Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Dominios y acceso de usuarios en Amazon DataZone
En esta sección se describe cómo puedes crear y gestionar los dominios y el acceso de los usuarios en Amazon DataZone.
Un DataZone dominio de Amazon es la entidad organizadora que conecta tus activos, usuarios y sus proyectos. Con DataZone los dominios de Amazon, tiene la flexibilidad de reflejar las necesidades de datos y análisis de su estructura organizativa, ya sea que se trate de crear un único DataZone dominio de Amazon para su empresa o varias zonas de datos; dominios para diferentes unidades de negocio o equipos.
En esta sección también se describe la gestión del acceso de los usuarios a la DataZone consola de Amazon y al DataZone portal de Amazon.
Para obtener más información, consulte [DataZone Terminología y conceptos de Amazon](datazone-concepts.md).
**Topics**
+ [Crear DataZone dominios de Amazon](create-domain.md)
+ [Editar DataZone dominios de Amazon](edit-domain.md)
+ [Eliminar DataZone dominios de Amazon](delete-domain.md)
+ [Habilitar el Centro de Identidad de IAM para Amazon DataZone](enable-IAM-identity-center-for-datazone.md)
+ [Desactivar el centro de identidad de IAM para Amazon DataZone](disable-IAM-identity-center-for-datazone.md)
+ [Administra los usuarios en la DataZone consola de Amazon](user-management-console.md)
+ [Gestione los permisos de los usuarios en el portal DataZone de datos de Amazon](user-management-portal.md)
+ [Restringir el acceso a Amazon DataZone](user-management-portal-restricting-programmatic-access.md)
+ [Actualizar DataZone los dominios de Amazon a dominios SageMaker unificados de Amazon](upgrade-domain.md)
# Crear DataZone dominios de Amazon
**nota**
Si utilizas Amazon DataZone con AWS Identity Center para proporcionar acceso a los usuarios y grupos de SSO, actualmente tu DataZone dominio de Amazon debe estar en la misma AWS región que tu instancia de AWS Identity Center.
Amazon DataZone, un dominio es una entidad organizadora para conectar sus activos, usuarios y sus proyectos. Para obtener más información, consulte [DataZone Terminología y conceptos de Amazon](datazone-concepts.md).
Para crear un DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. [Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon](create-iam-roles.md)para obtener los permisos mínimos necesarios para crear un dominio.
Amazon necesita funciones de IAM adicionales DataZone para realizar acciones en nombre de los usuarios del dominio con una configuración predeterminada. Puede crear estas funciones de IAM por adelantado o hacer que Amazon las DataZone cree por usted. Si quieres que Amazon DataZone cree estas funciones de IAM por ti durante el proceso de creación del dominio, debes asumir una función de IAM con permisos de creación de funciones. Consulte [Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ). En función de tus opciones de creación de dominios, Amazon DataZone creará hasta cuatro nuevas funciones de IAM para ti: **AmazonDataZoneDomainExecutionRole**, **AmazonDataZoneGlueManageAccessRole**AmazonDataZoneRedshiftManageAccessRole****, y **AmazonDataZoneProvisioningRole**.
Complete el siguiente procedimiento para crear un DataZone dominio de Amazon.
1. Ve a la DataZone consola de Amazon en [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) y utiliza el selector de regiones de la barra de navegación superior para elegir la región correspondiente. AWS
1. En la página **Crear dominio**, proporcione valores para los siguientes campos:
+ **Nombre**: especifique un nombre descriptivo para el dominio. Una vez creado el dominio, este nombre no se puede cambiar.
+ **Descripción**: (opcional) especifique una descripción de dominio.
+ ****Cifrado de datos****: el Servicio de administración de AWS claves (KMS) cifra tu DataZone dominio de Amazon, tus metadatos y tus datos de informes con una clave específica de tu Amazon DataZone. Usa este campo para especificar si quieres usar una AWS clave propia o elegir una clave de AWS KMS diferente.
Para obtener más información sobre las claves administradas por el cliente, consulte [El cifrado de datos en reposo para Amazon DataZone](encryption-rest-datazone.md). Si usa su propia clave de KMS para el cifrado de datos, debe incluir la siguiente declaración en su valor predeterminado [AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
]
}
]
}
```
------
+ **Acceso al servicio**: elige si deseas que Amazon DataZone cree y use uno nuevo **DomainExecutionRole**para ti o elige un rol de IAM existente.
