本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 中的域名和用户访问权限 DataZone
本节介绍如何在 Amazon 中创建和管理域名和用户访问权限 DataZone。
Amazon DataZone 域名是将您的资产、用户及其项目连接在一起的组织实体。借助 Amazon DataZone 域名,您可以灵活地反映组织结构的数据和分析需求,无论是为企业创建单个 Amazon DataZone 域还是为不同的业务部门或团队创建多个数据区;域名。
本节还介绍如何管理用户对亚马逊 DataZone 控制台和亚马逊门户的访问权限。 DataZone
有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
**Topics**
+ [创建 Amazon DataZone 域名](create-domain.md)
+ [编辑 Amazon DataZone 域名](edit-domain.md)
+ [删除 Amazon DataZone 域名](delete-domain.md)
+ [启用 Amazon 的 IAM 身份中心 DataZone](enable-IAM-identity-center-for-datazone.md)
+ [禁用 Amazon 的 IAM 身份中心 DataZone](disable-IAM-identity-center-for-datazone.md)
+ [在 Amazon DataZone 控制台中管理用户](user-management-console.md)
+ [在 Amazon DataZone 数据门户中管理用户权限](user-management-portal.md)
+ [限制访问 Amazon DataZone](user-management-portal-restricting-programmatic-access.md)
+ [将亚马逊 DataZone 域名升级为亚马逊 SageMaker 统一域名](upgrade-domain.md)
# 创建 Amazon DataZone 域名
**注意**
如果您使用 DataZone 带 AWS 身份中心的 Amazon 来向 SSO 用户和群组提供访问权限,则当前您的亚马逊 DataZone 域必须与您的 AWS 身份中心实例位于同一 AWS 区域。
Amazon DataZone,域名是一个组织实体,用于将您的资产、用户及其项目联系在一起。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
要创建 Amazon DataZone 域名,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得创建域所需的最低权限。
Amazon 需要其他 IAM 角色 DataZone 才能代表具有默认配置的域用户执行操作。您可以提前创建这些 IAM 角色,也可以让 Amazon 为您 DataZone 创建它们。如果您希望 Amazon DataZone 在域名创建过程中为您创建这些 IAM 角色,那么要创建域,您必须担任具有角色创建权限的 IAM 角色。请参阅[为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](create-iam-roles.md#create-custom-to-manage-EZCRZ)。根据您的域名创建选择,Amazon DataZone 将为您创建最多四个新的 IAM 角色:**AmazonDataZoneDomainExecutionRole**AmazonDataZoneGlueManageAccessRole****、**AmazonDataZoneRedshiftManageAccessRole**、和**AmazonDataZoneProvisioningRole**。
完成以下步骤以创建 Amazon DataZone 域名。
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用顶部导航栏中的区域选择器选择相应的区域。 AWS
1. 选择**创建域**,并提供以下字段的值:
+ **名称** – 指定域的友好名称。创建域后,便无法更改此名称。
+ **描述** –(可选)指定域描述。
+ ****数据加密****-您的亚马逊 DataZone 域名、元数据和报告数据由 AWS 密钥管理服务 (KMS) 使用您的亚马逊特有的密钥进行加密 DataZone。使用此字段指定是要使用 AWS 自有密钥还是选择其他 AWS KMS 密钥。
有关客户自主管理型密钥的更多信息,请参阅 [Amazon 的静态数据加密 DataZone](encryption-rest-datazone.md)。如果您使用自己的 KMS 密钥进行数据加密,则必须在默认 [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md) 中包含以下语句。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
+ **服务访问权限**-选择是让 Amazon **DomainExecutionRole**为您 DataZone 创建和使用新的 IAM 角色,还是选择现有的 IAM 角色。
+ **快速设置**-(可选)勾选此复选框,让 Amazon 为您的账户 DataZone 设置数据消耗和发布功能,从而更快地开始使用。亚马逊 DataZone 将创建三个 IAM 角色用于配置、接收和管理对 Gl AWS ue 和 Amazon Redshift 资源的访问权限,创建一个新的 Amazon S3 存储桶,创建管理 DataZone 亚马逊项目,以及为数据湖和数据仓库默认蓝图创建环境配置文件。
+ 标签-****(可选)为域指定 AWS 标签(键和值对)。
+ 成功创建域名后,您的浏览器应刷新以显示您的新 Amazon DataZone 域名的详情页面。
# 编辑 Amazon DataZone 域名
在 Amazon 中 DataZone,域名是一个组织实体,用于将您的资产、用户及其项目联系在一起。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
创建 Amazon DataZone 域后,您可以稍后编辑该域名以:更改描述、启用 IAM Identity Center 以及添加、编辑或删除标签密钥及其值。要编辑 Amazon DataZone 域名,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得编辑域所需的最低权限。
要编辑域,请完成以下步骤:
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zon DataZone e 上打开亚马逊控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 在域的详细信息页面上,选择**编辑**。
1.
