Amazon의 연결된 계정 DataZone - Amazon DataZone

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 연결된 계정 DataZone

AWS 계정을 Amazon DataZone 도메인과 연결하면 도메인 사용자가 이러한 AWS 계정의 데이터를 게시하고 사용할 수 있습니다. 계정 연결을 설정하는 세 단계가 있습니다.

  • 먼저 연결을 요청하여 도메인을 원하는 AWS 계정과 공유합니다. Amazon은 AWS 계정이 도메인 계정과 다른 경우 AWS Resource Access Manager(RAM)를 DataZone 사용합니다 AWS . 계정 연결은 Amazon DataZone 도메인에서만 시작할 수 있습니다.

  • 둘째, 계정 소유자가 연결 요청을 수락하도록 합니다.

  • 셋째, 계정 소유자가 원하는 환경 청사진을 활성화하도록 합니다. 블루프린트를 활성화하면 계정 소유자는 도메인의 사용자에게 AWS Glue 데이터베이스 및 Amazon Redshift 클러스터와 같은 계정의 리소스를 생성하고 액세스하는 데 필요한 IAM 역할 및 리소스 구성을 제공합니다.

다음 단계를 완료하여 계정을 Amazon 에 연결합니다 DataZone.

다른 AWS 계정과의 연결 요청

참고

다른 AWS 계정으로 연결 요청을 보내면 AWS Resource Access Manager()를 사용하여 다른 AWS 계정과 도메인을 공유합니다RAM. 입력한 계정 ID의 정확성을 확인해야 합니다.

Amazon DataZone 도메인에 대해 Amazon DataZone 콘솔의 다른 AWS 계정과의 연결을 요청하려면 관리 권한이 있는 계정에서 IAM 역할을 맡아야 합니다. Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한을 구성합니다.를 사용하여 계정 연결을 요청하는 데 필요한 최소 권한을 얻어야 합니다.

다른 AWS 계정과의 연결을 요청하려면 다음 절차를 완료하세요.

  1. AWS 관리 콘솔에 로그인하고 https://console.aws.amazon.com/datazone 에서 Amazon DataZone 관리 콘솔을 엽니다.

  2. 도메인 보기를 선택하고 목록에서 도메인 이름을 선택합니다. 이름은 하이퍼링크입니다.

  3. 연결된 계정 탭으로 스크롤하여 연결 요청 을 선택합니다.

  4. 연결을 요청하려는 계정IDs의 를 입력합니다. 계정 목록에 만족하면 연결 요청 을 IDs선택합니다.

  5. RAM 정책에서 계정 연결 RAM 정책을 지정합니다. 연결된 계정이 Amazon DataZone APIs을 실행하고 데이터 포털에 액세스할 수 AWSRAMPermissionDataZonePortalReadWrite 있도록 할 것인지 또는 AWSRAMPermissionDataZoneDefault를 선택할 수 있습니다. 여기서 연결된 계정은 Amazon DataZone APIs만 실행하도록 허용하고 데이터 포털 액세스는 제공하지 않습니다. DataZone 그런 다음 Amazon은 입력된 계정 ID(들)를 보안 주체로 사용하여 계정을 대신하여 AWS Resource Access Manager에 리소스 공유를 생성합니다.

  6. 요청을 수락하려면 다른 AWS 계정(들)의 소유자에게 알려야 합니다. 초대장은 칠(7) 일 후에 만료됩니다.

고객 관리형 KMS 키에 대한 계정 액세스 권한 제공

Amazon DataZone 도메인 및 메타데이터는 도메인 생성 중에 KMS소유하고 제공하는 Key AWS Management Service()의 고객 관리형 키(선택 사항) AWS또는 (기본적으로) 에서 보유한 키를 사용하여 암호화됩니다. 도메인이 고객 관리형 키로 암호화된 경우 아래 절차에 따라 연결된 계정에 KMS 키를 사용할 수 있는 권한을 부여합니다.

  1. AWS 관리 콘솔에 로그인하고 에서 KMS 콘솔을 엽니다https://console.aws.amazon.com/kms/.

  2. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다.