+ **Configuración rápida**: (opcional) marca esta casilla para empezar más rápido haciendo que Amazon DataZone configure tu cuenta para el consumo y la publicación de datos. Amazon DataZone creará tres funciones de IAM para aprovisionar, administrar y administrar el acceso a los recursos de AWS Glue y Amazon Redshift, creará un nuevo bucket de Amazon S3, creará un DataZone proyecto administrativo de Amazon y creará perfiles de entorno para los planos predeterminados del lago de datos y el almacén de datos.
+ Etiquetas: **** (opcional) especifique las AWS etiquetas (pares de clave y valor) para el dominio.
+ Una vez que el dominio se haya creado correctamente, tu navegador debería actualizarse para mostrar la página de detalles del nuevo DataZone dominio de Amazon.
# Editar DataZone dominios de Amazon
En Amazon DataZone, un dominio es una entidad organizadora que conecta tus activos, usuarios y sus proyectos. Para obtener más información, consulte [DataZone Terminología y conceptos de Amazon](datazone-concepts.md).
Tras crear un DataZone dominio de Amazon, podrás editarlo posteriormente para: cambiar la descripción, activar el Centro de Identidad de IAM y añadir, editar o eliminar las claves de etiquetas y sus valores. Para editar un DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. [Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon](create-iam-roles.md)para obtener los permisos mínimos necesarios para editar un dominio.
Para editar un dominio, siga los pasos que se indican a continuación:
1. Inicie sesión en la consola AWS de administración y abra la consola de Amazon DataZone en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. En la página de detalles del dominio, elija **Editar**.
1.
+ Edite la **Descripción**.
+ Establezca la **Configuración del Centro de identidades de IAM**. Para obtener más información sobre esta configuración, consulte [Configuración del centro de identidad de AWS IAM para Amazon DataZone](sso-setup.md).
+ Añada, edite o elimine las claves de **Etiqueta** y sus valores.
1. Una vez que haya realizado las modificaciones, seleccione **Actualizar dominio**.
# Eliminar DataZone dominios de Amazon
En Amazon DataZone, un dominio es una entidad organizadora que conecta tus activos, usuarios y sus proyectos. Para obtener más información, consulte [DataZone Terminología y conceptos de Amazon](datazone-concepts.md).
El acto de eliminar un dominio es definitivo. La eliminación elimina irrevocablemente todas las DataZone entidades de Amazon, incluidas las fuentes de datos, los proyectos, los entornos, los activos, los glosarios y los formularios de metadatos. La eliminación no elimina DataZone AWS los recursos ajenos a Amazon que Amazon DataZone pueda haberle ayudado a crear, como las funciones de IAM, los buckets de S3, las bases de datos de AWS Glue y las subvenciones de suscripción a través de Redshift o LakeFormation Redshift. Si ya no necesita estos recursos, elimínelos en el servicio correspondiente. AWS
Para evitar que alguien elimine un dominio de forma malintencionada, la eliminación de un dominio requiere permisos administrativos de IAM para Amazon DataZone, que puedes configurar con IAM. Para evitar que alguien elimine un dominio accidentalmente, para eliminar un dominio se requiere una palabra de confirmación (en la DataZone consola de Amazon).
Para eliminar un dominio, siga los pasos que se indican a continuación:
1. Inicie sesión en la consola AWS de administración y abra la consola de Amazon DataZone en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. Elija **Eliminar** y revise las advertencias informativas.
1. Introduzca el texto solicitado para confirmar que entiende estas advertencias. Elija **Eliminar**.
**importante**
Eliminar su dominio es una acción irrevocable que ni usted ni AWS podrán revertir.
**nota**
Cuando tú o los usuarios de tu dominio creáis un entorno en un proyecto, Amazon DataZone crea AWS recursos en vuestro dominio o en las cuentas asociadas para proporcionaros funcionalidad a vosotros y a los usuarios de vuestro dominio. A continuación, se muestra la lista de AWS recursos que Amazon DataZone puede crear para proyectos en tu dominio, junto con el nombre predeterminado. Al eliminar un dominio, no se elimina ninguno de estos AWS recursos de tus AWS cuentas.