+ 编辑**描述**。
+ 设置 **IAM Identity Center 设置**。在[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)中详细了解这些设置。
+ 添加、编辑或移除**标签**键及其值。
1. 完成编辑操作后,选择**更新域**。
# 删除 Amazon DataZone 域名
在 Amazon 中 DataZone,域名是一个组织实体,用于将您的资产、用户及其项目联系在一起。有关更多信息,请参阅 [亚马逊 DataZone 术语和概念](datazone-concepts.md)。
删除域是最终操作。删除操作将不可撤销地删除每个 Amazon DataZone 实体,包括数据源、项目、环境、资产、术语表和元数据表单。删除不会删除亚马逊 DataZone 可能帮助您创建的非亚马逊 DataZone AWS 资源,例如 IAM 角色、S3 存储桶、G AWS lue 数据库以及通过或 LakeFormation Redshift 授予的订阅授权。如果您不再需要这些资源,请在相应的 AWS 服务中将其删除。
为防止他人恶意删除域名,删除域名需要亚马逊的 IAM 管理权限 DataZone,您可以使用 IAM 进行配置。为防止他人意外删除域名,删除域名需要输入确认词(在 Amazon DataZone 控制台中)。
要删除域,请完成以下步骤:
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zon DataZone e 上打开亚马逊控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 选择**删除**并查看信息性警告。
1. 键入请求的文本以确认您理解这些警告。选择**删除**。
**重要**
删除域是一项不可撤销的操作,您或 AWS无法取消此操作。
**注意**
当您或您的域用户在项目中创建环境时,Amazon DataZone 会在您的域名或关联账户中创建 AWS 资源,为您和您的域用户提供功能。以下是 Amazon DataZone 可能为您域中的项目创建的 AWS 资源列表以及默认名称。删除域名并不会删除您 AWS 账户中的任何此类 AWS 资源。
IAM 角色:datazone\$1usr\$1。
Glue 数据库:(1)\$1pub\$1db-\$1、(2)\$1sub\$1db-\$1。如果已经存在同名数据库,Amazon DataZone 将添加环境 ID。
Athena 工作组:-\$1。如果已经存在同名工作组,Amazon DataZone 将添加环境 ID。
CloudWatch 日志组:datazone\$1
# 启用 Amazon 的 IAM 身份中心 DataZone
**注意**
要完成此过程,您必须在与您的 Amazon DataZone 域相同的 AWS 区域启用 IA AWS M 身份中心。
您可以使用 AWS IAM Identity Center 为 SSO 用户和群组提供访问您的 Amazon DataZone 数据门户的权限。完成后[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md),您可以允许您的 SSO 用户和群组访问您的 Amazon DataZone 域名数据门户。
要启用 AWS IAM Identity Center 与您的 Amazon DataZone 域名一起使用,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)并[为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](create-iam-roles.md#create-custom-to-manage-EZCRZ)获得启用 IAM 身份中心以便在 Amazon 上使用所需的最低权限 DataZone。
完成以下步骤以启用 Amazon AWS 的 IAM 身份中心 DataZone。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 在域的详细信息页面上,选择**编辑**。
+ 选中**启用 IAM Identity Center 中的用户**对应的复选框。
+ 选择是连接到 IAM Identity Center 的组织实例还是连接到 IAM Identity Center 的账户实例。
+ 在两种用户分配模式之间进行选择。在使用选定项更新域后,以后将无法更改域。
