.
1. 도메인의 세부 정보 페이지에서 아래로 스크롤하여 **사용자 관리**를 선택합니다.
1. 사용자 유형에서 **SSO 그룹**을 선택하여 현재 SSO 그룹 목록을 봅니다.
+ **이름** 열에는 SSO 그룹의 이름이 표시됩니다.
+ **상태** 열에는 도메인에서 SSO 그룹의 현재 상태가 표시됩니다.
+ **할당됨**이란 SSO 그룹이 도메인에 명시적으로 할당되었음을 의미합니다. 따라서 그룹의 모든 사용자는 도메인의 데이터 포털에 액세스할 수 있습니다(사용자가 비활성화되지 않은 경우).
+ **할당되지 않음**은 SSO 그룹이 도메인에서 제거되었음을 의미합니다. 그룹의 사용자는 이 그룹의 멤버십을 통해 도메인의 데이터 포털에 액세스할 수 없습니다.
1. **추가** 및 **그룹 추가**를 선택하여 SSO 그룹을 추가합니다. 도메인이 암시적 사용자 할당으로 설정된 경우 이 옵션을 사용할 수 없습니다. 즉, ID 풀의 모든 사용자는 그룹 멤버십과 관계없이 Amazon DataZone 도메인에 액세스할 수 있습니다.
+ **그룹 추가** 페이지에서 추가하려는 그룹의 별칭을 검색합니다. 검색 상자 아래에 일치하는 목록이 표시됩니다.
+ 추가할 그룹을 선택합니다. 별칭은 검색 상자 아래에 칩으로 표시됩니다.
+ 추가하려는 그룹 목록에 만족하면 **그룹 추가**를 선택합니다.
+ 그룹은 상태가 **할당됨**인 Amazon DataZone 도메인에 할당됩니다.
+ 그룹의 구성원이 도메인의 데이터 포털에 액세스하면 상태가 자동으로 **활성화됨**으로 변경됩니다.
1. 그룹을 선택하고 **작업** 메뉴에서 **할당 취소**를 선택하여 **할당된 SSO 그룹**을 제거합니다. 따라서 그룹은 Amazon DataZone 도메인에 대한 액세스 권한을 잃게 됩니다. 그룹의 상태는 **할당되지 않음**으로 표시됩니다. 이 그룹의 멤버십을 통해 Amazon DataZone에 대한 액세스 권한을 얻은 사용자는 액세스 권한을 잃게 됩니다. 도메인이 암시적 사용자 할당으로 설정된 경우 이 옵션을 사용할 수 없습니다.
# Amazon DataZone 데이터 포털에서 사용자 권한 관리
Amazon DataZone 관리 포털을 사용하여 IAM 사용자 및 역할, SSO 사용자 및 그룹, SAML 사용자에 대한 인증을 구성할 수 있습니다. Amazon DataZone은 Amazon DataZone을 사용하는 각 사용자에게 사용자 프로필을 할당합니다.
프로젝트 사용, 엔터티 생성 등의 작업에 필요한 사용자 프로필 권한은 도메인 단위 및 정책 부여를 통해 관리됩니다. 특정 프로젝트 내에서는 프로젝트 멤버십 지정(소유자, 기여자, 뷰어)에 따라 작업 권한이 결정됩니다.
# Amazon DataZone에 대한 액세스 제한
**Amazon DataZone에 대한 프로그래밍 방식 액세스 제한** - IAM 사용자 또는 역할의 경우 프로그래밍 방식 API 직접 호출을 수행할 때 IAM 정책을 통해 액세스를 제한할 수 있습니다. 역할에 대해 이미 발급된 단기 자격 증명을 취소하려면 역할 또는 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)에 대해 [IAM 세션 취소 메커니즘](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)을 사용할 수 있습니다.
**Amazon DataZone 데이터 포털에 대한 로그인 액세스 제한 ** - Amazon DataZone 데이터 포털에 대한 로그인 액세스를 제한하려면 IAM 사용자 또는 역할의 경우 IAM 정책을 사용하여 `datazone:GetUserPortalLoginUrl` 작업에 대한 액세스를 제한할 수 있습니다. SSO 사용자 및 그룹의 경우 Amazon DataZone 사용자 프로필 상태를 **비활성화됨**으로 설정하여 Amazon DataZone 데이터 포털에 대한 액세스를 제한합니다. 도메인이 암시적 할당으로 구성되어 있고 사용자가 이전에 Amazon DataZone을 사용한 적이 없는 경우 해당 사용자를 자격 증명 공급자에서 제거해야 합니다.
# Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드
## 도메인을 업그레이드하기 전 고려 사항
Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드하기 전에 원활한 업그레이드를 위해 다음 중요한 고려 사항을 검토하세요.
+ 업그레이드 프로세스는 AWS 관리 콘솔을 통해서만 사용할 수 있습니다. 현재 도메인 업그레이드를 위한 API 지원은 제공되지 않습니다. Amazon DataZone 도메인의 도메인 세부 정보 페이지에서 업그레이드 프로세스를 초기화할 수 있습니다.
+ 업그레이드 프로세스를 수행하려면 다음 역할을 구성해야 합니다. 기존 역할을 선택하거나 Amazon SageMaker Unified Studio에서 대신 역할을 생성하도록 할 수 있습니다.
+ 도메인 실행 역할 - Amazon DataZone 도메인의 경우 Amazon DataZone에서 도메인의 데이터를 카탈로그화, 검색, 관리, 공유 및 분석하는 데 필요한 [AmazonDataZoneDomainExecutionRole](https://docs.aws.amazon.com/datazone/latest/userguide/AmazonDataZoneDomainExecutionRole.html)이 사용됩니다. Amazon SageMaker 통합 도메인을 사용하는 경우 기존 [AmazonSageMakerDomainExecution](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainExecution.html) 역할을 사용하거나 새 역할을 생성해야 합니다.
+ 도메인 서비스 역할 - Amazon DataZone에는 도메인 서비스 역할이 필요하지 않습니다. Amazon SageMaker 통합 도메인을 사용하는 경우 기존 [AmazonSageMakerDomainService](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainService.html) 역할을 사용하거나 새 역할을 생성해야 합니다. 이 역할은 Amazon SageMaker Unified Studio에서 수행하는 도메인 수준 작업을 위한 서비스 역할입니다.
+ 루트 도메인 소유권 고려 사항:
+ 업그레이드 프로세스 중에 IAM 사용자 또는 SSO 사용자/그룹을 루트 도메인 소유자로 선택적으로 할당할 수 있습니다.
+ 루트 도메인 단위에 소유자로 IAM 역할만 할당된 경우, IAM 사용자 또는 SSO 사용자/그룹을 소유자로 추가하는 것이 좋습니다. 자세한 내용은Amazon DataZone 관리자 안내서에서 [사용자 관리](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/user-management.html)를 참조하세요.
+ **중요**: IAM 역할은 Amazon SageMaker Unified Studio에 로그인할 수 없습니다.
+ 연결된 계정 및 AWS Resource Access Manager(AWS RAM) 변경 사항:
+ 연결된 계정은 AWS RAM의 리소스 공유를 사용하여 루트 도메인 계정의 API 작업을 허용합니다.
+ 업그레이드 프로세스는 Amazon DataZone에서 생성하고 관리하는 AWS RAM 공유에 대한 기본 관리형 권한을 변경합니다. 영향을 받는 관리형 권한은 `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess` 및 `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess`입니다.
+ Amazon Q 구독 변경 - 업그레이드된 도메인의 Amazon Q 구독은 기본적으로 프리 티어로 설정됩니다. 도메인 업그레이드가 완료된 후 도메인 관리자가 이를 변경할 수 있습니다.
+ 업그레이드 후 도메인의 `domainVersion` 속성이 `V1`에서 `V2`로 변경됩니다.
## Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드
다음 절차를 완료하면 Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드할 수 있습니다.
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone)에서 Amazon DataZone 콘솔로 이동하여 상단 탐색 모음의 리전 선택기를 사용하여 적절한 AWS 리전을 선택합니다.
1. 업그레이드할 Amazon DataZone 도메인을 선택하고 세부 정보 페이지로 이동합니다.
1. 도메인의 세부 정보 페이지에서 **Amazon SageMaker Unified Studio로 도메인 업그레이드** 알림에 있는 **시작하기** 버튼을 선택합니다.
1. **도메인을 Amazon SageMaker Unified Studio로 업그레이드** 페이지에서 **시작**을 선택합니다.
1. 업그레이드 중인 Amazon DataZone 도메인의 소유자가 IAM 사용자, SSO 사용자/그룹 유형이 아닌 경우, 도메인 및 루트 도메인 단위 소유자에 대해 도메인 실행 역할과 도메인 서비스 역할을 지정합니다. 그런 다음 **도메인 업그레이드**를 선택합니다.
## Amazon DataZone 도메인을 Amazon SageMaker 통합 도메인으로 업그레이드할 때 자주 묻는 질문
+ **업그레이드 후 도메인에 유지되는 속성 및 구성은 무엇인가요?**
Amazon DataZone 도메인에 구성된 모든 속성은 업그레이드된 Amazon SageMaker 통합 도메인으로 이전됩니다. 여기에는 데이터 암호화 속성, 인증 애플리케이션 속성 등이 포함됩니다.