Roles de IAM: datazone\$1usr\$1.
Bases de datos de Glue: (1) \$1pub\$1db-\$1, (2) \$1sub\$1db-\$1. Si ya existía una base de datos con este nombre, Amazon DataZone añadirá el ID del entorno.
Grupos de trabajo de Athena: -\$1. Si ya existía un grupo de trabajo con este nombre, Amazon DataZone añadirá el ID del entorno.
CloudWatch grupo de registro: datazone\$1
# Habilitar el Centro de Identidad de IAM para Amazon DataZone
**nota**
Para completar este procedimiento, debes tener activado el Centro de identidad de AWS IAM en la misma AWS región que tu DataZone dominio de Amazon.
Puedes proporcionar a los usuarios y grupos de SSO acceso a tu portal de DataZone datos de Amazon mediante AWS IAM Identity Center. Una vez completado[Configuración del centro de identidad de AWS IAM para Amazon DataZone](sso-setup.md), puedes permitir que tus usuarios y grupos de SSO accedan a tu portal de datos de DataZone dominios de Amazon.
Para habilitar el uso del Centro de Identidad de AWS IAM con tu DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. [Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon](create-iam-roles.md)y [Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ) obtener los permisos mínimos necesarios para habilitar el IAM Identity Center para su uso con Amazon DataZone.
Complete el siguiente procedimiento para habilitar el Centro de identidades de AWS IAM para Amazon DataZone.
1. Inicie sesión en la consola AWS de administración y abra la DataZone consola en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. En la página de detalles del dominio, elija **Editar**.
+ Seleccione la casilla **Habilitar usuarios en IAM Identity Center**.
+ Elija si desea conectarse a una instancia de la organización del centro de identidades de IAM o a una instancia de cuenta del centro de identidades de IAM.
+ Elija entre los dos modos de asignación de usuarios. Una vez que su dominio se actualice con su selección, no podrá cambiarlo más adelante.
+ Con la **asignación de usuarios implícita**, cualquier usuario que se añada al directorio del centro de identidad de IAM puede acceder a su dominio de Amazon DataZone .
+ Con la **asignación explícita de usuarios**, añadirá usuarios o grupos específicos de su directorio de IAM Identity Center para proporcionarles acceso a su DataZone dominio de Amazon. Añadirás y eliminarás estos usuarios y grupos más adelante en Amazon DataZone Console.
1. Una vez que esté satisfecho con su selección, elija **Actualizar dominio**.
# Desactivar el centro de identidad de IAM para Amazon DataZone
Al deshabilitar el Centro de identidad de AWS IAM para un DataZone dominio de Amazon, se eliminará el acceso de todos los usuarios de SSO.
**nota**
La deshabilitación del Centro de identidades de IAM no detendrá la facturación a los usuarios de SSO. Para dejar de facturar a los usuarios de SSO, debe desactivarlos en su dominio. La facturación continuará hasta el final del mes en el que se desactiva un usuario. Para desactivar usuarios, consulte [Administra los usuarios en la DataZone consola de Amazon](user-management-console.md).
Puedes proporcionar a los usuarios y grupos de SSO acceso a tu portal de DataZone datos de Amazon mediante AWS IAM Identity Center. Si ha activado AWS IAM Identity Center para Amazon DataZone, más adelante podrá deshabilitar el acceso para todos los usuarios.
Para inhabilitar el Centro de identidad de AWS IAM para su uso con tu DataZone dominio de Amazon, debes asumir una función de IAM en la cuenta con permisos administrativos. [Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon](create-iam-roles.md)y [Cree una política personalizada para los permisos de IAM para permitir la creación simplificada de roles en la consola de DataZone servicio de Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ) obtener los permisos mínimos necesarios para inhabilitar el uso del Centro de Identidad de IAM con Amazon DataZone.
Complete el siguiente procedimiento para deshabilitar el Centro de identidades de AWS IAM para Amazon DataZone.
1. Inicie sesión en la consola AWS de administración y abra la DataZone consola en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. Copie el **Nombre de recurso de Amazon (ARN)** for your domain, que empieza con arn:aws:datazone:::dominio/.
