Contas associadas no Amazon DataZone - Amazon DataZone
Solicitar associação com outras contas da AWSAceite uma solicitação de associação de conta de um domínio do Amazon DataZone e habilite um esquema de ambienteHabilitar um esquema de ambiente em uma conta da AWS associada

Contas associadas no Amazon DataZone

Associar suas contas da AWS ao seu domínio do Amazon DataZone permite que os usuários do domínio publiquem e consumam dados dessas contas da AWS. Há três etapas para configurar uma associação de conta.

  • Primeiro, compartilhe o domínio com a conta AWS desejada solicitando a associação. O Amazon DataZone usa o AWS Resource Access Manager (RAM) se a conta da AWS for diferente da conta da AWS de domínio. Uma associação de conta só pode ser iniciada pelo domínio do Amazon DataZone.

  • Segundo, peça ao proprietário da conta que aceite a solicitação de associação.

  • Em terceiro lugar, faça com que o proprietário da conta ative os esquemas de ambiente desejados. Ao habilitar um esquema, o proprietário da conta está fornecendo aos usuários no domínio aos perfis do IAM e as configurações de recursos necessárias para criar e acessar recursos em sua conta, como bancos de dados do AWS Glue e clusters do Amazon Redshift.

Conclua a etapa a seguir para associar uma conta ao Amazon DataZone:

Solicitar associação com outras contas da AWS

nota

Ao enviar uma solicitação de associação para outra conta da AWS, você está compartilhando seu domínio com a outra conta da AWS com o AWS Resource Access Manager (RAM). Certifique-se de verificar a precisão do ID da conta inserido.

Para solicitar a associação com outras contas da AWS no console do Amazon DataZone para um domínio do Amazon DataZone, você deve assumir um perfil do IAM na conta com permissões administrativas. Configurar permissões do IAM necessárias para usar o console de gerenciamento do Amazon DataZone para obter as permissões mínimas necessárias para solicitar uma associação de conta.

Conclua o procedimento a seguir para solicitar a associação com outras contas da AWS.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon DataZone em https://console.aws.amazon.com/datazone.

  2. Escolha Visualizar domínios e escolha o nome de domínio na lista. O nome é um hiperlink.

  3. Role para baixo até a guia Contas associadas e escolha Solicitar associação.

  4. Insira as IDs das contas às quais você deseja solicitar a associação. Quando estiver satisfeito com a lista de IDs de conta, escolha Solicitar associação.

  5. Em Política de RAM, especifique a política de RAM para associação de contas. Você pode escolher o AWSRAMPermissionDataZonePortalReadWrite que permitirá que as contas associadas executem as APIs do Amazon DataZone e acessem o portal de dados ou escolher o AWSRAMPermissionDataZoneDefault que permitirá que as contas associadas executem somente as APIs do Amazon DataZone e não fornecerá acesso ao portal de dados. Em seguida, o Amazon DataZone cria um compartilhamento de recursos no AWS Resource Access Manager em nome da sua conta, com os ID(s) de conta inseridos como entidades principais.

  6. Você deve notificar o proprietário da(s) outra(s) conta(s) da AWS para aceitar sua solicitação. Os convites expiram após sete (7) dias.

Forneça acesso de conta à sua chave do KMS gerenciada pelo cliente

Os domínios do Amazon DataZone e seus metadados são criptografados (por padrão) usando uma chave mantida pela AWS ou (opcionalmente) uma chave gerenciada pelo cliente do AWS Key Management Service (KMS) que você possui e fornece durante a criação do domínio. Se seu domínio for criptografado com uma chave gerenciada pelo cliente, siga o procedimento abaixo para dar permissão à conta associada para usar a chave do KMS.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do KMS em https://console.aws.amazon.com/kms/.

  2. Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  3. Para visualizar as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Na lista de chaves do KMS, escolha o alias ou o ID de chave da chaves do KMS que você deseja examinar.

  5. Para permitir ou cancelar a permissão de contas externas da AWS para usar a chave do KMS, use os controles na seção Outras contas da AWS da página. Entidades principais do IAM nessas contas (com as próprias permissões do KMS adequadas) podem usar a chave do KMS em operações de criptografia, como criptografar, descriptografar, recriptografar e gerar chaves de dados.

Aceite uma solicitação de associação de conta de um domínio do Amazon DataZone e habilite um esquema de ambiente

Para aceitar a associação no console de gerenciamento do Amazon DataZone com um domínio do Amazon DataZone, você deve assumir um perfil do IAM na conta com permissões administrativas. Configurar permissões do IAM necessárias para usar o console de gerenciamento do Amazon DataZone para obter as permissões mínimas.

