本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 Amazon DataZone 域名
<a name="create-domain"></a>

**注意**  
如果您使用 DataZone 带 AWS 身份中心的 Amazon 来向 SSO 用户和群组提供访问权限，则当前您的亚马逊 DataZone 域必须与您的 AWS 身份中心实例位于同一 AWS 区域。

Amazon DataZone，域名是一个组织实体，用于将您的资产、用户及其项目联系在一起。有关更多信息，请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。

要创建 Amazon DataZone 域名，您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得创建域所需的最低权限。

Amazon 需要其他 IAM 角色 DataZone 才能代表具有默认配置的域用户执行操作。您可以提前创建这些 IAM 角色，也可以让 Amazon 为您 DataZone 创建它们。如果您希望 Amazon DataZone 在域名创建过程中为您创建这些 IAM 角色，那么要创建域，您必须担任具有角色创建权限的 IAM 角色。请参阅[为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](create-iam-roles.md#create-custom-to-manage-EZCRZ)。根据您的域名创建选择，Amazon DataZone 将为您创建最多四个新的 IAM 角色：**AmazonDataZoneDomainExecutionRole**AmazonDataZoneGlueManageAccessRole****、**AmazonDataZoneRedshiftManageAccessRole**、和**AmazonDataZoneProvisioningRole**。

完成以下步骤以创建 Amazon DataZone 域名。

1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台，然后使用顶部导航栏中的区域选择器选择相应的区域。 AWS 

1. 选择**创建域**，并提供以下字段的值：
   + **名称** – 指定域的友好名称。创建域后，便无法更改此名称。
   + **描述** –（可选）指定域描述。
   + ****数据加密****-您的亚马逊 DataZone 域名、元数据和报告数据由 AWS 密钥管理服务 (KMS) 使用您的亚马逊特有的密钥进行加密 DataZone。使用此字段指定是要使用 AWS 自有密钥还是选择其他 AWS KMS 密钥。

     有关客户自主管理型密钥的更多信息，请参阅 [Amazon 的静态数据加密 DataZone](encryption-rest-datazone.md)。如果您使用自己的 KMS 密钥进行数据加密，则必须在默认 [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md) 中包含以下语句。

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "Statement1",
                 "Effect": "Allow",
                 "Action": [
                     "kms:Decrypt",
                     "kms:DescribeKey",
                     "kms:GenerateDataKey"
                 ],
                 "Resource": [
                     "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                 ]
             }
         ]
     }
     ```

------
   + **服务访问权限**-选择是让 Amazon **DomainExecutionRole**为您 DataZone 创建和使用新的 IAM 角色，还是选择现有的 IAM 角色。
   + **快速设置**-（可选）勾选此复选框，让 Amazon 为您的账户 DataZone 设置数据消耗和发布功能，从而更快地开始使用。亚马逊 DataZone 将创建三个 IAM 角色用于配置、接收和管理对 Gl AWS ue 和 Amazon Redshift 资源的访问权限，创建一个新的 Amazon S3 存储桶，创建管理 DataZone 亚马逊项目，以及为数据湖和数据仓库默认蓝图创建环境配置文件。
   + 标签-****（可选）为域指定 AWS 标签（键和值对）。
   + 成功创建域名后，您的浏览器应刷新以显示您的新 Amazon DataZone 域名的详情页面。