Amazon DataZone プロジェクトと環境

Amazon では DataZone、プロジェクトにより、ユーザーのグループが Amazon DataZone カタログ内のデータアセットの発行、検出、サブスクライブ、消費を含むさまざまなビジネスユースケースでコラボレーションできます。各 Amazon DataZone プロジェクトには、権限のある個人、グループ、ロールのみがプロジェクトと、このプロジェクトがサブスクライブするデータアセットにアクセスし、プロジェクトのアクセス許可で定義されたツールのみを使用できるように、一連のアクセスコントロールが適用されます。プロジェクトは、基盤となるリソースへのアクセス許可を受け取るアイデンティティプリンシパルとして機能し、Amazon DataZone は個々のユーザーの認証情報に依存することなく組織のインフラストラクチャ内で運用できます。

Amazon では DataZone、環境は、設定されたリソース (Amazon S3 バケット、 AWS Glue データベース、Amazon Athena ワークグループなど) のコレクションであり、それらのリソースを操作できる特定のIAMプリンシパルのセット (コントリビューターのアクセス許可が付与されている) があります。また、各環境には、サブスクリプションとフルフィルメントを介してリソースにアクセスし、データにアクセスする権限を持つユーザープリンシパルがいる場合もあります。環境は、実用的なリンクを AWS サービス、外部IDEs、コンソールに保存するように設計されています。プロジェクトのメンバーは、Amazon Athena コンソールなどのサービスに、環境内で設定されたディープリンクを介してアクセスできます。SSO プロジェクトのユーザーとIAMユーザーは、特定の環境を使用/アクセスするためにさらに詳しく調べることができます。

Amazon では DataZone、環境プロファイルと呼ばれるテンプレートを使用して環境を作成します。環境プロファイルは、組み込みおよびカスタム AWS サービス設計図を使用して作成されます。環境プロファイルを使用すると、ドメイン管理者は事前に設定されたパラメータでブループリントをラップでき、データワーカーは既存の環境プロファイルを選択し、新しい環境の名前を指定することで、任意の数の新しい環境をすばやく作成できます。これにより、データワーカーは、ドメイン管理者によって強制されるデータガバナンスポリシーを確実に満たすと同時に、プロジェクトと環境を効率的に管理できます。

詳細については、「Amazon DataZone の用語と概念」を参照してください