本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 中的关联账户 DataZone
将您的 AWS 账户与您的 Amazon DataZone 域名关联后,域用户就可以发布和使用这些 AWS 账户中的数据。需执行三个步骤来设置账户关联。
+ 首先,通过请求关联将域名与所需 AWS 账户共享。如果账户与域名 AWS 账户不同,亚马逊将 DataZone 使用 AWS 资源访问管理器 (RAM)。 AWS 账户关联只能由 Amazon DataZone 域名发起。
+ 第二步,让账户所有者接受关联请求。
+ 第三步,让账户所有者启用所需的环境蓝图。通过启用蓝图,账户所有者为网域中的用户提供在其账户中创建和访问资源(例如 AWS Glue 数据库和 Amazon Redshift 集群)所需的 IAM 角色和资源配置。
完成以下步骤,将账户与 Amazon 关联 DataZone:
+ 步骤 1 – [请求与其他 AWS 账户关联](#invite-account-to-associate)
+ 步骤 2 – [接受来自 Amazon DataZone 域的账户关联请求并启用环境蓝图](#accept-invitation-to-associate)
+ 步骤 3 – [在关联 AWS 账户中启用环境蓝图](#enable-blueprint-in-associated-account)
## 请求与其他 AWS 账户关联
**注意**
通过向其他 AWS 账户发送关联请求,您就是在使用 Resource Acc AWS ess Manager (RAM) 与其他 AWS 账户共享您的域。请务必检查您输入的账户 ID 的准确性。
要在亚马逊 DataZone 控制台中请求与其他 AWS 账户关联亚马逊 DataZone 域名,您必须在该账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得申请账户关联所需的最低权限。
完成以下步骤以请求与其他 AWS 账户关联。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 向下滚动到**关联账户**选项卡,然后选择**请求关联**。
1. 输入 IDs 您要申请关联的账户。如果您对账户列表感到满意 IDs,**请选择请求关联**。
1. 在“RAM 策略”下,指定账户关联的 RAM 策略。您可以选择`AWSRAMPermissionDataZonePortalReadWrite`哪个账户将允许关联账户执行亚马逊 DataZone APIs 并访问数据门户,也可以选择`AWSRAMPermissionDataZoneDefault`,这将仅允许关联账户执行亚马逊 DataZone APIs ,不提供数据门户访问权限。 DataZone 然后,亚马逊代表您的账户在 Resource Access Manager 中创建 AWS 资源共享,并将输入的账户 ID 作为委托人。
1. 您必须通知其他 AWS 账户的所有者接受您的请求。邀请将在七(7)天后过期。
### 向账户提供对客户自主管理型 KMS 密钥的访问权限
Amazon DataZone 域及其元数据是加密的,要么是(默认情况下)使用由您持有的密钥进行加密 AWS,或者(可选)使用您在域创建期间拥有并提供的 AWS 密钥管理服务 (KMS) 中的客户管理密钥。如果您的域是通过客户自主管理型密钥加密的,请按照以下过程操作,向关联账户授予对 KMS 密钥的使用权限。
1. 登录 AWS 管理控制台并打开 KMS 控制台,网址为[https://console.aws.amazon.com/kms/](https://console.aws.amazon.com/kms/)。
1. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 **Customer managed keys (客户托管密钥)**。
1. 要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥)。
1. 在 KMS 密钥列表中,选择要检查的 KMS 密钥的别名或密钥 ID。
1. 要允许或禁止外部 AWS 账户使用 KMS 密钥,请使用页面**其他 AWS 账户**部分中的控件。这些账户中的 IAM 主体(自身具有适当的 KMS 权限)可以在加密操作(如加密、解密、重新加密和生成数据密钥)中使用 KMS 密钥。
## 接受来自 Amazon DataZone 域的账户关联请求并启用环境蓝图
要在亚马逊 DataZone 管理控制台中接受与亚马逊 DataZone 域的关联,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得最低权限。
完成以下操作以接受与 Amazon DataZone 域名的关联。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。
1. 选择**查看请求**,然后从列表中选择邀请域。邀请状态应为**已请求**。选择**审核请求**。
1. 选择是否启用默认的数据湖 and/or 数据仓库环境蓝图,方法是选中两者都选中或其中一个复选框。您可以稍后执行此操作。
+ 利用数据湖环境蓝图,域用户能够创建和管理 AWS Glue、Amazon S3 和 Amazon Athena 资源,以便从数据湖发布和使用。
+ 利用数据仓库环境蓝图,域用户能够创建和管理 Amazon Redshift 资源,以便从数据仓库发布和使用。
1. 如果您选择一个或两个默认环境蓝图,请配置以下权限和资源。
