本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon DataZone 內建藍圖
建立環境的藍圖會定義環境所屬專案的哪些工具和服務成員,可在使用 Amazon DataZone 目錄中的資產時使用。在 Amazon DataZone 的目前版本中,有下列內建藍圖:
+ 資料湖藍圖
+ 資料倉儲藍圖
+ Amazon SageMaker 藍圖
您可以執行下列程序的步驟,在 Amazon DataZone 中啟用預設藍圖:
+ [在擁有 Amazon DataZone 網域 AWS 的帳戶中啟用內建藍圖](#enable-default-blueprint)
+ [在擁有 Amazon DataZone 網域的帳戶中,將 Amazon SageMaker 新增為信任的服務 AWS DataZone](#add-sagemaker-as-trusted-service)
## 在擁有 Amazon DataZone 網域 AWS 的帳戶中啟用內建藍圖
建立環境的藍圖會定義環境所屬專案的哪些工具和服務成員,可在使用 Amazon DataZone 目錄中的資產時使用。
在目前的 Amazon DataZone 版本中,有數個內建藍圖:資料湖藍圖、資料倉儲藍圖和 Amazon SageMaker 藍圖。
+ 資料湖藍圖包含啟動和設定一組服務 (AWS Glue、 AWS Lake Formation、Amazon Athena) 以在 Amazon DataZone 目錄中發佈和使用資料湖資產的定義。
+ 資料倉儲藍圖包含啟動和設定一組服務 (Amazon Redshift) 以在 Amazon DataZone 目錄中發佈和使用 Amazon Redshift 資產的定義。
+ Amazon SageMaker 藍圖包含啟動和設定一組服務 (Amazon SageMaker Studio) 以在 Amazon DataZone 目錄中發佈和使用 Amazon SageMaker 資產的定義。 DataZone
如需詳細資訊,請參閱[Amazon DataZone 術語和概念](datazone-concepts.md)。
建立 Amazon DataZone 網域時,您可以選擇**快速設定**,以自動啟用預設資料湖和預設資料倉儲內建藍圖,做為網域建立程序的一部分。**快速設定**也會使用這些內建藍圖,為您建立預設環境設定檔和預設環境。
如果您未在建立 Amazon DataZone 網域時選擇**快速設定**,您可以使用下列程序,在存放此 Amazon DataZone 網域的 AWS 帳戶中啟用可用的內建藍圖。您必須啟用這些內建藍圖,才能使用它們在此網域中建立環境設定檔。
若要透過 Amazon DataZone 管理主控台在 Amazon DataZone 網域中啟用內建藍圖,您必須在具有管理許可的帳戶中擔任 IAM 角色。 [設定使用 Amazon DataZone 管理主控台所需的 IAM 許可](create-iam-roles.md) 以取得最低許可。
**在 Amazon DataZone 網域中啟用內建藍圖**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇您要啟用一或多個內建藍圖的網域。
1. 在網域詳細資訊頁面上,導覽至**藍圖**索引標籤。
1. 從**藍圖**清單中,選擇 **DefaultDataLake** 或 **DefaultDataWarehouse**,或 **Amazon SageMaker** 藍圖。
1. 在選擇的藍圖詳細資訊頁面上,選擇**在此帳戶中啟用**。
1. 在許可和資源頁面上,指定下列項目:
+ 如果您要啟用 **DefaultDataLake** 藍圖,請針對 **Glue 管理存取角色**指定新的或現有的服務角色,以授予 Amazon DataZone 擷取和管理 Glue 和 AWS Lake Formation AWS 中資料表的存取權的授權。
+ 如果您要啟用 **DefaultDataWarehouse** 藍圖,請針對 **Redshift 管理存取角色**指定新的或現有的服務角色,授予 Amazon DataZone 擷取和管理 Amazon Redshift 中資料共用、資料表和檢視的存取權。
+ 如果您要啟用 **Amazon SageMaker** 藍圖,請針對 **SageMaker 管理存取角色**指定新的或現有的服務角色,以授予 Amazon DataZone 將 Amazon SageMaker 資料發佈至目錄的許可。它也授予 Amazon DataZone 許可,以授予對 目錄中 Amazon SageMaker 發佈資產的存取權或撤銷存取權。