1. Abra la consola del IAM Identity Center en. [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)
1. Elija **Aplicaciones**.
1. Elija el dominio para el que desee deshabilitar el Centro de identidades de AWS IAM. De este modo, se eliminará el acceso al portal de datos del dominio para todos los usuarios de SSO. Puede utilizar el menú **Filtro** y el cuadro de búsqueda para filtrar la lista de aplicaciones.
1. En el menú **Acciones**, elija **Deshabilitar**.
1. Los usuarios de SSO perderán el acceso al DataZone dominio de Amazon.
1. **Para volver a activar AWS IAM Identity Center para el DataZone dominio de Amazon, selecciona el dominio para el que quieres volver a activar AWS IAM Identity Center y, en el menú **Acciones**, selecciona Activar.**
# Administra los usuarios en la DataZone consola de Amazon
Sus usuarios pueden acceder al portal de DataZone datos de Amazon mediante sus AWS credenciales o credenciales de inicio de sesión único (SSO). Para gestionar los usuarios de un DataZone dominio de Amazon en la DataZone consola de Amazon, debes asumir una función de IAM en la cuenta con permisos de la consola DataZone de administración de Amazon. [Configure los permisos de IAM necesarios para usar la consola de DataZone administración de Amazon](create-iam-roles.md)para obtener los permisos mínimos necesarios para gestionar los usuarios en la DataZone consola de Amazon.
**Topics**
+ [Administración de roles y usuarios de IAM](#manage-IAM-users-roles)
+ [Administración de usuarios de SSO](#manage-sso-users)
+ [Administración de grupos de SSO](#manage-sso-groups)
## Administración de roles y usuarios de IAM
Los roles y usuarios de IAM se crean mediante AWS Identity and Access Management (IAM) (Identity and Access Management, IAM) y acceden a tus DataZone dominios de Amazon mediante los permisos que se les asignan mediante políticas. Para obtener más información, consulte [Configure los permisos de IAM necesarios para usar el portal de DataZone datos de Amazon](data-portal-permissions.md). En la versión actual de Amazon DataZone, un administrador de una cuenta de propietario de DataZone dominio de Amazon puede crear perfiles de usuario de IAM para los usuarios de su propia cuenta o para los usuarios de las cuentas asociadas. Un administrador de la cuenta de propietario de un DataZone dominio de Amazon también puede establecer el estado de un usuario existente en Asignado o No asignado (es decir, asignado o no asignado para usar Amazon DataZone) o activar o desactivar cualquier usuario existente.
1. [Inicie sesión en la consola de AWS administración y abra la consola en DataZone /datazone. https://console.aws.amazon.com](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. En la página de detalles del dominio, elija **Administración de usuarios**.
1. Para añadir un usuario de IAM a la cuenta del propietario del DataZone dominio de Amazon o a la cuenta asociada, selecciona **Añadir** y, a continuación, selecciona **Añadir usuarios de IAM**.
1. En la página **Agregar usuarios**, elija **Cuenta actual** o **Cuenta asociada**, utilice el campo **Buscar y agregar usuarios o roles** para buscar a los usuarios que desea añadir y, a continuación, seleccione **Agregar usuarios**.
1. Para ver el estado de un usuario de IAM, seleccione **Usuarios de IAM** en el menú desplegable del tipo de usuario de la página **Administración de usuarios**.
+ La columna **Nombre** muestra el ARN del usuario o del rol de IAM.
+ La columna **Estado** muestra el estado actual del usuario o rol de IAM en el dominio.
+ Asignado significa que se ha asignado al usuario de IAM el uso de Amazon DataZone.
+ Sin asignar significa que se ha desasignado al usuario de IAM el uso de Amazon. DataZone
+ Activado significa que el usuario o rol de IAM ha llamado a una API, ha emitido un comando (mediante la interfaz de línea de comandos) o ha accedido al DataZone portal de Amazon de tu dominio.
+ Desactivado significa que el usuario o rol de IAM ya no puede usar el Amazon DataZone Data Portal. Para restringir el acceso mediante programación, consulte [Restringir el acceso a Amazon DataZone](user-management-portal-restricting-programmatic-access.md).
1. Para desactivar un usuario o rol de IAM que esté activado actualmente, marque la casilla situada junto al usuario y seleccione **Desactivar** en el menú **Acciones**. Esto provocará que el usuario ya no pueda utilizar el Amazon DataZone Data Portal. Para restringir el acceso mediante programación, consulte [Restringir el acceso a Amazon DataZone](user-management-portal-restricting-programmatic-access.md).