+ 通过**隐式用户分配**,任何添加到您的 IAM 身份中心目录的用户都可以访问您的 Amazon DataZone 域。
+ 使用**显式用户分配**,您将从 IAM Identity Center 目录中添加特定用户或群组,为他们提供访问您的 Amazon DataZone 域的权限。稍后,您将在 Amazon DataZone 控制台中添加和删除这些用户和群组。
1. 在对选定项感到满意后,选择**更新域**。
# 禁用 Amazon 的 IAM 身份中心 DataZone
禁用 AWS Amazon DataZone 域名的 IAM 身份中心将取消所有 SSO 用户的访问权限。
**注意**
禁用 IAM Identity Center 将不会停止对 SSO 用户计费。要停止对 SSO 用户计费,您必须在您的域中停用他们。计费将一直持续到用户被停用当月的月底。要停用用户,请参阅[在 Amazon DataZone 控制台中管理用户](user-management-console.md)。
您可以使用 AWS IAM Identity Center 为 SSO 用户和群组提供访问您的 Amazon DataZone 数据门户的权限。如果您已启用适用于 Amazon AWS 的 IAM Identity Center DataZone,则可以稍后禁用所有用户的访问权限。
要禁用用于您的 Amazon DataZone 域的 IA AWS M 身份中心,您必须在账户中扮演具有管理权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)并[为 IAM 权限创建自定义策略以启用 Amazon DataZone 服务控制台简化角色创建](create-iam-roles.md#create-custom-to-manage-EZCRZ)获得禁用 IAM 身份中心在 Amazon 上使用所需的最低权限 DataZone。
完成以下步骤以禁用 Amazon AWS 的 IAM 身份中心 DataZone。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 复制域的 **Amazon 资源名称(ARN)**,其开头为 arn:aws:datazone:::domain/。
1. 打开 IAM 身份中心控制台,网址为[https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)。
1. 选择**应用程序**。
1. 选择您要禁用 AWS IAM Identity Center 的域,这将取消所有 SSO 用户对该域数据门户的访问权限。您可以使用**筛选条件**菜单和搜索框来筛选应用程序列表。
1. 从**操作**菜单上,选择**禁用**。
1. SSO 用户将无法访问 Amazon DataZone 域名。
1. **要为亚马逊 DataZone 域重新启用 AWS IAM 身份中心,请选择要为其重新启用 AWS IAM 身份中心的域,然后从 “**操作**” 菜单中选择 “启用”。**
# 在 Amazon DataZone 控制台中管理用户
您的用户可以使用其 AWS 凭证或单点登录 (SSO) 凭证访问亚马逊 DataZone 数据门户。要在亚马逊 DataZone控制台中管理亚马逊 DataZone 域的用户,您必须在该账户中扮演具有亚马逊 DataZone 管理控制台权限的 IAM 角色。 [配置使用亚马逊 DataZone 管理控制台所需的 IAM 权限](create-iam-roles.md)以获得在 Amazon DataZone 控制台中管理用户所需的最低权限。
**Topics**
+ [管理 IAM 角色和用户](#manage-IAM-users-roles)
+ [管理 SSO 用户](#manage-sso-users)
+ [管理 SSO 组](#manage-sso-groups)
## 管理 IAM 角色和用户
IAM 角色和用户使用 AWS 身份和访问管理 (IAM) 创建,并通过策略附加的权限访问您的 DataZone 亚马逊域名。有关更多信息,请参阅 [配置使用亚马逊 DataZone 数据门户所需的 IAM 权限](data-portal-permissions.md)。在当前版本的 Amazon 中 DataZone,来自亚马逊 DataZone 域名所有者账户的管理员可以为自己账户中的用户或关联账户中的用户创建 IAM 用户个人资料。亚马逊 DataZone 域名所有者账户的管理员也可以将现有用户的状态设置为 “已分配” 或 “未分配”(如已分配或未分配以使用亚马逊 DataZone),或者激活或停用任何现有用户。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 在域详细信息页面上,选择**用户管理**。
