Amazon DataZone プロジェクトと環境

Amazon DataZone でプロジェクトを使用すると、ユーザーのグループは、Amazon DataZone カタログ内のデータアセットの公開、検出、サブスクライブ、使用など、さまざまなビジネスユースケースでコラボレーションできます。Amazon DataZone プロジェクトごとに適用されるアクセス制御セットがあり、プロジェクトとプロジェクトでサブスクライブしているデータアセットにアクセスできるのは権限がある個人、グループ、およびロールのみで、また使用できるのはプロジェクトのアクセス許可によって定義されているツールのみです。プロジェクトは、基盤となるリソースへのアクセス許可の付与を受け取る ID プリンシパルとして機能し、個々のユーザーの認証情報に依存することなく組織のインフラストラクチャ内で Amazon DataZone を運用できます。

Amazon DataZone では、環境は、設定されたリソース (Amazon S3 バケット、AWS Glue データベース、Amazon Athena ワークグループなど) のコレクションであり、それらのリソースで操作できる特定の IAM プリンシパル (コントリビューターのアクセス許可が割り当てられている) のセットを備えています。各環境には、サブスクリプションとフルフィルメントを介してリソースにアクセスし、データへのアクセスを取得する権限があるユーザープリンシパルが含まれる場合もあります。環境は、実用的なリンクを AWS サービス、外部 IDE、コンソールに保存するように設計されています。プロジェクトのメンバーは、環境内で設定されているディープリンクを使用して、Amazon Athena コンソールなどのサービスにアクセスできます。プロジェクトの SSO ユーザーと IAM ユーザーについては、特定の環境を使用したり特定の環境にアクセスしたりできるよう、さらに範囲を絞り込むことができます。

Amazon DataZone では、環境プロファイルと呼ばれるテンプレートを使用して環境を作成します。環境プロファイルは、組み込みとカスタムの AWS サービスブループリントを使用して作成されます。環境プロファイルを使用すると、ドメイン管理者は事前に設定されたパラメータでブループリントをラップでき、データワーカーは既存の環境プロファイルを選択し、新しい環境の名前を指定することで、新しい環境を必要なだけすばやく作成できます。これにより、データワーカーは、ドメイン管理者が適用したデータガバナンスポリシーを確実に満たすと同時に、プロジェクトと環境を効率的に管理できます。

詳細については、「Amazon DataZone の用語と概念」を参照してください