Comptes associés sur Amazon DataZone - Amazon DataZone

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comptes associés sur Amazon DataZone

L'association de vos AWS comptes à votre DataZone domaine Amazon permet aux utilisateurs du domaine de publier et de consommer les données de ces AWS comptes. La configuration d'une association de comptes se fait en trois étapes.

  • Commencez par partager le domaine avec le AWS compte souhaité en demandant l'association. Amazon DataZone utilise AWS Resource Access Manager (RAM) si le AWS compte est différent du AWS compte du domaine. Une association de comptes ne peut être initiée que par le DataZone domaine Amazon.

  • Ensuite, demandez au propriétaire du compte d'accepter la demande d'association.

  • Troisièmement, demandez au propriétaire du compte d'activer les plans d'environnement souhaités. En activant un plan, le propriétaire du compte fournit aux utilisateurs du domaine les IAM rôles et les configurations de ressources nécessaires pour créer et accéder aux ressources de leur compte, telles que les bases de données AWS Glue et les clusters Amazon Redshift.

Procédez comme suit pour associer un compte à Amazon DataZone :

Demande d'association avec d'autres AWS comptes

Note

En envoyant une demande d'association à un autre AWS compte, vous partagez votre domaine avec cet autre AWS compte avec AWS Resource Access Manager (RAM). Assurez-vous de vérifier l'exactitude de l'identifiant de compte que vous entrez.

Pour demander une association avec d'autres AWS comptes dans la DataZone console Amazon pour un DataZone domaine Amazon, vous devez assumer un IAM rôle dans le compte avec des autorisations administratives. Configurer les IAM autorisations requises pour utiliser la console DataZone de gestion Amazonpour obtenir les autorisations minimales nécessaires pour demander une association de compte.

Procédez comme suit pour demander une association avec d'autres AWS comptes.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse https://console.aws.amazon.com/datazone.

  2. Choisissez Afficher les domaines et choisissez le nom du domaine dans la liste. Le nom est un hyperlien.

  3. Faites défiler l'écran jusqu'à l'onglet Comptes associés et sélectionnez Demander une association.

  4. Entrez IDs les comptes dont vous souhaitez demander l'association. Lorsque vous êtes satisfait de la liste des comptesIDs, choisissez Demander une association.

  5. Sous RAM Stratégie, spécifiez la RAM politique d'association de comptes. Vous pouvez soit choisir AWSRAMPermissionDataZonePortalReadWrite celui qui permettra aux comptes associés d'exécuter Amazon DataZone APIs et d'accéder au portail de donnéesAWSRAMPermissionDataZoneDefault, soit celui qui permettra aux comptes associés d'exécuter uniquement Amazon DataZone APIs et ne fournira pas d'accès au portail de données. Amazon crée DataZone ensuite un partage de ressources dans le AWS Resource Access Manager au nom de votre compte, avec le ou les identifiants de compte saisis comme principaux.

  6. Vous devez informer le propriétaire des autres AWS comptes pour qu'il accepte votre demande. Les invitations expirent au bout de sept (7) jours.

Donnez accès à votre compte à votre clé gérée par le client KMS

Les DataZone domaines Amazon et leurs métadonnées sont chiffrés, soit (par défaut) à l'aide d'une clé détenue par AWS, soit (facultativement) d'une clé gérée par le client par AWS Key Management Service (KMS) que vous possédez et que vous fournissez lors de la création du domaine. Si votre domaine est chiffré à l'aide d'une clé gérée par le client, suivez la procédure ci-dessous pour autoriser le compte associé à utiliser la KMS clé.

  1. Connectez-vous à la console AWS de gestion et ouvrez-la à l'KMSadresse https://console.aws.amazon.com/kms/.

  2. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

  3. Pour afficher les clés de votre compte que vous créez et gérez vous-même, dans le volet de navigation, choisissez Clés gérées par le client.

  4. Dans la liste des KMS clés, choisissez l'alias ou l'ID de clé de la KMS clé que vous souhaitez examiner.

  5. Pour autoriser ou interdire l'utilisation de la KMS clé par des AWS comptes externes, utilisez les commandes de la section Autres AWS comptes de la page. IAMles principaux titulaires de ces comptes (dotés eux-mêmes des KMS autorisations appropriées) peuvent utiliser la KMS clé dans des opérations cryptographiques, telles que le chiffrement, le déchiffrement, le rechiffrement et la génération de clés de données.

Accepter une demande d'association de compte provenant d'un DataZone domaine Amazon et activer un plan d'environnement

Pour accepter l'association dans la console DataZone de gestion Amazon avec un DataZone domaine Amazon, vous devez assumer un IAM rôle dans le compte avec des autorisations administratives. Configurer les IAM autorisations requises pour utiliser la console DataZone de gestion Amazonpour obtenir les autorisations minimales.