1. 要在 Amazon DataZone 域名所有者账户或关联账户中添加用户 IAM 用户,请选择**添加**,然后选择**添加 IAM 用户**。
1. 在**添加用户**页面上,选择**当前账户**或**关联的账户**,使用**查找和添加用户或角色**字段以查找要添加的用户,然后选择**添加用户**。
1. 要查看现有 IAM 用户的状态,请在**用户管理**页面上的用户类型下拉菜单中选择 **IAM 用户**。
+ **名称**列显示 IAM 用户或角色的 ARN。
+ **状态**列显示域中的 IAM 用户或角色的当前状态。
+ 已指定 IAM 用户已被分配使用亚马逊 DataZone。
+ “未分配” 表示已取消指定 IAM 用户使用亚马逊。 DataZone
+ 已激活意味着 IAM 用户或角色已调用 API、发出命令(通过命令行界面)或访问了您的域名的 Amazon DataZone 门户。
+ 停用意味着 IAM 用户或角色无法再使用 Amazon DataZone 数据门户。要限制以编程方式进行访问,请参阅[限制访问 Amazon DataZone](user-management-portal-restricting-programmatic-access.md)。
1. 要停用当前已激活的 IAM 用户或角色,请选中该用户旁边的框,然后从**操作**菜单中选择**停用**。这将导致用户无法再使用亚马逊 DataZone 数据门户。要限制以编程方式进行访问,请参阅[限制访问 Amazon DataZone](user-management-portal-restricting-programmatic-access.md)。
1. 要激活当前已停用的 IAM 用户或角色,请选中该用户旁边的框,然后从**操作**菜单中选择**激活**。如果 IAM 用户或角色拥有`datazone:GetUserPortalLoginUrl`权限,则该用户将获得对 Amazon DataZone 数据门户的访问权限。
## 管理 SSO 用户
可以通过身份提供商创建或同步 SSO 用户。有关更多信息,请参阅[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)和[启用 Amazon 的 IAM 身份中心 DataZone](enable-IAM-identity-center-for-datazone.md)以启用和配置适用于 Amazon 的 AWS IAM 身份中心 DataZone。您可以查看分配给域的 SSO 用户的列表、添加 SSO 用户和移除 SSO 用户。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 在域详细信息页面上,向下滚动并选择**用户管理**。
1. 对于用户类型,请选择 **SSO 用户**以查看之前已通过数据门户进行身份验证的 SSO 用户的当前列表。使用隐式用户分配时,之前未通过数据门户进行身份验证的 SSO 用户不会被列出。
+ **名称**列显示 SSO 用户名。
+ **状态**列显示域中的 SSO 用户的当前状态。
+ “已分配”表示已将 SSO 用户显式分配给域。因此,用户可以访问亚马逊 DataZone。仅当域的身份提供商模式设置为显式分配时,才使用此状态。
+ 已激活表示 SSO 用户已访问该域名的 Amazon DataZone 门户。将自动进行激活。
+ “已停用”表示 SSO 用户被阻止访问域的数据门户。
+ “已移除”表示 SSO 用户之前已被分配到域,但该用户在进行访问前已被移除。
1. 通过选择**添加**和**添加用户**来添加 SSO 用户。如果域名设置为隐式用户分配,则此选项不可用,这意味着身份池中的所有用户都可以访问该Amazon DataZone 域。
+ 在**添加用户**页面上,搜索要添加的用户的别名。搜索框下方将显示包含潜在匹配项的列表。
+ 选择要添加的用户。他们的别名将以木条形式显示在搜索框下方。
+ 如果您对要添加的用户列表感到满意,请选择**添加用户**。
+ 用户被分配到状态为 “已分**配**” 的 Amazon DataZone 域。