  3. 해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다.

  4. KMS 키 목록에서 검사하려는 키의 별칭 또는 KMS 키 ID를 선택합니다.

  5. 외부 AWS 계정이 KMS 키를 사용하도록 허용하거나 허용하지 않으려면 페이지의 기타 AWS 계정 섹션에 있는 제어를 사용합니다. IAM 이러한 계정의 보안 주체(적절한 KMS 권한 있음)는 암호화, 복호화, 재암호화 및 데이터 KMS 키 생성과 같은 암호화 작업에 키를 사용할 수 있습니다.

Amazon DataZone 도메인에서 계정 연결 요청을 수락하고 환경 청사진 활성화

Amazon DataZone 관리 콘솔에서 Amazon DataZone 도메인과의 연결을 수락하려면 관리 권한이 있는 계정에서 IAM 역할을 맡아야 합니다. Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한을 구성합니다.를 사용하여 최소 권한을 얻어야 합니다.

Amazon DataZone 도메인과의 연결을 수락하려면 다음을 완료하세요.

  1. AWS 관리 콘솔에 로그인하고 https://console.aws.amazon.com/datazone 에서 Amazon DataZone 관리 콘솔을 엽니다.

  2. 요청 보기를 선택하고 목록에서 초대 도메인을 선택합니다. 초대 상태는 요청됨 이어야 합니다. 요청 검토를 선택합니다.

  3. 둘 다 또는 상자 중 하나를 선택하여 기본 데이터 레이크 및/또는 데이터 웨어하우스 환경 청사진을 활성화할지 여부를 선택합니다. 나중에 이 작업을 수행할 수 있습니다.

    • 데이터 레이크 환경 청사진을 사용하면 도메인 사용자가 AWS Glue, Amazon S3 및 Amazon Athena 리소스를 생성하고 관리하여 데이터 레이크에서 게시하고 사용할 수 있습니다.

    • 데이터 웨어하우스 환경 청사진을 사용하면 도메인 사용자가 Amazon Redshift 리소스를 생성하고 관리하여 데이터 웨어하우스에서 게시하고 사용할 수 있습니다.

  4. 기본 환경 청사진 중 하나 또는 둘 다를 선택하는 경우 다음 권한 및 리소스를 구성합니다.

    • 액세스 관리 IAM 역할은 도메인 사용자가 AWS Glue 및 Amazon DataZone Redshift와 같은 테이블에 대한 액세스를 수집 및 관리할 수 있는 권한을 Amazon에 제공합니다. Amazon에서 새 IAM 역할을 DataZone 생성하고 사용하도록 선택하거나 기존 IAM 역할 목록에서 선택할 수 있습니다.

    • 프로비저닝 IAM 역할은 Amazon DataZone에 도메인 사용자가 AWS Glue 데이터베이스와 같은 환경 리소스를 생성하고 구성할 수 있는 권한을 제공합니다. Amazon에서 새 IAM 역할을 DataZone 생성하고 사용하도록 선택하거나 기존 IAM 역할 목록에서 선택할 수 있습니다.

    • Data Lake용 Amazon S3 버킷은 도메인 사용자가 데이터 레이크 데이터를 저장할 때 Amazon이 사용할 버킷 또는 경로 DataZone 입니다. Amazon에서 선택한 기본 버킷을 사용하거나 경로 문자열을 입력하여 DataZone 기존 Amazon S3 경로를 선택할 수 있습니다. 자체 Amazon S3 경로를 선택하는 경우 IAM 정책을 업데이트하여 Amazon에 사용할 수 DataZone 있는 권한을 제공해야 합니다.

  5. 구성에 만족하면 연결 수락 및 구성을 선택합니다.

연결된 AWS 계정에서 환경 청사진 활성화

Amazon DataZone 관리 콘솔에서 환경 청사진을 활성화하려면 관리 권한이 있는 계정에서 IAM 역할을 맡아야 합니다. Amazon DataZone 관리 콘솔을 사용하는 데 필요한 IAM 권한을 구성합니다.에서 최소 권한을 얻어야 합니다.