Preencha os campos a seguir para aceitar a associação com um domínio do Amazon DataZone.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon DataZone em https://console.aws.amazon.com/datazone.

  2. Escolha Visualizar solicitações e selecione o domínio de convite na lista. O estado do convite deve ser Solicitado. Escolha Solicitação de revisão.

  3. Escolha se deseja ativar os esquemas padrão do ambiente de data lake e/ou data warehouse selecionando nenhuma, ambas ou uma das caixas. Você pode fazer isso mais tarde.

    • O esquema de ambiente de data lake permite que os usuários do domínio criem e gerenciem recursos do AWS Glue, do Amazon S3 e do Amazon Athena para publicar e consumir em um data lake.

    • O esquema do ambiente do data warehouse permite que os usuários do domínio criem e gerenciem recursos do Amazon Redshift para publicar e consumir por meio de um data warehouse.

  4. Se você optar por selecionar um ou ambos os esquemas de ambiente padrão, configure as permissões e os recursos a seguir.

    • A opção Gerenciar acesso do perfil do IAM fornece permissões ao Amazon DataZone para permitir que os usuários do domínio consumam e gerenciem o acesso a tabelas, como AWS Glue e Amazon Redshift. Você pode optar por fazer com que o Amazon DataZone crie e use um novo perfil do IAM, ou você pode escolher entre uma lista de perfis do IAM existentes.

    • A opção Provisionamento de perfil do IAM fornece permissões ao Amazon DataZone para permitir que os usuários do domínio criem e configurem recursos do ambiente, como bancos de dados do AWS Glue. Você pode optar por fazer com que o Amazon DataZone crie e use um novo perfil do IAM, ou você pode escolher entre uma lista de perfis do IAM existentes.

    • O Bucket do Amazon S3 para Data Lake é o bucket ou caminho que o Amazon DataZone usará quando os usuários do domínio armazenarem dados do data lake. Você pode usar o bucket padrão selecionado pelo Amazon DataZone ou escolher seu próprio caminho existente do Amazon S3 inserindo sua string de caminho. Se você selecionar seu próprio caminho do Amazon S3, precisará atualizar as políticas do IAM para fornecer permissões ao Amazon DataZone para usá-lo.

  5. Quando a configuração estiver adequada para você, escolha Aceitar e configurar a associação.

Habilitar um esquema de ambiente em uma conta da AWS associada

Para habilitar um esquema de ambiente no console de gerenciamento do Amazon DataZone, você deve assumir um perfil do IAM na conta com permissões administrativas. Configurar permissões do IAM necessárias para usar o console de gerenciamento do Amazon DataZone para obter as permissões mínimas.

Conclua as etapas as seguir para habilitar um esquema em um domínio associado.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon DataZone em https://console.aws.amazon.com/datazone.

  2. Abra o painel de navegação esquerdo e escolha Domínios associados.

  3. Escolha o domínio para o qual você deseja habilitar um esquema de ambiente.

  4. Na lista de Esquemas, escolha DefaultDataLake ou DefaultDataWarehouse, ou Amazon SageMaker, ou o esquema Serviço da AWS Personalizado.

    nota

    Se você estiver habilitando o esquema Serviço da AWS personalizado, não precisará especificar um perfil de gerenciamento de acesso. As permissões e o mecanismo de autorização do modelo de serviço da AWSpersonalizado são gerenciados quando você cria ambientes usando esse esquema. Para obter mais informações, consulte Crie um ambiente usando um esquema de serviço da AWS personalizado.

  5. Na página de detalhes do esquema escolhido, escolha Ativar nesta conta.

  6. Na página Permissões e recursos, especifique o seguinte:

    • Se você estiver habilitando o esquema DefaultDataLake, para Gerenciar perfil de acesso, especifique um perfil de serviço novo ou existente que conceda autorização ao Amazon DataZone para ingerir e gerenciar o acesso às tabelas no AWS Glue e no AWS Lake Formation.

    • Se você estiver habilitando o esquema DefaultDataWarehouse, para o Perfil de gerenciamento de acesso do Redshift, especifique um perfil de serviço novo ou existente que conceda autorização ao Amazon DataZone para ingerir e gerenciar o acesso a unidades de compartilhamento de dados, tabelas e visualizações no Amazon Redshift.

    • Se você estiver habilitando o esquema do Amazon SageMaker, para Perfil de gerenciamento de acesso do SageMaker, especifique um perfil de serviço novo ou existente que conceda permissões ao Amazon DataZone para publicar dados do Amazon SageMaker no catálogo. Também concede permissões ao Amazon DataZone para conceder ou revogar o acesso aos ativos publicados do Amazon SageMaker no catálogo.