1. Para activar un usuario o rol de IAM que esté desactivado actualmente, marque la casilla situada junto al usuario y seleccione **Activar** en el menú **Acciones**. El usuario tendrá acceso al Amazon DataZone Data Portal si el usuario o rol de IAM tiene `datazone:GetUserPortalLoginUrl` permisos.
## Administración de usuarios de SSO
Los usuarios de SSO se crean o sincronizan con su proveedor de identidades. Para obtener más información, consulte [Configuración del centro de identidad de AWS IAM para Amazon DataZone](sso-setup.md) y [Habilitar el Centro de Identidad de IAM para Amazon DataZone](enable-IAM-identity-center-for-datazone.md) para habilitar y configurar AWS IAM Identity Center para Amazon DataZone. Puede ver la lista de usuarios de SSO asignados al dominio, añadir usuarios de SSO y eliminar usuarios de SSO.
1. Inicie sesión en la consola AWS de administración y abra la DataZone consola en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. En la página de detalles del dominio, desplácese hacia abajo y seleccione **Administración de usuarios**.
1. Para el tipo de usuario, elija **Usuarios de SSO** a fin de ver la lista actual de usuarios de SSO que ya se han autenticado en el portal de datos. Al utilizar la asignación de usuarios implícita, los usuarios de SSO que no se hayan autenticado con anterioridad en el portal de datos no aparecerán en la lista.
+ La columna **Nombre** muestra el nombre del usuario de SSO.
+ La columna **Estado** muestra el estado actual del usuario de SSO en el dominio.
+ Asignado significa que el usuario de SSO se ha asignado explícitamente al dominio. Como resultado, el usuario tiene acceso a Amazon DataZone. Este estado solo se usa cuando su modo de proveedor de identidades del dominio está configurado para una asignación explícita.
+ Activado significa que el usuario de SSO ha accedido al DataZone portal de Amazon del dominio. La activación se produce automáticamente.
+ Desactivado significa que el acceso del usuario de SSO está bloqueado al portal de datos del dominio.
+ Eliminado significa que el usuario de SSO estaba previamente asignado al dominio, pero se eliminó antes de que accediera a él.
1. Para añadir usuarios de SSO, seleccione **Agregar** y **Agregar usuarios**. Esta opción no está disponible si el dominio está configurado con una asignación de usuarios implícita, lo que significa que todos los usuarios del grupo de identidades tienen acceso al DataZone dominio de Amazon.
+ En la página **Agregar usuarios**, busque los alias de los usuarios que desee añadir. Aparecerá una lista debajo del cuadro de búsqueda con posibles coincidencias.
+ Elija al usuario que desee agregar. Su alias aparecerá como un chip debajo del cuadro de búsqueda.
+ Cuando esté satisfecho con la lista de usuarios que desea agregar, seleccione **Agregar usuarios**.
+ Los usuarios se asignan al DataZone dominio de Amazon con el estado **Asignado**.
+ Cuando el usuario acceda por primera vez al portal de datos del dominio, el estado cambiará automáticamente a **Activado**.
1. Para eliminar a un usuario de SSO **Asignado**, seleccione el usuario y haga clic en **Anular asignación** en el menú **Acciones**. Como resultado, el usuario perderá el acceso al DataZone dominio de Amazon. El estado del usuario aparecerá como **No asignado**. Esta opción no está disponible si el dominio está configurado con una asignación de usuarios implícita.
1. Para desactivar a un usuario de SSO **Activado**, selecciónelo y elija **Desactivar** en el menú de **Acciones**. Como resultado, el acceso del usuario al portal de DataZone datos de Amazon se perderá y se bloqueará. El estado del usuario aparecerá como **Desactivado**.
1. Para activar a un usuario de SSO que se encuentra **Desactivado**, selecciónelo y elija **Activar** en el menú de **Acciones**. Como resultado, el usuario recuperará el acceso al portal de DataZone datos de Amazon. El usuario aparecerá como **Activado**.