+ 当用户首次访问域的数据门户时,状态将自动更改为**已激活**。
1. 通过以下方式移除**已分配** SSO 用户:选择该用户并从**操作**菜单中选择**取消分配**。因此,用户将失去对 Amazon DataZone 域的访问权限。用户的状态将显示为**未分配**。如果将域设置为隐式用户分配,则此选项不可用。
1. 通过以下方式停用**已激活** SSO 用户:选择该用户并从**操作**菜单中选择**停用**。因此,用户对 Amazon DataZone 数据门户的访问权限将丢失并被阻止。用户的状态将显示为**已停用**。
1. 通过以下方式激活**已停用** SSO 用户:选择该用户并从**操作**菜单中选择**激活**。因此,用户将重新获得对 Amazon DataZone 数据门户的访问权限。用户的状态将显示为**已激活**。
## 管理 SSO 组
SSO 组是在 AWS IAM 身份中心中创建的,或者与您的身份提供商同步。有关更多信息,请参阅[为亚马逊设置 AWS IAM 身份中心 DataZone](sso-setup.md)和[启用 Amazon 的 IAM 身份中心 DataZone](enable-IAM-identity-center-for-datazone.md)以启用和配置适用于 Amazon 的 AWS IAM 身份中心 DataZone。您可以查看分配给域的 SSO 组的列表、添加 SSO 组和移除 SSO 组。
1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) z DataZone one 上打开控制台。
1. 选择**查看域**,然后从列表中选择域名。该名称是一个超链接。
1. 在域详细信息页面上,向下滚动并选择**用户管理**。
1. 对于用户类型,选择 **SSO 组**以查看当前的 SSO 组列表。
+ **名称**列显示 SSO 组名。
+ **状态**列显示域中的 SSO 组的当前状态。
+ **已分配**表示已将 SSO 组显式分配给域。因此,组中的所有用户都可以访问域的数据门户(除非用户已被停用)。
+ **未分配**表示已从域中移除 SSO 组。组中的用户无法通过其在组中的成员资格访问域的数据门户。
1. 通过选择**添加**和**添加组**来添加 SSO 组。如果域名设置为隐式用户分配,则此选项不可用,这意味着无论群组成员资格如何,身份池中的所有用户都可以访问Amazon DataZone 域。
+ 在**添加组**页面上,搜索要添加的组的别名。搜索框下方将显示包含潜在匹配项的列表。
+ 选择要添加的组。他们的别名将以木条形式显示在搜索框下方。
+ 如果您对要添加的组列表感到满意,请选择**添加组**。
+ 这些群组被分配到状态为 “已分**配**” 的 Amazon DataZone 域。
+ 当组成员首次访问域的数据门户时,状态将自动更改为**已激活**。
1. 通过以下方式移除**已分配** SSO 组:选择该组并从**操作**菜单中选择**取消分配**。因此,该群组将无法访问 Amazon DataZone 域名。组的状态将显示为**未分配**。 DataZone 通过该群组的成员资格获得Amazon访问权限的用户将失去访问权限。如果将域设置为隐式用户分配,则此选项不可用。
# 在 Amazon DataZone 数据门户中管理用户权限
您可以使用 Amazon DataZone 管理门户为 IAM 用户和角色、SSO 用户和群组以及 SAML 用户配置身份验证。亚马逊 DataZone 会为每位使用亚马逊 DataZone的用户分配一个用户档案。
使用项目、创建实体等操作的用户配置文件权限是通过域单元和策略授权管理的。具体项目中通过指定项目成员资格(所有者、贡献者、查看者)来决定操作授权。
# 限制访问 Amazon DataZone
**限制对 Amazon 的编程访问权限 DataZone**-对于进行编程 API 调用的 IAM 用户或角色,可以通过 IAM 策略限制访问权限。如果您想撤销任何已经为角色颁发的短期凭证,则可以对角色或[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)使用 [IAM 撤销会话机制](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。
**限制登录访问亚马逊 DataZone 数据门户**-为了限制对亚马逊 DataZone 数据门户的登录访问权限,对于 IAM 用户或角色,IAM 策略可以限制对`datazone:GetUserPortalLoginUrl`操作的访问权限。对于 SSO 用户和群组,请将亚马逊 DataZone 用户资料状态设置为 “已**停**用”,从而限制对亚马逊 DataZone 数据门户的访问。如果您的域名配置为隐式分配,并且该用户以前未使用过 Amazon DataZone,则需要将该用户从身份提供商中移除。
# 将亚马逊 DataZone 域名升级为亚马逊 SageMaker 统一域名
## 升级域之前的考虑事项
在将您的亚马逊 DataZone 域名升级到亚马逊 SageMaker 统一域名之前,请查看以下重要注意事项,确保升级过程顺利进行。
