Amazon DataZone 项目和环境

在 Amazon DataZone 中，项目使一组用户能够就各种业务应用场景进行协作，这些应用场景涉及发布、发现、订阅和使用 Amazon DataZone 目录中的数据资产。每个 Amazon DataZone 项目都应用了一组访问控制，这使得仅经授权的个人、小组和角色能够访问该项目以及该项目订阅的数据资产，并且只能使用由项目权限定义的那些工具。项目充当身份主体来接收对底层资源的访问授权，从而使 Amazon DataZone 能够在组织的基础设施内运行，而无需依赖单个用户的凭证。

在 Amazon DataZone 中，环境是一个集合，其中包含已配置的资源（例如，Amazon S3 存储桶、AWS Glue 数据库或 Amazon Athena 工作组）和一组可操作这些资源的给定 IAM 主体（具有分配的贡献者权限）。每个环境还可具有用户主体，他们有权访问资源并能通过订阅和履行来访问数据。环境旨在将可操作链接存储到 AWS 服务、外部 IDE 和控制台。项目成员可以通过环境中配置的深度链接访问 Amazon Athena 控制台等服务。可以进一步缩小项目中的 SSO 用户和 IAM 用户的范围以使用/访问特定的环境。

在 Amazon DataZone 中，可使用名为环境配置文件的模板来创建环境，而环境配置文件是使用内置和自定义 AWS 服务蓝图创建的。利用环境配置文件，域管理员可以用预先配置的参数封装蓝图，之后数据工作人员可以通过选择现有环境配置文件并指定新环境的名称来快速创建任意数量的新环境。这使数据工作人员能够高效地管理其项目和环境，同时确保他们符合域管理员实施的数据治理策略。

有关更多信息，请参阅 Amazon DataZone 术语和概念。