## Administración de grupos de SSO
Los grupos de SSO se crean o sincronizan con su proveedor de identidad en el Centro de identidades de AWS IAM. Para obtener más información, consulte [Configuración del centro de identidad de AWS IAM para Amazon DataZone](sso-setup.md) y [Habilitar el Centro de Identidad de IAM para Amazon DataZone](enable-IAM-identity-center-for-datazone.md) para habilitar y configurar AWS IAM Identity Center para Amazon DataZone. Puede ver la lista de grupos de SSO asignados al dominio, agregar grupos de SSO y eliminar grupos de SSO.
1. Inicie sesión en la consola AWS de administración y abra la DataZone consola en [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)
1. Seleccione **Ver dominios** y elija el nombre del dominio de la lista. El nombre es un hipervínculo.
1. En la página de detalles del dominio, desplácese hacia abajo y seleccione **Administración de usuarios**.
1. Para el tipo de usuario, seleccione **Grupos de SSO** para ver la lista actual de grupos de SSO.
+ La columna **Nombre** muestra el nombre del grupo de SSO.
+ La columna **Estado** muestra el estado actual del grupo de SSO en el dominio.
+ **Asignado** significa que el grupo de SSO se ha asignado explícitamente al dominio. Como resultado, todos los usuarios del grupo tendrán acceso al portal de datos del dominio (a menos que el usuario esté desactivado).
+ **No asignado** significa que el grupo de SSO ha sido eliminado del dominio. Los usuarios del grupo no tienen acceso al portal de datos del dominio al pertenecer a este grupo.
1. Para agregar grupos de SSO, seleccione **Agregar** y **Agregar grupos**. Esta opción no está disponible si el dominio está configurado con una asignación de usuarios implícita, lo que significa que todos los usuarios del grupo de identidades tienen acceso al DataZone dominio de Amazon, independientemente de si pertenecen al grupo.
+ En la página **Agregar grupos**, busque los alias de los usuarios que desee agregar. Aparecerá una lista debajo del cuadro de búsqueda con posibles coincidencias.
+ Elija al grupo que desee agregar. Su alias aparecerá como un chip debajo del cuadro de búsqueda.
+ Cuando esté satisfecho con la lista de grupos que desea agregar, seleccione **Agregar grupos**.
+ Los grupos se asignan al DataZone dominio de Amazon con el estado **Asignado**.
+ Cuando un miembro del grupo acceda por primera vez al portal de datos del dominio, el estado cambiará automáticamente a **Activado**.
1. Para eliminar a un **Grupo de SSO asignado**, seleccione el grupo y elija **Anular la asignación** en el menú **Acciones**. Como resultado, el grupo perderá el acceso al DataZone dominio de Amazon. El estado del grupo aparecerá como **No asignado**. Los usuarios que hayan accedido a Amazon a DataZone través de su pertenencia a este grupo perderán el acceso. Esta opción no está disponible si el dominio está configurado con una asignación de usuarios implícita.
# Gestione los permisos de los usuarios en el portal DataZone de datos de Amazon
Puede usar el portal de DataZone administración de Amazon para configurar la autenticación de los usuarios y roles de IAM, los usuarios y grupos de SSO y los usuarios de SAML. Amazon DataZone asigna un perfil de usuario a cada usuario que utiliza Amazon DataZone.
Los permisos de los perfiles de usuario para usar proyectos o crear entidades, entre otras acciones, se administran mediante unidades de dominio y concesiones de políticas. Dentro de un proyecto específico, la designación de los miembros del proyecto (propietarios, colaboradores, lectores) determina la autorización de la acción.
# Restringir el acceso a Amazon DataZone
**Restringir el acceso programático a Amazon DataZone**: para los usuarios o roles de IAM que realicen llamadas programáticas a la API, el acceso puede restringirse mediante políticas de IAM. Si desea revocar credenciales de corta duración ya emitidas para un rol, puede utilizar el [mecanismo de revocación de sesiones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html) para dicho rol o para la [política de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html).
**Restringir el acceso de inicio de sesión al portal de DataZone datos de Amazon**: para restringir el acceso de inicio de sesión al portal de DataZone datos de Amazon, para los usuarios o roles de IAM, las políticas de IAM pueden restringir el acceso a la `datazone:GetUserPortalLoginUrl` acción. Para los usuarios y grupos de SSO, restrinja el acceso al portal de DataZone datos de Amazon configurando el estado del perfil de DataZone usuario de Amazon en **Desactivado**. Si tu dominio está configurado con una asignación implícita y el usuario no ha utilizado Amazon anteriormente DataZone, tendrás que eliminar al usuario del proveedor de identidad.