+ 升级过程只能通过 AWS 管理控制台进行。目前,不提供用于升级域的 API 支持。您可以从 Amazon DataZone 域名的域名详情页面初始化升级流程。
+ 升级过程需要配置以下角色(您可以选择现有角色或让 Amazon SageMaker Unified Studio 代表您创建角色):
+ 域名执行角色-对于亚马逊 DataZone 域名,您可以使用亚马逊要求的角色 DataZone 对域中的数据进行分类、发现、管理、共享和分析。[AmazonDataZoneDomainExecutionRole](https://docs.aws.amazon.com/datazone/latest/userguide/AmazonDataZoneDomainExecutionRole.html)对于 Amazon SageMaker 统一域名,您必须使用现有域名或创建新[AmazonSageMakerDomainExecution](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainExecution.html)角色。
+ 域名服务角色-Amazon DataZone 不需要域名服务角色。对于 Amazon SageMaker 统一域名,您必须使用现有域名或创建新[AmazonSageMakerDomainService](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainService.html)角色。这是由 Amazon SageMaker Unified Studio 执行的域级操作的服务角色。
+ 根域所有权考虑事项:
+ 在升级过程中, users/groups 可以选择将 IAM 用户或 SSO 分配为根域所有者。
+ 如果根域单位仅将 IAM 角色分配为所有者,则建议您添加 IAM 用户或 SSO user/group 作为所有者。有关更多信息,请参阅《Amazon DataZone 管理员指南》中的[用户管理](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/user-management.html)。
+ **重要提示**:IAM 角色无法登录亚马逊 SageMaker 统一工作室。
+ 关联账户和 Res AWS ource Access Manager (AWS RAM) 的更改:
+ 关联账户使用 AWS RAM 中的资源共享来允许根域账户执行 API 操作。
+ 升级过程会更改由 Amazon 创建和管理的 AWS RAM 共享的底层托管权限 DataZone。受影响的托管权限为 `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess` 和 `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess`。
+ Amazon Q 订阅变更 – 升级后的域将使 Amazon Q 订阅默认为免费套餐。域升级完成后,域管理员可以更改此设置。
+ 升级后,域的 `domainVersion` 属性将从 `V1` 更改为 `V2`。
## 将您的亚马逊 DataZone 域名升级为亚马逊 SageMaker 统一域名
您可以完成以下步骤将您的亚马逊 DataZone 域名升级为亚马逊 SageMaker 统一域名。
1. 前往位于 [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的亚马逊 DataZone 控制台,然后使用顶部导航栏中的区域选择器选择相应的区域。 AWS
1. 选择您要升级的 Amazon DataZone 域名,然后导航到其详情页面。