연결된 도메인에서 청사진을 활성화하려면 다음을 완료하세요.

  1. AWS 관리 콘솔에 로그인하고 https://console.aws.amazon.com/datazone 에서 Amazon DataZone 관리 콘솔을 엽니다.

  2. 왼쪽 탐색 패널을 열고 연결된 도메인 을 선택합니다.

  3. 환경 청사진을 활성화할 도메인을 선택합니다.

  4. 블루프린트 목록에서 DefaultDataLake 또는 DefaultDataWarehouse, 또는 Amazon SageMaker 또는 Custom AWS Service 블루프린트를 선택합니다.

    참고

    사용자 지정 AWS 서비스 청사진을 활성화하는 경우 액세스 관리 역할을 지정할 필요가 없습니다. 사용자 지정 AWS 서비스 블루 핀에 대한 권한 및 권한 부여 메커니즘은 이 블루프린트를 사용하여 환경을 생성할 때 처리됩니다. 자세한 내용은 사용자 지정 AWS 서비스 청사진을 사용하여 환경 생성 단원을 참조하십시오.

  5. 선택한 청사진의 세부 정보 페이지에서 이 계정에서 활성화를 선택합니다.

  6. 권한 및 리소스 페이지에서 다음을 지정합니다.

    • DefaultDataLake 블루프린트를 활성화하는 경우 Glue Manage Access 역할 에 Glue and AWS Lake Formation의 AWS 테이블에 대한 액세스를 수집 및 관리할 수 있는 DataZone 권한을 Amazon에 부여하는 새 또는 기존 서비스 역할을 지정합니다.

    • DefaultDataWarehouse 블루프린트를 활성화하는 경우 Redshift 액세스 관리 역할 에 Amazon Redshift에서 데이터 공유, 테이블 및 뷰에 대한 액세스를 수집 및 관리할 수 있는 DataZone 권한을 Amazon에 부여하는 새 또는 기존 서비스 역할을 지정합니다.

    • Amazon SageMaker 청사진을 활성화하는 경우 SageMaker 액세스 관리 역할 에 Amazon SageMaker 데이터를 카탈로그에 게시할 수 있는 DataZone 권한을 Amazon에 부여하는 새 또는 기존 서비스 역할을 지정합니다. 또한 카탈로그에 게시 SageMaker 된 Amazon 자산에 대한 액세스 권한을 부여하거나 취소할 수 있는 DataZone 권한을 Amazon에 부여합니다.

      중요

      Amazon SageMaker 청사진을 활성화할 때 Amazon은 Amazon에 대한 다음 IAM 역할이 현재 계정 및 리전에 DataZone 존재하는지 DataZone 확인합니다. 이러한 역할이 없는 경우 Amazon은 해당 역할을 DataZone 자동으로 생성합니다.

      • AmazonDataZoneGlueAccess-<region>-<domainId>

      • AmazonDataZoneRedshiftAccess-<region>-<domainId>

    • 프로비저닝 역할 의 경우 환경 계정 및 리전 AWS CloudFormation 에서 를 사용하여 환경 리소스를 생성하고 구성할 수 있는 DataZone 권한을 Amazon에 부여하는 새 또는 기존 서비스 역할을 지정합니다.

    • Amazon SageMaker 청사진을 활성화하는 경우 SageMaker-Glue 데이터 소스용 Amazon S3 버킷 에 계정의 모든 SageMaker 환경에서 사용할 Amazon S3 버킷을 AWS 지정합니다. 지정하는 버킷 접두사는 다음 중 하나여야 합니다.

      • amazon-datazone*

      • datazone-sagemaker*

      • sagemaker-datazone*

      • DataZone-Sagemaker*

      • Sagemaker-DataZone*

      • DataZone-SageMaker*

      • SageMaker-DataZone*

  7. 블루프린트 활성화를 선택합니다.