# Actualizar DataZone los dominios de Amazon a dominios SageMaker unificados de Amazon
## Consideraciones antes de actualizar un dominio
Antes de actualizar tu DataZone dominio de Amazon a un dominio SageMaker unificado de Amazon, revisa estas consideraciones importantes para garantizar un proceso de actualización sin problemas.
+ El proceso de actualización solo está disponible a través de la consola AWS de administración. Actualmente, no se ofrece soporte por API para actualizar su dominio. Puedes iniciar el proceso de actualización desde la página de detalles del dominio de Amazon DataZone .
+ El proceso de actualización requiere que se configuren los siguientes roles (puede seleccionar los roles existentes o hacer que Amazon SageMaker Unified Studio cree los roles en su nombre):
+ Función de ejecución de dominio: en el caso de un DataZone dominio de Amazon, utilizas el [AmazonDataZoneDomainExecutionRole](https://docs.aws.amazon.com/datazone/latest/userguide/AmazonDataZoneDomainExecutionRole.html)que Amazon exige DataZone para catalogar, descubrir, gobernar, compartir y analizar los datos de tu dominio. Con un dominio SageMaker unificado de Amazon, debe utilizar el existente o crear un nuevo [AmazonSageMakerDomainExecution](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainExecution.html)rol.
+ Función de servicio de dominio: Amazon DataZone no requiere una función de servicio de dominio. Con un dominio SageMaker unificado de Amazon, debe utilizar el existente o crear un nuevo [AmazonSageMakerDomainService](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainService.html)rol. Se trata de una función de servicio para las acciones a nivel de dominio que realiza Amazon SageMaker Unified Studio.
+ Consideraciones sobre la propiedad del dominio raíz:
+ Los usuarios de IAM o SSO se users/groups pueden asignar opcionalmente como propietarios del dominio raíz durante el proceso de actualización.
+ Si la unidad de dominio raíz solo tiene funciones de IAM asignadas como propietarios, se recomienda añadir un usuario de IAM o un SSO como propietario. user/group Para obtener más información, consulte [Gestión de usuarios](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/user-management.html) en la Guía del DataZone administrador de Amazon.
+ **Importante**: Los roles de IAM no pueden iniciar sesión en Amazon SageMaker Unified Studio.
+ Cambios en las cuentas asociadas y en AWS Resource Access Manager (AWS RAM):
+ Las cuentas asociadas utilizan recursos compartidos de la AWS RAM para permitir las acciones de la API desde la cuenta del dominio raíz.
+ El proceso de actualización cambia los permisos gestionados subyacentes para el recurso compartido de AWS RAM creado y gestionado por Amazon DataZone. Los permisos administrados afectados son `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess` y `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess`.
+ Cambios en las suscripciones de Amazon Q: el dominio actualizado tendrá la suscripción a Amazon Q predeterminada en el nivel gratuito. Los administradores del dominio pueden cambiarla una vez finalizada la actualización del dominio.
+ Tras la actualización, el atributo `domainVersion` del dominio cambia de `V1` a `V2`.
## Actualiza tu DataZone dominio de Amazon a un dominio SageMaker unificado de Amazon
Puedes completar el siguiente procedimiento para actualizar tu dominio de Amazon a un DataZone dominio SageMaker unificado de Amazon.
1. Ve a la DataZone consola de Amazon en [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) y utiliza el selector de regiones de la barra de navegación superior para elegir la región correspondiente. AWS
1. Elige el DataZone dominio de Amazon que deseas actualizar y ve a su página de detalles.
1. En la página de detalles del dominio, selecciona el botón **Comenzar** que aparece en la notificación **Actualizar tu dominio a Amazon SageMaker Unified Studio**.
1. En la página **Actualizar tu dominio a Amazon SageMaker Unified Studio**, selecciona **Iniciar**.
1. A continuación, especifique la función de ejecución de dominio y las funciones de servicio de dominio para los propietarios del dominio y de la unidad de dominio raíz si el DataZone dominio de Amazon que va a actualizar no tiene propietarios del tipo usuario de IAM o usuario/grupo de SSO. Haga clic en **Actualizar dominio**.