**重要**
當您啟用 **Amazon SageMaker** 藍圖時,Amazon DataZone 會檢查目前帳戶和區域中是否存在下列 Amazon DataZone 的 IAM 角色。如果這些角色不存在,Amazon DataZone 會自動建立這些角色。
AmazonDataZoneGlueAccess--
AmazonDataZoneRedshiftAccess--
+ 對於**佈建角色**,請指定新的或現有的服務角色,授予 Amazon DataZone 在環境帳戶和區域中使用 AWS CloudFormation 建立和設定環境資源的授權。
+ 如果您要啟用 **Amazon SageMaker** 藍圖,請針對 ** SageMaker-Glue 資料來源的 Amazon S3 儲存貯**體,指定 AWS 帳戶中所有 SageMaker 環境要使用的 Amazon S3 儲存貯體。您指定的儲存貯體字首必須是下列其中一項:
+ amazon-datazone\$1
+ datazone-sagemaker\$1
+ sagemaker-datazone\$1
+ DataZone-Sagemaker\$1
+ Sagemaker-DataZone\$1
+ DataZone-SageMaker\$1
+ SageMaker-DataZone\$1
1. 選擇**啟用藍圖**。
啟用選擇的藍圖 (s) 後,您可以控制哪些專案可以使用帳戶中的藍圖來建立環境設定檔。您可以透過將管理專案指派給藍圖的組態來執行此操作。
**重要**
根據預設,環境藍圖不會為 指定管理專案,這表示任何 Amazon DataZone 使用者可以為環境藍圖建立設定檔。因此,強烈建議您一律為環境藍圖指定管理專案,以確保更強大的控管。
**在已啟用的藍圖上指定管理專案**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域** (檢視網域),然後選擇您要為所選藍圖新增管理專案的網域 (管理專案)。
1. 選擇**藍圖**索引標籤,然後選擇您要使用的藍圖。
1. 根據預設,網域中的所有專案都可以使用 DefaultDataLake 或 DefaultDataWareshouse,或帳戶中的 Amazon SageMaker 藍圖來建立環境設定檔。不過,您可以透過將管理專案指派給藍圖來限制這一點。若要新增管理專案,請選擇**選取管理專案**,然後從下拉式選單中選擇要新增為管理專案的專案,然後選擇**選取管理專案 (s)**。
在 AWS 帳戶中啟用 DefaultDataWarehouse 藍圖後,您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon Redshift 叢集連線所需的一組金鑰和值,用於建立資料倉儲環境。這些參數包括 Amazon Redshift 叢集的名稱、資料庫,以及存放叢集登入資料的 AWS 秘密。
**將參數集新增至 DefaultDataWarehouse 藍圖**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇您要新增參數集的網域。
1. 選擇**藍圖**索引標籤,然後選擇 DefaultDataWareshouse 藍圖以開啟藍圖詳細資訊頁面。
1. 在藍圖詳細資訊頁面上的**參數集**索引標籤下,選擇**建立參數集**。
+ 提供參數集的名稱。
+ 或者,提供參數集的描述。
+ 選擇區域
+ 選取 Amazon Redshift 叢集或 Amazon Redshift Serverless。
+ 選取存放登入資料至所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的 AWS 秘密 ARN。 AWS 秘密必須加上 `AmazonDataZoneDomain : [Domain_ID]`標籤,才有資格在參數集內使用。
+ 如果您沒有現有的 AWS 秘密,您也可以選擇建立新秘密來**建立新的 AWS 秘密**。這會開啟一個對話方塊,您可以在其中提供秘密的名稱、使用者名稱和密碼。選擇**建立新 AWS 秘密**後,Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密,並確保秘密已標記您嘗試建立參數集的網域。
+ 如果您在上述步驟中選擇 Amazon Redshift 叢集,現在請從下拉式清單中選擇叢集。如果您在上述步驟中選擇 Amazon Redshift 工作群組,現在請從下拉式清單中選擇工作群組。