1. 在域名的详情页面上,选择位于将**您的域名升级到 Amazon SageMaker Unified Studio** **通知中的开始**使用按钮。
1. 在将**您的域名升级到 Amazon SageMaker Unified Studio** 页面上,选择**开始**。
1. 接下来,如果您要升级的 Amazon 域没有类型为 IAM 用户、SSO 用户/组的所有者,请指定 DataZone 域执行角色和域服务角色以及根域单位所有者。然后,选择**升级域**。
## 有关将 Amazon 域名升级为亚马逊 SageMaker 统一 DataZone 域名的常见问题
+ **升级后,哪些属性和配置会随域一起转移?**
在亚马逊 DataZone 域上配置的所有属性都将转移到升级后的亚马逊 SageMaker 统一域中。这包括数据加密属性、身份验证应用程序属性等。
+ **我是否需要再次为用户设置单点登录(SSO)访问权限?**
不是。 您与该域关联的 IAM Identity Center SSO 应用程序将延续到升级后的 Amazon SageMaker 统一域中。此外,分配给该域的任何 IAM 用户或角色都将在升级后的 Amazon SageMaker 统一域中可用。
+ **升级后我还能使用 Amazon DataZone 门户吗?**
可以。升级后,亚马逊 DataZone 门户网站和亚马逊 SageMaker 统一工作室都将可供最终用户进行互动。在域管理员通过亚马逊 SageMaker 管理控制台停用亚马逊门户网站之前,这两个 DataZone 门户网站都将保持打开状态。
+ **我能否在 Amazon SageMaker Unified Studio 中看到在亚马逊 DataZone 门户网站上创建的项目和其他实体?**
可以。通过亚马逊 DataZone 门户网站创建的大多数实体(项目、元数据表单、词汇表、域单元)都将显示在 Amazon Uni SageMaker fied Studio 中。项目将保留与资产、资产订阅、成员等相关的所有资产、元数据表单和词汇表。这些项目需要从 AWS Athena 或 Amazon Redshift 查询编辑器中查询数据。元数据表单和词汇表将显示在 Amazon SageMaker Unified Studio 中,可以从亚马逊 SageMaker 对其进行编辑,也可以分配给通过亚马逊创建的项目中的资产。 SageMaker亚马逊的环境和环境配置文件 DataZone 不会显示在 Amazon SageMaker Unified Studio 中,这些实体已被亚马逊 SageMaker 项目概况所取代。在 Amazon SageMaker Unified Studio 中创建的项目将无法通过亚马逊 DataZone 门户网站查看。
+ **升级到 Amazon SageMaker 统一域名后,域标识符和项目标识符会怎样?**
升级后,包括域和项目在内的所有实体标识符都将保持不变。
+ **我的 AWS CloudFormation (CFN) 堆栈能否继续适用于新升级的 Amazon SageMaker 统一域名?**
Amazon SageMaker Unified Studio 的使用方式与亚马逊 APIs 相同 DataZone。但是,CFN 模板中的逻辑需要进行某些修改。例如,来自亚马逊的域名与亚马逊 DataZone SageMaker统一域名的区别在于名为 domainVersion 的属性(值 V1 \$1 V2)。
+ **回滚升级后会出现什么情况?**
+ 回滚升级会将域版本从 V2 更改为 V1。Amazon SageMaker Unified Studio 将无法再访问。该域名的控制台视图将返回到 Amazon DataZone 视图。回滚之前创建的资源只要不与从 Amazon Unified Studio 创建的项目绑定,就将保持不变,只有在不存在从 Amazon SageMaker Uni SageMaker fied Studio 内部创建的项目时,才允许回滚。
+ 回滚后,诸如 AWS Q 订阅之类的设置也将保留。
+ 如果 VPCs 是为供Amazon使用而创建的 SageMaker,则这些内容将在回滚后继续存在。 SageMaker 服务创建的 VPC 将带有标签:名称 = SageMakerUnifiedStudio VPC
+ RAM 资源共享下的托管权限不会被回滚。托管权限是亚马逊 DataZone和亚马逊 U SageMaker nified Studio 的超集。
+ 已回滚的域可以再次升级为 Amazon SageMaker 统一域名。