Complétez ce qui suit pour accepter l'association avec un DataZone domaine Amazon.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse https://console.aws.amazon.com/datazone.

  2. Choisissez Afficher les demandes et sélectionnez le domaine invitant dans la liste. L'état de l'invitation doit être demandé. Choisissez Demande de révision.

  3. Choisissez d'activer les plans d'environnement de lac de données et/ou d'entrepôt de données par défaut en ne cochant aucune des cases, les deux ou l'une des cases. Tu pourras le faire plus tard.

    • Le plan d'environnement du lac de données permet aux utilisateurs du domaine de créer et de gérer les ressources AWS Glue, Amazon S3 et Amazon Athena à publier et à consommer à partir d'un lac de données.

    • Le plan d'environnement d'entrepôt de données permet aux utilisateurs du domaine de créer et de gérer des ressources Amazon Redshift à publier et à consommer à partir d'un entrepôt de données.

  4. Si vous choisissez de sélectionner l'un des plans d'environnement par défaut ou les deux, configurez les autorisations et ressources suivantes.

    • Le IAMrôle Manage access fournit des autorisations à Amazon pour permettre DataZone aux utilisateurs du domaine d'ingérer et de gérer l'accès à des tables, telles que AWS Glue et Amazon Redshift. Vous pouvez choisir de demander à Amazon de DataZone créer et d'utiliser un nouveau IAM rôle, ou vous pouvez choisir parmi une liste de IAM rôles existants.

    • Le IAMrôle Provisioning fournit des autorisations à Amazon pour permettre DataZone aux utilisateurs du domaine de créer et de configurer des ressources d'environnement, telles que les bases de données AWS Glue. Vous pouvez choisir de demander à Amazon de DataZone créer et d'utiliser un nouveau IAM rôle, ou vous pouvez choisir parmi une liste de IAM rôles existants.

    • Le compartiment Amazon S3 pour Data Lake est le compartiment ou le chemin qu'Amazon utilisera lorsque les utilisateurs du domaine DataZone stockeront les données du lac de données. Vous pouvez utiliser le compartiment par défaut sélectionné par Amazon DataZone ou choisir votre propre chemin Amazon S3 existant en saisissant sa chaîne de chemin. Si vous sélectionnez votre propre chemin Amazon S3, vous devrez mettre à jour IAM les politiques afin de fournir à Amazon DataZone les autorisations nécessaires pour l'utiliser.

  5. Lorsque vous êtes satisfait de vos configurations, choisissez Accepter et configurez l'association.

Activer un plan d'environnement dans un compte associé AWS

Pour activer un plan d'environnement dans la console de DataZone gestion Amazon, vous devez assumer un IAM rôle dans le compte avec des autorisations administratives. Configurer les IAM autorisations requises pour utiliser la console DataZone de gestion Amazonpour obtenir les autorisations minimales.

Procédez comme suit pour activer un plan dans un domaine associé.

  1. Connectez-vous à la console de AWS gestion et ouvrez la console de DataZone gestion Amazon à l'adresse https://console.aws.amazon.com/datazone.

  2. Ouvrez le panneau de navigation de gauche et choisissez Domaines associés.

  3. Choisissez le domaine pour lequel vous souhaitez activer un plan d'environnement.

  4. Dans la liste des plans, choisissez soit le plan DefaultDataWarehouse, DefaultDataLakesoit le plan Amazon SageMaker, soit le plan du AWS service personnalisé.

    Note

    Si vous activez le plan de AWS service personnalisé, il n'est pas nécessaire de spécifier un rôle de gestion des accès. Les autorisations et le mécanisme d'autorisation pour le plan du AWS service personnalisé sont gérés lorsque vous créez des environnements à l'aide de ce plan. Pour de plus amples informations, veuillez consulter Création d'un environnement à l'aide d'un plan AWS de service personnalisé.

  5. Sur la page de détails du plan choisi, choisissez Activer dans ce compte.

  6. Sur la page Autorisations et ressources, spécifiez les éléments suivants :

    • Si vous activez le DefaultDataLakeplan, pour le rôle Glue Manage Access, spécifiez un rôle de service nouveau ou existant qui DataZone autorise Amazon à ingérer et à gérer l'accès aux tables dans AWS Glue and AWS Lake Formation.

    • Si vous activez le DefaultDataWarehouseplan, pour le rôle Redshift Manage Access, spécifiez un rôle de service nouveau ou existant qui autorise DataZone Amazon à ingérer et à gérer l'accès aux partages de données, aux tables et aux vues dans Amazon Redshift.

