在 AWS 擁有 Amazon DataZone 網域的帳戶中啟用內建藍圖在擁有 Amazon DataZone 網域的帳戶中，將 Amazon SageMaker 新增為信任的服務 AWS DataZone

Amazon DataZone 內建藍圖

建立環境的藍圖會定義環境所屬專案的哪些工具和服務成員，在 Amazon DataZone 目錄中使用資產時可以使用。在 Amazon DataZone 的目前版本中，有下列內建藍圖：

資料湖藍圖
資料倉儲藍圖
Amazon SageMaker 藍圖

您可以執行下列程序的步驟，在 Amazon DataZone 中啟用預設藍圖：

在 AWS 擁有 Amazon DataZone 網域的帳戶中啟用內建藍圖
在擁有 Amazon DataZone 網域的帳戶中，將 Amazon SageMaker 新增為信任的服務 AWS DataZone

在 AWS 擁有 Amazon DataZone 網域的帳戶中啟用內建藍圖

建立環境的藍圖會定義環境所屬專案的哪些工具和服務成員，在 Amazon DataZone 目錄中使用資產時可以使用。

在目前版本的 Amazon DataZone 中，有幾個內建藍圖：資料湖藍圖、資料倉儲藍圖和 Amazon SageMaker 藍圖。

資料湖藍圖包含啟動和設定一組服務 (AWS Glue、 AWS Lake Formation、Amazon Athena) 以在 Amazon DataZone 目錄中發佈和使用資料湖資產的定義。
資料倉儲藍圖包含啟動和設定一組服務 (Amazon Redshift) 以在 Amazon DataZone 目錄中發佈和使用 Amazon Redshift 資產的定義。
Amazon SageMaker 藍圖包含啟動和設定一組服務 (Amazon SageMaker Studio) 以在 Amazon DataZone 目錄中發佈和使用 Amazon SageMaker 資產的定義。 DataZone

如需詳細資訊，請參閱Amazon DataZone 術語和概念。

建立 Amazon DataZone 網域時，您可以選擇快速設定，以自動啟用預設資料湖和預設資料倉儲內建藍圖，做為網域建立程序的一部分。快速設定也會使用這些內建藍圖為您建立預設環境設定檔和預設環境。

如果您未在建立 Amazon DataZone 網域時選擇快速設定，您可以使用下列程序，在存放此 Amazon DataZone 網域的 AWS 帳戶中啟用可用的內建藍圖。您必須先啟用這些內建藍圖，才能使用它們在此網域中建立環境描述檔。

若要透過 Amazon DataZone 管理主控台在 Amazon DataZone 網域中啟用內建藍圖，您必須在具有管理許可的帳戶中擔任 IAM 角色。設定使用 Amazon DataZone 管理主控台所需的 IAM 許可以取得最低許可。

在 Amazon DataZone 網域中啟用內建藍圖

導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。
選擇檢視網域，然後選擇您要啟用一或多個內建藍圖的網域。
在網域詳細資訊頁面上，導覽至藍圖索引標籤。
從藍圖清單中，選擇 DefaultDataLake 或 DefaultDataWarehouse，或 Amazon SageMaker 藍圖。
在選擇的藍圖詳細資訊頁面上，選擇在此帳戶中啟用。
在許可和資源頁面上，指定下列項目：
- 如果您要啟用 DefaultDataLake 藍圖，請針對 Glue 管理存取角色指定新的或現有的服務角色，以授予 Amazon DataZone 擷取和管理 Glue 和 AWS Lake Formation AWS 中資料表的存取權。
- 如果您要啟用 DefaultDataWarehouse 藍圖，請針對 Redshift 管理存取角色指定新的或現有的服務角色，以授予 Amazon DataZone 擷取和管理 Amazon Redshift 中資料共用、資料表和檢視的存取權。
- 如果您要啟用 Amazon SageMaker 藍圖，請針對 SageMaker 管理存取角色指定新的或現有的服務角色，以授予 Amazon DataZone 將 Amazon SageMaker 資料發佈至目錄的許可。它也授予 Amazon DataZone 許可，以授予對目錄中 Amazon SageMaker 發佈資產的存取權或撤銷存取權。
  重要
  當您啟用 Amazon SageMaker 藍圖時，Amazon DataZone 會檢查目前帳戶和區域中是否存在下列 Amazon DataZone 的 IAM 角色。如果這些角色不存在，Amazon DataZone 會自動建立這些角色。
  
  AmazonDataZoneGlueAccess-<region>-<domainId>
  
  AmazonDataZoneRedshiftAccess-<region>-<domainId>
- 對於佈建角色，請指定新的或現有的服務角色，授予 Amazon DataZone 在環境帳戶和區域中使用 AWS CloudFormation 建立和設定環境資源的授權。
- 如果您要啟用 Amazon SageMaker 藍圖，請針對 SageMaker-Glue 資料來源的 Amazon S3 儲存貯體指定帳戶中的所有 SageMaker 環境要使用的 Amazon S3 儲存貯體 AWS 。您指定的儲存貯體字首必須是下列其中一項：
  - amazon-datazone*
  - datazone-sagemaker*
  - sagemaker-datazone*
  - DataZone-Sagemaker*
  - Sagemaker-DataZone*
  - DataZone-SageMaker*
  - SageMaker-DataZone*
選擇啟用藍圖。

啟用所選的藍圖 (Bluprint) 後，您可以控制哪些專案可以使用您帳戶中的藍圖來建立環境設定檔。您可以透過將管理專案指派給藍圖的組態來執行此操作。

重要

根據預設，環境藍圖不會指定的管理專案，這表示任何 Amazon DataZone 使用者可以建立環境藍圖的設定檔。因此，強烈建議您一律為環境藍圖指定管理專案，以確保更強大的控管。