선택한 청사진(들)을 활성화하면 계정에서 청사진(들)을 사용하여 환경 프로파일을 생성할 수 있는 프로젝트를 제어할 수 있습니다. 블루프린트의 구성에 프로젝트 관리를 할당하여 이 작업을 수행할 수 있습니다.

활성화된 DefaultDataLake 또는 DefaultDataWarehouse 블루프린트에서 프로젝트 관리 지정
  1. https://console.aws.amazon.com/datazone의 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

  2. 왼쪽 탐색 패널을 열고 연결된 도메인을 선택한 다음 프로젝트 관리를 추가할 도메인을 선택합니다.

  3. 블루프린트 탭을 선택한 다음 DefaultDataLake 또는 DefaultDataWareshouse 블루프린트를 선택합니다.

  4. 기본적으로 도메인 내의 모든 프로젝트는 계정의 DefaultDataLake 또는 DefaultDataWareshouse 청사진을 사용하여 환경 프로파일을 생성할 수 있습니다. 그러나 블루프린트에 프로젝트 관리를 할당하여 이를 제한할 수 있습니다. 프로젝트 관리를 추가하려면 프로젝트 관리 선택()을 선택한 다음 드롭다운 메뉴에서 프로젝트 관리로 추가하려는 프로젝트를 선택한 다음 프로젝트 관리 선택을 선택합니다.

AWS 계정에서 DefaultDataWarehouse 블루프린트를 활성화하면 블루프린트 구성에 파라미터 세트를 추가할 수 있습니다. 파라미터 세트는 Amazon Redshift 클러스터에 대한 연결을 설정하는 DataZone 데 필요한 키 및 값의 그룹으로, 데이터 웨어하우스 환경을 생성하는 데 사용됩니다. 이러한 파라미터에는 Amazon Redshift 클러스터의 이름, 데이터베이스 및 클러스터에 보안 인증을 보유한 AWS 보안 암호가 포함됩니다.

중요

기본적으로 환경 청사진에 대한 관리 프로젝트는 에 지정되지 않습니다. 즉, 모든 Amazon DataZone 사용자가 환경 청사진에 대한 프로필을 생성할 수 있습니다. 따라서 더 강력한 거버넌스를 보장하기 위해 항상 환경 청사진에 대한 프로젝트 관리를 지정하는 것이 좋습니다.

블루프린트에 DefaultDataWarehouse 파라미터 세트 추가
  1. https://console.aws.amazon.com/datazone의 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

  2. 왼쪽 탐색 패널을 열고 연결된 도메인을 선택한 다음 파라미터 세트를 추가할 도메인을 선택합니다.

  3. 청사진 탭을 선택한 다음 DefaultDataWareshouse 청사진을 선택하여 청사진 세부 정보 페이지를 엽니다.

  4. 블루프린트 세부 정보 페이지의 파라미터 세트 탭에서 파라미터 세트 생성을 선택합니다.

    • 파라미터 세트의 이름을 입력합니다.

    • 선택적으로 파라미터 세트에 대한 설명을 제공합니다.

    • 리전 선택

    • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless를 선택합니다.

    • 선택한 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹에 보안 인증 정보를 ARN 보유한 AWS 보안 암호를 선택합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

      • 기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성 을 선택하여 새 보안 AWS 암호를 생성할 수도 있습니다. 그러면 보안 암호, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성 을 선택하면 Amazon은 AWS Secrets Manager 서비스에서 새 보안 암호를 DataZone 생성하고 보안 암호에 파라미터 세트를 생성하려는 도메인으로 태그가 지정되도록 합니다.

    • Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹을 선택합니다.

    • 선택한 Amazon Redshift 클러스터 또는 Amazon Redshift Serverless 작업 그룹 내에 데이터베이스 이름을 입력합니다.

    • 파라미터 세트 생성을 선택합니다.

참고

DefaultDataWarehouse 블루프린트에는 최대 10개의 파라미터 세트만 추가할 수 있습니다.

AWS 계정에서 Amazon SageMaker 블루프린트를 활성화하면 블루프린트 구성에 파라미터 세트를 추가할 수 있습니다. 파라미터 세트는 Amazon이 Amazon에 대한 연결을 설정하는 DataZone 데 필요한 키 SageMaker 및 값의 그룹으로, 사이지메이커 환경을 생성하는 데 사용됩니다.

