本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用自定义 AWS 服务蓝图创建环境 完成以下过程,使用自定义 AWS 服务蓝图创建环境。 1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。 1. 选择 “**查看域**”,然后选择启用自定义 AWS 服务蓝图的域。 1. 选择**蓝图**选项卡,再选择已启用的 **AWS 服务**蓝图,然后选择**创建环境**。 1. 在**创建环境**页面上,指定以下内容,然后选择**创建环境**: + **名称** – 指定环境的名称。 + **描述** – 指定环境的描述。 + **项目** – 为环境指定新的或现有的所属项目。项目使一群用户能够发现、发布、订阅和使用 Amazon 中的资产 DataZone。该环境将可供指定项目的所有成员使用。所有环境都归其用户有权访问环境的项目所有。 + **环境角色**-指定一个现有 IAM 角色,该角色将授予亚马逊在此环境中 DataZone 访问您的现有 AWS 服务和资源(例如 Amazon S3 和 AWS Glue)的权限。 **注意** Amazon DataZone 不会为您配置此角色。您必须拥有一个现有 IAM 角色,该角色具有您想要在此环境中启用的现有 AWS 服务和资源的权限。 确保该 IAM 角色具有所需的最低权限,换句话说,缩小范围以仅提供对要在此环境中启用的 AWS 服务和资源的访问权限。 您可以使用 AWS 策略生成器来构建符合您要求的策略,并将其附加到您要使用的自定义 IAM 角色。 确保该角色以 `AmazonDataZone` 开头以便遵循约定。虽然这不是强制性要求,但建议您这样做。如果 IAM 管理员使用的是 `AmazonDataZoneFullAccess` 策略,则必须遵循此约定,因为存在传递角色检查验证。 在创建自定义角色时,请确保它在信任策略中信任 `datazone.amazonaws.com`: **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "datazone.amazonaws.com" ] }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] } ``` + **AWS region-指定要在其中创建此环境的 AWS 区域。**