+ **管理访问权限 IAM 角色**向亚马逊提供权限,使域用户 DataZone能够提取和管理对表(例如 G AWS lue 和 Amazon Redshift)的访问权限。您可以选择让 Amazon DataZone 创建和使用新的 IAM 角色,也可以从现有 IAM 角色列表中进行选择。
+ **配置 IAM 角色向 A** mazon 提供权限 DataZone,使域用户能够创建和配置环境资源,例如 AWS Glue 数据库。您可以选择让 Amazon DataZone 创建和使用新的 IAM 角色,也可以从现有 IAM 角色列表中进行选择。
+ **用于数据湖的 Amazon S3** 存储桶是域用户存储数据湖数据时亚马逊 DataZone 将使用的存储桶或路径。您可以使用亚马逊选择的默认存储桶, DataZone 也可以通过输入其路径字符串来选择自己的现有 Amazon S3 路径。如果您选择自己的 Amazon S3 路径,则需要更新 IAM 策略以向亚马逊 DataZone 提供使用该路径的权限。
1. 如果您对配置感到满意,请选择**接受并配置关联**。
## 在关联 AWS 账户中启用环境蓝图
要在 Amazon DataZone 管理控制台中启用环境蓝图,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得最低权限。
完成以下操作可在关联域中启用蓝图。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。
1. 打开左侧导航面板,然后选择**关联域**。
1. 选择要为其启用环境蓝图的域。
1. 从**蓝图**列表中,选择**DefaultDataLake**或**DefaultDataWarehouse** SageMaker、**Amazon** 或**定制 AWS 服务**蓝图。
**注意**
如果您启用**自定义 AWS 服务**蓝图,则无需指定管理访问角色。**自定义 AWS 服务** bluerpint 的权限和授权机制是在您使用此蓝图创建环境时处理的。有关更多信息,请参阅 [使用自定义 AWS 服务蓝图创建环境](create-custom-environment.md)。
1. 在所选蓝图的详细信息页面上,选择**在此账户中启用**。
1. 在权限和资源页面上,指定以下角色:
+ 如果您要启用**DefaultDataLake**蓝图,请为 **Glue 管理访问权限角色指定一个新的或现有的服务角色**,该角色 DataZone 授予亚马逊收录和管理对 G AWS lue 和 La AWS ke Formation 中表的访问权限的授权。
+ 如果您要启用**DefaultDataWarehouse**蓝图,请为 **Redshift 管理访问权限角色指定一个新的或现有的服务角色**,该角色 DataZone 授权亚马逊获取和管理对 Amazon Redshift 中的数据共享、表和视图的访问权限。
+ 如果您要启用**亚马逊 SageMaker**蓝图,请为**SageMaker 管理访问角色**指定一个新的或现有的服务角色,以授予亚马逊向目录发布亚马逊 SageMaker 数据的 DataZone 权限。它还授予亚马逊授予访问 DataZone 权限或撤销对亚马逊在目录中 SageMaker 发布的资产的访问权限的权限。
**重要**
在您启用**亚马逊 SageMaker蓝图时,亚马逊** DataZone 会检查当前账户和地区中是否 DataZone 存在以下 Amazon 的 IAM 角色。如果这些角色不存在,Amazon DataZone 会自动创建它们。
AmazonDataZoneGlueAccess--
AmazonDataZoneRedshiftAccess--
+ 对于**配置角色**,请指定一个新的或现有的服务角色,该角色 DataZone 授予 Amazon 在环境账户和区域 AWS CloudFormation 中使用创建和配置环境资源的授权。
+ 如果您要为 ** SageMaker-Glu **e** 数据源的 Amazon S3 存储桶**启用亚马逊 SageMaker蓝图,请指定 AWS 账户中所有 SageMaker 环境都要使用的 Amazon S3 存储桶。您指定的存储桶前缀必须为以下项之一:
+ amazon-datazone\*
+ datazone-sagemaker\*
+ sagemaker-datazone\*
+ DataZone-Sagemaker\*
+ Sagemaker-\* DataZone
+ DataZone-SageMaker\*
+ SageMaker-DataZone\*
1. 选择**启用蓝图**。
启用所选蓝图后,可以控制哪些项目可以使用您账户中的蓝图来创建环境配置文件。您可以通过将管理项目分配给蓝图的配置来做到这一点。
**指定在已启用 DefaultDataLake 或 DefaultDataWarehouse 蓝图上管理项目**
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用您的账户凭证登录。
1. 打开左侧导航面板并选择**关联域**,然后选择要在其中添加管理项目的域。
1. 选择**蓝图**选项卡,然后选择 DefaultDataLake 或 DefaultDataWareshouse 蓝图。
1. 默认情况下,域内的所有项目都可以使用账户中的 DefaultDataLake 或 DefaultDataWareshouse 蓝图来创建环境配置文件。但是,您可以通过将管理项目分配给蓝图来施加限制。要添加管理项目,请选择**选择管理项目**,然后从下拉菜单中选择要添加为管理项目的项目,然后选择**选择管理项目**。
在 AWS 账户中启用 DefaultDataWarehouse 蓝图后,您可以向蓝图配置中添加参数集。参数集是一组键和值,是亚马逊 DataZone 与您的 Amazon Redshift 集群建立连接所必需的,用于创建数据仓库环境。这些参数包括您的 Amazon Redshift 集群的名称、数据库以及保存集群凭证的 AWS 密钥。