+ 輸入所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組內的資料庫名稱。
+ 選擇**建立參數集**。
**注意**
您最多只能將 10 個參數集新增至 DefaultDataWarehouse 藍圖。
在 AWS 帳戶中啟用 Amazon SageMaker 藍圖後,您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon SageMaker 連線所需的一組索引鍵和值,用於建立 Sagemaker 環境。
**將參數集新增至 Amazon SageMaker 藍圖**
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇包含您要新增參數集之已啟用藍圖的網域。
1. 選擇**藍圖**索引標籤,然後選擇 Amazon SageMaker 藍圖以開啟藍圖的詳細資訊頁面。
1. 在藍圖詳細資訊頁面上的**參數集**索引標籤下,選擇**建立參數集**,然後指定下列項目:
+ 提供參數集**的名稱**。
+ 或者,提供參數集的**描述**。
+ 指定 Amazon SageMaker 網域身分驗證類型。您可以選擇 IAM 或 IAM Identity Center (SSO)。
+ 指定 AWS 區域。
+ 指定用於資料加密的 AWS KMS 金鑰。您可以選擇現有的金鑰或建立新的金鑰。
+ 在**環境參數**下,指定下列項目:
+ VPC ID - 您用於 Amazon SageMaker 環境 VPC 的 ID。您可以指定現有的 或建立新的 VPC。
+ 子網路 - VPC 內特定資源的 IP 地址範圍的一或多個 IDs。
+ 網路存取 - 選擇**僅限 VPC** 或**僅限公有網際網路**。
+ 安全群組 - 設定 VPC 和子網路時要使用的安全群組。
+ 在資料來源參數下,選擇下列其中一項:
+ AWS 僅限 Glue
+ AWS Glue \$1 Amazon Redshift Serverless。如果您選擇此選項,請指定下列項目:
+ 指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上 `AmazonDataZoneDomain : [Domain_ID]`標籤,才有資格在參數集內使用。
如果您沒有現有的 AWS 秘密,您也可以選擇建立新秘密來**建立新的 AWS 秘密**。這會開啟一個對話方塊,您可以在其中提供秘密的名稱、使用者名稱和密碼。選擇**建立新 AWS 秘密**後,Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密,並確保秘密已標記您嘗試建立參數集的網域。
+ 指定您要在建立環境時使用的 Amazon Redshift 工作群組。
+ 指定您要在建立環境時使用的資料庫名稱 (在您選擇的工作群組內)。
+ AWS 僅限 Glue \$1 Amazon Redshift 叢集
+ 指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上 `AmazonDataZoneDomain : [Domain_ID]`標籤,才有資格在參數集內使用。
如果您沒有現有的 AWS 秘密,您也可以選擇建立新秘密來**建立新的 AWS 秘密**。這會開啟一個對話方塊,您可以在其中提供秘密的名稱、使用者名稱和密碼。選擇**建立新 AWS 秘密**後,Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密,並確保秘密已標記您嘗試建立參數集的網域。
+ 指定您要在建立環境時使用的 Amazon Redshift 叢集。
+ 指定您要在建立環境時使用的資料庫名稱 (在您選擇的叢集內)。
1. 選擇**建立參數集**。
## 在擁有 Amazon DataZone 網域的帳戶中,將 Amazon SageMaker 新增為信任的服務 AWS DataZone
如果您已啟用 Amazon SageMaker 藍圖,您還必須新增 SageMaker 作為 Amazon DataZone 中信任的服務之一。若要執行此作業,請完成下列程序:
1. 導覽至位於 https://[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) 的 Amazon DataZone 主控台,並使用您的帳戶登入資料登入。
1. 選擇**檢視網域**,然後選擇包含已啟用 SageMaker 藍圖的網域。
1. 選擇**信任的服務**,然後選擇 **Amazon SageMaker**,然後選擇**啟用**。