+ **사용자를 위해 Single Sign-On(SSO) 액세스를 다시 설정해야 하나요?**
아니요. 도메인과 연결된 IAM Identity Center SSO 애플리케이션은 업그레이드된 Amazon SageMaker 통합 도메인으로 이전됩니다. 또한 도메인에 할당된 모든 IAM 사용자 또는 역할도 업그레이드된 Amazon SageMaker 통합 도메인에서 사용할 수 있습니다.
+ **업그레이드 후에도 Amazon DataZone 포털을 계속 사용할 수 있나요?**
예. 업그레이드 후 최종 사용자는 Amazon DataZone 포털과 Amazon SageMaker Unified Studio를 모두 사용할 수 있습니다. 도메인 관리자가 Amazon SageMaker 관리 콘솔에서 Amazon DataZone 포털을 비활성화할 때까지 두 포털은 모두 열린 상태로 유지됩니다.
+ **Amazon DataZone 포털에서 생성된 프로젝트 및 기타 엔터티를 Amazon SageMaker Unified Studio에서 볼 수 있나요?**
예. Amazon DataZone 포털을 통해 생성된 대부분의 엔터티(프로젝트, 메타데이터 양식, 용어집, 도메인 단위)는 Amazon SageMaker Unified Studio에서 볼 수 있습니다. 프로젝트에는 모든 자산, 자산에 연결된 메타데이터 양식 및 용어집, 자산 구독, 멤버 등이 모두 이전됩니다. 이러한 프로젝트에서는 AWS Athena 또는 Amazon Redshift 쿼리 편집기에서 데이터를 쿼리해야 합니다. 메타데이터 양식 및 용어집은 Amazon SageMaker Unified Studio에 표시되며 Amazon SageMaker에서 편집할 수 있고 Amazon SageMaker를 통해 생성된 프로젝트의 자산에 할당할 수 있습니다. Amazon DataZone의 환경 및 환경 프로필은 Amazon SageMaker Unified Studio에 표시되지 않습니다. 이러한 엔터티는 Amazon SageMaker 프로젝트 프로필로 대체되었습니다. Amazon SageMaker Unified Studio에서 생성된 프로젝트는 Amazon DataZone 포털을 통해 표시되지 않습니다.
+ **Amazon SageMaker 통합 도메인으로 업그레이드한 후 도메인 식별자와 프로젝트 식별자는 어떻게 되나요?**
도메인 및 프로젝트를 포함한 모든 엔터티 식별자는 업그레이드 후에도 동일하게 유지됩니다.
+ **my AWS CloudFormation(CFN) 스택은 새로 업그레이드된 Amazon SageMaker 통합 도메인에서 계속 작동하나요?**
Amazon SageMaker Unified Studio에서는 Amazon DataZone과 동일한 API가 사용됩니다. 그러나 CFN 템플릿 내의 로직을 일부 수정해야 합니다. 예를 들어, Amazon DataZone의 도메인은 domainVersion(값 V1 \$1 V2)이라는 속성으로 Amazon SageMaker 통합 도메인과 구별됩니다.
+ **업그레이드가 롤백되면 어떻게 되나요?**
+ 업그레이드를 롤백하면 도메인 버전이 V2에서 V1으로 변경됩니다. Amazon SageMaker Unified Studio에 더 이상 액세스할 수 없게 됩니다. 도메인의 콘솔 보기가 Amazon DataZone 보기로 돌아갑니다. 롤백 전에 생성된 리소스는 Amazon SageMaker Unified Studio에서 생성된 프로젝트에 연결되지 않는 한 그대로 유지됩니다. 롤백은 Amazon SageMaker Unified Studio 내에서 생성된 프로젝트가 없는 경우에만 허용됩니다.
+ AWS Q 구독과 같은 설정은 롤백 후에도 유지됩니다.
+ Amazon SageMaker 사용을 위해 생성된 VPC는 롤백 후에도 유지됩니다. SageMaker 서비스에서 생성한 VPC에는 Name = SageMakerUnifiedStudioVPC 태그가 지정됩니다.
+ RAM 리소스 공유의 관리형 권한은 롤백되지 않습니다. 관리형 권한은 Amazon DataZone과 Amazon SageMaker Unified Studio의 상위 집합입니다.
+ 롤백된 도메인은 Amazon SageMaker 통합 도메인으로 다시 업그레이드할 수 있습니다.