## Preguntas frecuentes sobre la actualización de dominios de Amazon a DataZone dominios SageMaker unificados de Amazon
+ **¿Qué propiedades y configuraciones se conservan tras la actualización del dominio?**
Todas las propiedades configuradas en el DataZone dominio de Amazon se transfieren al dominio SageMaker unificado de Amazon actualizado. Entre ellas, las propiedades del cifrado de datos o las propiedades de las aplicaciones de autenticación.
+ **¿Tengo que configurar otra vez el acceso de inicio de sesión único (SSO) para mis usuarios?**
No. La aplicación SSO de IAM Identity Center asociada al dominio se transferirá al dominio SageMaker unificado de Amazon actualizado. Además, cualquier usuario o rol de IAM asignado al dominio estará disponible en el dominio SageMaker unificado de Amazon actualizado.
+ **¿Puedo seguir utilizando el DataZone portal de Amazon después de la actualización?**
Sí. Tras la actualización, tanto el DataZone portal Amazon como Amazon SageMaker Unified Studio estarán disponibles para que los usuarios finales interactúen con ellos. Ambos portales permanecerán abiertos hasta que un administrador de dominios desactive el DataZone portal de Amazon desde la consola de SageMaker administración de Amazon.
+ **¿Veré los proyectos y otras entidades que se crearon en el DataZone portal de Amazon en Amazon SageMaker Unified Studio?**
Sí. La mayoría de las entidades (proyectos, formularios de metadatos, glosarios, unidades de dominio) creadas a través DataZone del portal de Amazon estarán visibles en Amazon SageMaker Unified Studio. Los proyectos conservarán todos los activos, formularios de metadatos y glosarios asociados a los activos, las suscripciones a activos, los miembros, etc. Estos proyectos requieren consultar los datos desde los editores de consultas de AWS Athena o Amazon Redshift. Los formularios de metadatos y los glosarios aparecerán en Amazon SageMaker Unified Studio y se pueden editar desde Amazon SageMaker y asignar a activos de proyectos creados a través de Amazon. SageMaker Los entornos y los perfiles de entorno de Amazon no DataZone se mostrarán en Amazon SageMaker Unified Studio; estas entidades se han sustituido por perfiles de SageMaker proyectos de Amazon. Los proyectos creados en Amazon SageMaker Unified Studio no estarán visibles a través del DataZone portal de Amazon.
+ **¿Qué ocurre con el identificador de dominio y los identificadores del proyecto tras la actualización al dominio SageMaker unificado de Amazon?**
Todos los identificadores de entidades, incluidos los del dominio y los proyectos, permanecerán iguales después de la actualización.
+ **¿Seguirán funcionando mis pilas AWS CloudFormation (CFN) para el dominio SageMaker unificado de Amazon recién actualizado?**
Amazon SageMaker Unified Studio usa lo APIs mismo que Amazon DataZone. Sin embargo, habrá que hacer algunas modificaciones en la lógica de las plantillas de CFN. Por ejemplo, los dominios de Amazon DataZone se distinguen de los dominios SageMaker unificados de Amazon por un atributo denominado DomainVersion (valores V1 \$1 V2).
+ **¿Qué ocurre cuando se revierte la actualización?**
+ Revertir la actualización cambia la versión del dominio de V2 a V1. Amazon SageMaker Unified Studio ya no estará accesible. La vista de consola del dominio volverá a la DataZone vista de Amazon. Los recursos creados antes de la reversión permanecerán mientras no estén vinculados a un proyecto que se haya creado desde Amazon SageMaker Unified Studio. La reversión solo está permitida cuando no hay ningún proyecto que se haya creado desde Amazon SageMaker Unified Studio.
+ Los ajustes, como la suscripción AWS Q, también se mantendrán tras la reversión.
+ Si VPCs se crearon para el uso de Amazon SageMaker, se mantendrán después de la reversión. Las VPC creadas por el SageMaker servicio tendrán la etiqueta: Name = VPC SageMakerUnifiedStudio
+ El permiso administrado por el recurso compartido de RAM no se revertirá. El permiso gestionado es un superconjunto de Amazon DataZone y Amazon SageMaker Unified Studio.
+ Un dominio que se había revertido se puede volver a actualizar a un dominio SageMaker unificado de Amazon.