      Importante

      Quando você está habilitando o esquema do Amazon SageMaker, o Amazon DataZone verifica se os perfis do IAM a seguir para o Amazon DataZone existem na conta atual e na região. Se esses perfis não existirem, o Amazon DataZone os criará automaticamente.

      • AmazonDataZoneGlueAccess-<region>-<domainId>

      • AmazonDataZoneRedshiftAccess-<region>-<domainId>

    • Para o Perfil de provisionamento, especifique um perfil de serviço novo ou existente que conceda autorização ao Amazon DataZone para criar e configurar recursos ambientais usando o AWS CloudFormation na conta e na região do ambiente.

    • Se você estiver habilitando o esquema do Amazon SageMaker, para o bucket do Amazon S3 para a fonte de dados do SageMaker-Glue, especifique um bucket do Amazon S3 que deve ser usado por todos os ambientes do SageMaker na conta da AWS. O prefixo do bucket especificado deve ser um dos seguintes:

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker-DataZone*

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Escolha Habilitar esquema.

Depois de habilitar o(s) esquema(s) escolhido(s), você pode controlar quais projetos podem usar o(s) esquema(s) em sua conta para criar perfis de ambiente. É possível fazer isso ao atribuir projetos de gerenciamento à configuração do esquema.

Especifique o gerenciamento de projetos no esquema DefaultDataLake ou DefaultDataWarehouse ativado

  1. Navegue até o console do Amazon DataZone em https://console.aws.amazon.com/datazone e faça login com as credenciais da sua conta.

  2. Abra o painel de navegação esquerdo e escolha Domínios associados e, em seguida, escolha o domínio ao qual você deseja adicionar o gerenciamento de projetos.

  3. Escolha a guia Esquemas e, em seguida, escolha o esquema DefaultDataLake ou DefaultDataWareshouse.

  4. Por padrão, todos os projetos dentro do domínio podem usar o esquema DefaultDataLake ou DefaultDataWareshouse na conta para criar perfis de ambiente. No entanto, você pode restringir isso atribuindo o gerenciamento de projetos ao esquema. Para adicionar projetos de gerenciamento, escolha Selecionar projetos de gerenciamento e, em seguida, escolha os projetos que você deseja adicionar como projetos de gerenciamento no menu suspenso e escolha Selecionar projeto(s) de gerenciamento.

Depois de habilitar o esquema DefaultDataWarehouse em sua conta da AWS, você pode adicionar conjuntos de parâmetros à configuração do esquema. Um conjunto de parâmetros é um grupo de chaves e valores necessários para que o Amazon DataZone estabeleça uma conexão com seu cluster do Amazon Redshift e seja usado para criar ambientes do data warehouse. Esses parâmetros incluem o nome do seu cluster do Amazon Redshift, banco de dados e o segredo da AWS que contém as credenciais do cluster.

Importante

Por padrão, nenhum projeto de gerenciamento é especificado para os esquemas do ambiente, o que significa que qualquer usuário do Amazon DataZone pode criar perfis para um esquema de ambiente. Portanto, é muito recomendado que você sempre especifique projetos de gerenciamento para seus esquemas de ambiente para garantir uma governança mais forte.

Adicionar conjuntos de parâmetros ao esquema DefaultDataWarehouse

  1. Navegue até o console do Amazon DataZone em https://console.aws.amazon.com/datazone e faça login com as credenciais da sua conta.

  2. Abra o painel de navegação esquerdo e escolha Domínios associados e, em seguida, escolha o domínio ao qual você deseja adicionar conjuntos de parâmetros.

  3. Escolha a guia Esquemas e, em seguida, escolha o esquema DefaultDataWareshouse para abrir a página de detalhes do esquema.

  4. Na guia Conjuntos de parâmetros na página de detalhes do esquema, escolha Criar conjunto de parâmetros.

    • Forneça um nome para o conjunto de parâmetros.

    • Opcionalmente, forneça uma descrição para o conjunto de parâmetros.

    • Selecione uma região

    • Selecione o cluster do Amazon Redshift ou do Amazon Redshift sem servidor.

    • Selecione o ARN do segredo da AWS que contém as credenciais do cluster selecionado do Amazon Redshift ou do grupo de trabalho do Amazon Redshift sem servidor. O segredo da AWS deve ser marcado com a tag AmazonDataZoneDomain : [Domain_ID] para ser elegível para uso em um conjunto de parâmetros.

      • Se você não tiver um segredo da AWS existente, também poderá criar um segredo escolhendo Criar um novo segredo da AWS. Será aberta uma caixa de diálogo na qual você pode fornecer o nome do segredo, nome de usuário e senha. Depois de escolher Criar novo segredo da AWS, o Amazon DataZone cria um novo segredo no serviço do AWS Secrets Manager e garante que o segredo seja marcado com o domínio no qual você está tentando criar o conjunto de parâmetros.