    • Si vous activez le SageMaker plan Amazon, pour le rôle de SageMaker gestion des accès, spécifiez un rôle de service nouveau ou existant qui accorde à Amazon l' DataZone autorisation de publier les SageMaker données Amazon dans le catalogue. Cela donne également à Amazon l' DataZone autorisation d'accorder ou de révoquer l'accès aux ressources SageMaker publiées par Amazon dans le catalogue.

      Important

      Lorsque vous activez le SageMaker plan Amazon, Amazon DataZone vérifie si les IAM rôles suivants pour Amazon DataZone existent dans le compte et la région actuels. Si ces rôles n'existent pas, Amazon les crée DataZone automatiquement.

      • AmazonDataZoneGlueAccess- <region>-< > domainId

      • AmazonDataZoneRedshiftAccess- <region>-< > domainId

    • Pour le rôle de provisionnement, spécifiez un rôle de service nouveau ou existant qui accorde à Amazon DataZone l'autorisation de créer et de configurer les ressources de l'environnement AWS CloudFormation à l'aide du compte et de la région d'environnement.

    • Si vous activez le SageMaker plan Amazon, pour le compartiment Amazon S3 pour la source de données SageMaker -Glue, spécifiez un compartiment Amazon S3 qui doit être utilisé par tous les SageMaker environnements du AWS compte. Le préfixe de compartiment que vous spécifiez doit être l'un des suivants :

      • zone de données Amazon*

      • créateur de zones de données*

      • zone de données SageMaker*

      • DataZone- Sagemaker*

      • Sagemaker- * DataZone

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. Choisissez Activer le plan.

Une fois que vous avez activé le ou les plans choisis, vous pouvez contrôler quels projets peuvent utiliser les plans dans votre compte pour créer des profils d'environnement. Vous pouvez le faire en affectant la gestion des projets à la configuration du plan.

Spécifiez la gestion des projets sur Enabled DefaultDataLake ou DefaultDataWarehouse Blueprint
  1. Accédez à la DataZone console Amazon à l'adresse https://console.aws.amazon.com/datazone et connectez-vous à l'aide des informations d'identification de votre compte.

  2. Ouvrez le panneau de navigation de gauche et sélectionnez Domaines associés, puis choisissez le domaine dans lequel vous souhaitez ajouter la gestion de projets.

  3. Choisissez l'onglet Blueprints, puis choisissez DefaultDataLake ou DefaultDataWareshouse Blueprint.

  4. Par défaut, tous les projets du domaine peuvent utiliser le DefaultDataWareshouse plan DefaultDataLake ou le plan du compte pour créer des profils d'environnement. Toutefois, vous pouvez limiter cela en affectant la gestion des projets au plan. Pour ajouter des projets de gestion, choisissez Sélectionner la gestion du projet, puis choisissez les projets que vous souhaitez ajouter en tant que gestion de projets dans le menu déroulant, puis sélectionnez Sélectionner la gestion de projets.

Une fois que vous avez activé le DefaultDataWarehouse plan dans votre AWS compte, vous pouvez ajouter des ensembles de paramètres à la configuration du plan. Un ensemble de paramètres est un groupe de clés et de valeurs, requis pour qu'Amazon DataZone établisse une connexion à votre cluster Amazon Redshift et est utilisé pour créer des environnements d'entrepôt de données. Ces paramètres incluent le nom de votre cluster Amazon Redshift, de votre base de données et le AWS secret contenant les informations d'identification du cluster.

Important

Par défaut, aucun projet de gestion n'est spécifié pour les plans d'environnement, ce qui signifie que tout DataZone utilisateur d'Amazon peut créer des profils pour un plan d'environnement. Par conséquent, il est fortement recommandé de toujours spécifier la gestion des projets pour vos plans d'environnement afin de garantir une gouvernance plus solide.

Ajouter des ensembles de paramètres au DefaultDataWarehouse plan
  1. Accédez à la DataZone console Amazon à l'adresse https://console.aws.amazon.com/datazone et connectez-vous à l'aide des informations d'identification de votre compte.

  2. Ouvrez le panneau de navigation de gauche et sélectionnez Domaines associés, puis choisissez le domaine dans lequel vous souhaitez ajouter des ensembles de paramètres.

  3. Choisissez l'onglet Plans, puis choisissez le DefaultDataWareshouse plan pour ouvrir la page de détails du plan.

  4. Dans l'onglet Ensembles de paramètres de la page de détails du plan, choisissez Créer un jeu de paramètres.

    • Entrez un nom pour le jeu de paramètres.

    • Fournissez éventuellement une description du jeu de paramètres.

    • Sélectionner une région

    • Sélectionnez le cluster Amazon Redshift ou Amazon Redshift Serverless.

    • Sélectionnez le AWS secret ARN contenant les informations d'identification du cluster Amazon Redshift ou du groupe de travail Amazon Redshift Serverless sélectionné. Le AWS secret doit être étiqueté avec le AmazonDataZoneDomain : [Domain_ID] tag afin de pouvoir être utilisé dans un ensemble de paramètres.

      • Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant Créer un nouveau AWS secret. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi Create New AWS Secret, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres.

    • Sélectionnez le cluster Amazon Redshift ou le groupe de travail Amazon Redshift Serverless.

    • Entrez le nom de la base de données au sein du cluster Amazon Redshift ou du groupe de travail Amazon Redshift Serverless sélectionné.

    • Choisissez Créer un jeu de paramètres.

Note

Vous ne pouvez ajouter que 10 ensembles de paramètres au DefaultDataWarehouse plan.

Une fois que vous avez activé le SageMaker plan Amazon dans votre AWS compte, vous pouvez ajouter des ensembles de paramètres à la configuration du plan. Un ensemble de paramètres est un groupe de clés et de valeurs, requis pour DataZone qu'Amazon puisse établir une connexion avec votre Amazon SageMaker et utilisé pour créer des environnements Sagemaker.

Ajouter des ensembles de paramètres au SageMaker plan Amazon
  1. Accédez à la DataZone console Amazon à l'adresse https://console.aws.amazon.com/datazone et connectez-vous à l'aide des informations d'identification de votre compte.

  2. Choisissez Afficher les domaines, puis choisissez le domaine contenant le plan activé dans lequel vous souhaitez ajouter le jeu de paramètres.

  3. Choisissez l'onglet Blueprints, puis choisissez le SageMaker plan Amazon pour ouvrir la page de détails du plan.

  4. Sous l'onglet Ensembles de paramètres de la page de détails du plan, choisissez Créer un jeu de paramètres, puis spécifiez les éléments suivants :

    • Entrez un nom pour le jeu de paramètres.

    • Vous pouvez éventuellement fournir une description pour le jeu de paramètres.

    • Spécifiez le type d'authentification SageMaker du domaine Amazon. Vous pouvez choisir Identity Center () IAM ou choisir IAM Identity Center (SSO).

    • Spécifiez une AWS région.

    • Spécifiez une AWS KMS clé pour le chiffrement des données. Vous pouvez choisir une clé existante ou en créer une nouvelle.

    • Sous Paramètres d'environnement, spécifiez les éléments suivants :

      • VPCID : l'identifiant que vous utilisez pour VPC l' SageMakerenvironnement Amazon. Vous pouvez spécifier un existant ou en créer un nouveauVPC.

      • Sous-réseaux : un ou plusieurs IDs pour une plage d'adresses IP pour des ressources spécifiques au sein de votreVPC.

      • Accès au réseau : choisissez VPCuniquement ou Internet public uniquement.

      • Groupe de sécurité : groupe de sécurité à utiliser lors de la configuration VPC et des sous-réseaux.

    • Sous Paramètres de la source de données, sélectionnez l'une des options suivantes :

      • AWS Glue uniquement

      • AWS Glue + Amazon Redshift sans serveur. Si vous choisissez cette option, spécifiez les éléments suivants :

        • Spécifiez le AWS secret ARN qui contient les informations d'identification du cluster Amazon Redshift sélectionné. Le AWS secret doit être étiqueté avec le AmazonDataZoneDomain : [Domain_ID] tag afin de pouvoir être utilisé dans un ensemble de paramètres.

          Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant Créer un nouveau AWS secret. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi Create New AWS Secret, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres.

        • Spécifiez le groupe de travail Amazon Redshift que vous souhaitez utiliser lors de la création d'environnements.

        • Spécifiez le nom de la base de données (au sein du groupe de travail que vous avez choisi) que vous souhaitez utiliser lors de la création d'environnements.

      • AWS Glue uniquement + Amazon Redshift Cluster

        • Spécifiez le AWS secret ARN qui contient les informations d'identification du cluster Amazon Redshift sélectionné. Le AWS secret doit être étiqueté avec le AmazonDataZoneDomain : [Domain_ID] tag afin de pouvoir être utilisé dans un ensemble de paramètres.

          Si vous n'avez pas de AWS secret existant, vous pouvez également en créer un nouveau en choisissant Créer un nouveau AWS secret. Cela ouvre une boîte de dialogue dans laquelle vous pouvez fournir le nom du secret, le nom d'utilisateur et le mot de passe. Une fois que vous avez choisi Create New AWS Secret, Amazon DataZone crée un nouveau secret dans le service AWS Secrets Manager et s'assure que le secret est étiqueté avec le domaine dans lequel vous essayez de créer le jeu de paramètres.

        • Spécifiez le cluster Amazon Redshift que vous souhaitez utiliser lors de la création d'environnements.

        • Spécifiez le nom de la base de données (au sein du cluster que vous avez choisi) que vous souhaitez utiliser lors de la création d'environnements.

  5. Choisissez Créer un jeu de paramètres.