在已啟用的藍圖上指定管理專案

導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。
選擇檢視網域，然後選擇您要為所選藍圖新增管理專案的網域 (s)。
選擇藍圖索引標籤，然後選擇您要使用的藍圖。
根據預設，網域中的所有專案都可以使用 DefaultDataLake 或 DefaultDataWareshouse，或帳戶中的 Amazon SageMaker 藍圖來建立環境設定檔。不過，您可以透過將管理專案指派給藍圖來限制這一點。若要新增管理專案，請選擇選取管理專案，然後從下拉式選單中選擇您要新增為管理專案的專案，然後選擇選取管理專案 (s)。

在 AWS 帳戶中啟用 DefaultDataWarehouse 藍圖後，您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon Redshift 叢集連線所需的一組金鑰和值，用於建立資料倉儲環境。這些參數包括 Amazon Redshift 叢集的名稱、資料庫，以及存放叢集憑證的 AWS 秘密。

將參數集新增至 DefaultDataWarehouse 藍圖

導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。
選擇檢視網域，然後選擇您要新增參數集的網域。
選擇藍圖索引標籤，然後選擇 DefaultDataWareshouse 藍圖以開啟藍圖詳細資訊頁面。
在藍圖詳細資訊頁面上的參數集索引標籤下，選擇建立參數集。
- 提供參數集的名稱。
- 或者，提供參數集的描述。
- 選擇區域
- 選取 Amazon Redshift 叢集或 Amazon Redshift Serverless。
- 選取將登入資料保留到所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。
  - 如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。
- 如果您在上述步驟中選擇 Amazon Redshift 叢集，現在請從下拉式清單中選擇叢集。如果您在上述步驟中選擇 Amazon Redshift 工作群組，現在請從下拉式清單中選擇工作群組。
- 輸入所選 Amazon Redshift 叢集或 Amazon Redshift Serverless 工作群組中的資料庫名稱。
- 選擇建立參數集。

注意

您最多只能將 10 個參數集新增至 DefaultDataWarehouse 藍圖。

在 AWS 帳戶中啟用 Amazon SageMaker 藍圖後，您可以將參數集新增至藍圖組態。參數集是 Amazon DataZone 建立 Amazon SageMaker 連線所需的一組索引鍵和值，用於建立 Sagemaker 環境。

將參數集新增至 Amazon SageMaker 藍圖

導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。
選擇檢視網域，然後選擇包含已啟用藍圖的網域，以新增參數集。
選擇藍圖索引標籤，然後選擇 Amazon SageMaker 藍圖以開啟藍圖的詳細資訊頁面。
在藍圖詳細資訊頁面上的參數集索引標籤下，選擇建立參數集，然後指定下列項目：
- 提供參數集的名稱。
- 或者，提供參數集的描述。
- 指定 Amazon SageMaker 網域身分驗證類型。您可以選擇 IAM 或 IAM Identity Center (SSO)。
- 指定 AWS 區域。
- 指定用於資料加密的 AWS KMS 金鑰。您可以選擇現有的金鑰或建立新的金鑰。
- 在環境參數下，指定下列項目：
  - VPC ID - 您用於 Amazon SageMaker 環境 VPC 的 ID。您可以指定現有的或建立新的 VPC。
  - 子網路 - VPC 內特定資源之 IP 地址範圍的一或多個 IDs。
  - 網路存取 - 選擇僅限 VPC 或僅限公有網際網路。
  - 安全群組 - 設定 VPC 和子網路時要使用的安全群組。
- 在資料來源參數下，選擇下列其中一項：
  - AWS 僅限 Glue
  - AWS Glue + Amazon Redshift Serverless。如果您選擇此選項，請指定下列項目：
    
    指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。
    
    如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。
    
    指定您要在建立環境時使用的 Amazon Redshift 工作群組。
    
    指定您要在建立環境時使用的資料庫名稱（在您選擇的工作群組內）。
  - AWS 僅限 Glue + Amazon Redshift 叢集
    
    指定將登入資料保留到所選 Amazon Redshift 叢集的 AWS 秘密 ARN。 AWS 秘密必須加上標籤，AmazonDataZoneDomain : [Domain_ID]才有資格在參數集內使用。
    
    如果您沒有現有的 AWS 秘密，您也可以選擇建立新秘密來建立新的 AWS 秘密。這會開啟一個對話方塊，您可以在其中提供秘密名稱、使用者名稱和密碼。選擇建立新 AWS 秘密後，Amazon DataZone 會在 AWS Secrets Manager 服務中建立新的秘密，並確保秘密已標記您嘗試建立參數集的網域。
    
    指定您要在建立環境時使用的 Amazon Redshift 叢集。
    
    指定您要在建立環境時使用的資料庫名稱（在您選擇的叢集內）。
選擇建立參數集。

在擁有 Amazon DataZone 網域的帳戶中，將 Amazon SageMaker 新增為信任的服務 AWS DataZone

如果您已啟用 Amazon SageMaker 藍圖，您還必須新增 SageMaker 作為 Amazon DataZone 中信任的服務之一。若要執行此作業，請完成下列程序：

導覽至 Amazon DataZone 主控台，網址為 https://console.aws.amazon.com/datazone：//。
選擇檢視網域，然後選擇包含已啟用 SageMaker 藍圖的網域。
選擇信任的服務，然後選擇 Amazon SageMaker，然後選擇啟用。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

在藍圖組態中指派授權政策

自訂 AWS 服務藍圖