    • Selecione um cluster do Amazon Redshift ou um grupo de trabalho do Amazon Redshift sem servidor.

    • Insira o nome do banco de dados no cluster do Amazon Redshift ou no grupo de trabalho do Amazon Redshift sem servidor.

    • Escolha Criar conjunto de parâmetros.

nota

Você só pode adicionar até 10 conjuntos de parâmetros ao esquema DefaultDataWarehouse.

Depois de habilitar o esquema do Amazon SageMaker em sua conta da AWS, você pode adicionar conjuntos de parâmetros à configuração do esquema. Um conjunto de parâmetros é um grupo de chaves e valores, necessário para que o Amazon DataZone estabeleça uma conexão com seu Amazon SageMaker e é usado para criar ambientes do Sagemaker.

Adicionar conjuntos de parâmetros ao esquema do Amazon SageMaker

  1. Navegue até o console do Amazon DataZone em https://console.aws.amazon.com/datazone e faça login com as credenciais da sua conta.

  2. Escolha Visualizar domínios e, em seguida, escolha o domínio que contém o esquema ativado ao qual você deseja adicionar o conjunto de parâmetros.

  3. Escolha a guia Esquemas e, em seguida, escolha o esquema do Amazon SageMaker para abrir a página de detalhes do esquema.

  4. Na guia Conjuntos de parâmetros na página de detalhes do esquema, escolha Criar conjunto de parâmetros e, depois especifique o seguinte:

    • Forneça um Nome para o conjunto de parâmetros.

    • Opcionalmente, forneça uma Descrição para o conjunto de parâmetros.

    • Especifique o tipo de autenticação de domínio do Amazon SageMaker. É possível escolher o IAM ou o IAM Identity Center (SSO).

    • Especifique uma região da AWS.

    • Especifique uma chave do AWS KMS para criptografia de dados. É possível escolher uma chave existente ou criar uma.

    • Em Parâmetros de ambiente, especifique o seguinte:

      • ID da VPC: o ID que você está usando para a VPC do ambiente do Amazon SageMaker. É possível especificar uma VPC existente ou criar uma.

      • Sub-redes: um ou mais IDs para uma variedade de endereços IP para recursos específicos em sua VPC.

      • Acesso à rede: escolha Somente VPC ou Somente internet pública.

      • Grupo de segurança: o grupo de segurança a ser usado ao configurar a VPC e as sub-redes.

    • Em Parâmetros da fonte de dados, escolha uma das seguintes opções:

      • Somente AWS Glue

      • AWS Glue + Amazon Redshift sem servidor. Se você escolher essa opção, especifique o seguinte:

        • Especifique o ARN do segredo da AWS que contém as credenciais do cluster do Amazon Redshift selecionado. O segredo da AWS deve ser marcado com a tag AmazonDataZoneDomain : [Domain_ID] para ser elegível para uso em um conjunto de parâmetros.

          Se você não tiver um segredo da AWS existente, também poderá criar um segredo escolhendo Criar um novo segredo da AWS. Será aberta uma caixa de diálogo na qual você pode fornecer o nome do segredo, nome de usuário e senha. Depois de escolher Criar novo segredo da AWS, o Amazon DataZone cria um novo segredo no serviço do AWS Secrets Manager e garante que o segredo seja marcado com o domínio no qual você está tentando criar o conjunto de parâmetros.

        • Especifique o grupo de trabalho do Amazon Redshift que você deseja usar ao criar ambientes.

        • Especifique o nome do banco de dados (dentro do grupo de trabalho que você escolheu) que você deseja usar ao criar ambientes.

      • Somente AWS Glue + Cluster do Amazon Redshift

        • Especifique o ARN do segredo da AWS que contém as credenciais do cluster do Amazon Redshift selecionado. O segredo da AWS deve ser marcado com a tag AmazonDataZoneDomain : [Domain_ID] para ser elegível para uso em um conjunto de parâmetros.

          Se você não tiver um segredo da AWS existente, também poderá criar um segredo escolhendo Criar um novo segredo da AWS. Será aberta uma caixa de diálogo na qual você pode fornecer o nome do segredo, nome de usuário e senha. Depois de escolher Criar novo segredo da AWS, o Amazon DataZone cria um novo segredo no serviço do AWS Secrets Manager e garante que o segredo seja marcado com o domínio no qual você está tentando criar o conjunto de parâmetros.

        • Especifique o cluster do Amazon Redshift que você deseja usar ao criar ambientes.

        • Especifique o nome do banco de dados (no cluster escolhido) que você deseja usar ao criar ambientes.

  5. Escolha Criar conjunto de parâmetros.