Amazon SageMaker 블루프린트에 파라미터 세트 추가
  1. https://console.aws.amazon.com/datazone의 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.

  2. 도메인 보기를 선택한 다음 파라미터 세트를 추가하려는 활성화된 청사진이 포함된 도메인을 선택합니다.

  3. 청사진 탭을 선택한 다음 Amazon SageMaker 청사진을 선택하여 청사진의 세부 정보 페이지를 엽니다.

  4. 블루프린트 세부 정보 페이지의 파라미터 세트 탭에서 파라미터 세트 생성을 선택한 다음 다음을 지정합니다.

    • 파라미터 세트의 이름을 입력합니다.

    • 선택적으로 파라미터 세트에 대한 설명을 제공합니다.

    • Amazon SageMaker 도메인 인증 유형을 지정합니다. IAM 또는 IAM Identity Center()를 선택할 수 있습니다SSO.

    • AWS 리전을 지정합니다.

    • 데이터 암호화를 AWS KMS 위한 키를 지정합니다. 기존 키를 선택하거나 새 키를 생성할 수 있습니다.

    • 환경 파라미터 에서 다음을 지정합니다.

      • VPC ID - Amazon SageMaker 환경VPC의 에 사용 중인 ID입니다. 기존 를 지정하거나 새 를 생성할 수 있습니다VPC.

      • 서브넷 - 내의 특정 리소스IDs에 대한 IP 주소 범위에 대해 하나 이상입니다VPC.

      • 네트워크 액세스 - VPC 전용 또는 퍼블릭 인터넷 전용을 선택합니다.

      • 보안 그룹 - VPC 및 서브넷을 구성할 때 사용할 보안 그룹입니다.

    • 데이터 소스 파라미터에서 다음 중 하나를 선택합니다.

      • AWS Glue만 해당

      • AWS Glue + Amazon Redshift Serverless. 이 옵션을 선택하는 경우 다음을 지정합니다.

        • 선택한 Amazon Redshift 클러스터에 보안 인증 정보를 ARN 보유한 AWS 보안 암호를 지정합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

          기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성 을 선택하여 새 보안 AWS 암호를 생성할 수도 있습니다. 그러면 보안 암호, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성 을 선택하면 Amazon은 AWS Secrets Manager 서비스에서 새 보안 암호를 DataZone 생성하고 보안 암호에 파라미터 세트를 생성하려는 도메인으로 태그가 지정되도록 합니다.

        • 환경을 생성할 때 사용할 Amazon Redshift 작업 그룹을 지정합니다.

        • 환경을 생성할 때 사용할 데이터베이스의 이름(선택한 작업 그룹 내)을 지정합니다.

      • AWS Glue 전용 + Amazon Redshift 클러스터

        • 선택한 Amazon Redshift 클러스터에 보안 인증 정보를 ARN 보유한 AWS 보안 암호를 지정합니다. 파라미터 세트 내에서 사용할 수 있으려면 AWS 보안 암호에 AmazonDataZoneDomain : [Domain_ID] 태그가 지정되어야 합니다.

          기존 AWS 보안 암호가 없는 경우 새 보안 암호 생성 을 선택하여 새 보안 AWS 암호를 생성할 수도 있습니다. 그러면 보안 암호, 사용자 이름 및 암호를 입력할 수 있는 대화 상자가 열립니다. 새 AWS 보안 암호 생성 을 선택하면 Amazon은 AWS Secrets Manager 서비스에서 새 보안 암호를 DataZone 생성하고 보안 암호에 파라미터 세트를 생성하려는 도메인으로 태그가 지정되도록 합니다.

        • 환경을 생성할 때 사용할 Amazon Redshift 클러스터를 지정합니다.

        • 환경을 생성할 때 사용할 데이터베이스의 이름(선택한 클러스터 내)을 지정합니다.

  5. 파라미터 세트 생성을 선택합니다.