**重要**
默认情况下,没有为环境蓝图指定管理项目,这意味着任何 Amazon DataZone 用户都可以为环境蓝图创建配置文件。因此,强烈建议您始终为环境蓝图指定管理项目以确保加强治理。
**向 DefaultDataWarehouse 蓝图添加参数集**
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用您的账户凭证登录。
1. 打开左侧导航面板并选择**关联域**,然后选择要在其中添加参数集的域。
1. 选择**蓝图**选项卡,然后选择 DefaultDataWareshouse 蓝图以打开蓝图详细信息页面。
1. 在蓝图详细信息页面上的**参数集**选项卡下,选择**创建参数集**。
+ 提供参数集的名称。
+ (可选)提供参数集的描述。
+ 选择一个区域
+ 选择 Amazon Redshift 集群或 Amazon Redshift Serverless。
+ 选择保存所选 Amazon Redshift 集群或 Amazon Redshift 无服务器工作组凭证的 AWS 秘密 ARN。 AWS 密钥必须用`AmazonDataZoneDomain : [Domain_ID]`标签进行标记,才有资格在参数集中使用。
+ 如果您没有现有 AWS 密钥,也可以通过选择 “创建新密钥” 来**创建新 AWS 密钥**。这将打开一个对话框,可在其中提供密钥的名称、用户名和密码。选择 “**创建新 AWS 密钥**” 后,Amazon 将在 Secr AWS ets Manager 服务中 DataZone 创建一个新密钥,并确保该密钥使用您尝试创建参数集的域进行标记。
+ 选择 Amazon Redshift 集群或 Amazon Redshift Serverless 工作组。
+ 输入所选 Amazon Redshift 集群或 Amazon Redshift Serverless 工作组中的数据库名称。
+ 选择**创建参数集**。
**注意**
您最多只能向 DefaultDataWarehouse 蓝图添加 10 个参数集。
在您的 AWS 账户中启用 Amazon SageMaker 蓝图后,您可以向蓝图配置中添加参数集。参数集是一组键和值,是亚马逊与您的亚马逊 DataZone SageMaker 建立连接所必需的,用于创建 sagemaker 环境。
**向 Amazon SageMaker 蓝图添加参数集**
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用您的账户凭证登录。
1. 选择**查看域**,然后选择包含要在其中添加参数集的已启用蓝图的域。
1. 选择**蓝图**选项卡,然后选择 Amazon SageMaker 蓝图以打开蓝图的详细信息页面。
1. 在蓝图详细信息页面上的**参数集**选项卡下,选择**创建参数集**,然后指定以下项:
+ 提供参数集的**名称**。
+ (可选)提供参数集的**描述**。
+ 指定 Amazon SageMaker 域名身份验证类型。您可以选择 IAM 或 IAM Identity Center(SSO)。
+ 指定 AWS 区域。
+ 为数据加密指定 AWS KMS 密钥。您可以选择现有密钥对或创建新密钥。
+ 在**环境参数**下,指定以下项:
+ VPC ID-您用于亚马逊 SageMaker环境的 VPC 的 ID。您可以指定现有 VPC,也可以创建新 VPC。
+ 子网-一个或多个子网 IDs 代表您的 VPC 内特定资源的 IP 地址范围。
+ 网络访问 – 选择**仅限 VPC** 或**仅限公共互联网**。
+ 安全组 – 配置 VPC 和子网时使用的安全组。
+ 在“数据来源参数”下,选择下列项之一:
+ AWS 仅限 Glue
+ AWS Glue \+ Amazon Redshift Serverless。如果您选择此选项,请指定以下项:
+ 指定保存所选 Amazon Redshift 集群凭证的 AWS 秘密 ARN。 AWS 密钥必须用`AmazonDataZoneDomain : [Domain_ID]`标签进行标记,才有资格在参数集中使用。
如果您没有现有 AWS 密钥,也可以通过选择 “创建新密钥” 来**创建新 AWS 密钥**。这将打开一个对话框,可在其中提供密钥的名称、用户名和密码。选择 “**创建新 AWS 密钥**” 后,Amazon 将在 Secr AWS ets Manager 服务中 DataZone 创建一个新密钥,并确保该密钥使用您尝试创建参数集的域进行标记。
+ 指定要在创建环境时使用的 Amazon Redshift 工作组。
+ 指定要在创建环境时使用的数据库(在所选工作组中)的名称。
+ AWS 仅限 Glue \+ 亚马逊 Redshift 集群
+ 指定保存所选 Amazon Redshift 集群凭证的 AWS 秘密 ARN。 AWS 密钥必须用`AmazonDataZoneDomain : [Domain_ID]`标签进行标记,才有资格在参数集中使用。
如果您没有现有 AWS 密钥,也可以通过选择 “创建新密钥” 来**创建新 AWS 密钥**。这将打开一个对话框,可在其中提供密钥的名称、用户名和密码。选择 “**创建新 AWS 密钥**” 后,Amazon 将在 Secr AWS ets Manager 服务中 DataZone 创建一个新密钥,并确保该密钥使用您尝试创建参数集的域进行标记。
+ 指定要在创建环境时使用的 Amazon Redshift 集群。
+ 指定要在创建环境时使用的数据库(在所选集群中)的名称。
1. 选择**创建参数集**。