Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Domini e accesso degli utenti in Amazon DataZone
<a name="working-with-domains-users"></a>

Questa sezione descrive come creare e gestire i domini e l'accesso degli utenti in Amazon DataZone. 

Un DataZone dominio Amazon è l'entità organizzativa per connettere le tue risorse, gli utenti e i loro progetti. Con DataZone i domini Amazon, hai la flessibilità necessaria per riflettere le esigenze di dati e analisi della tua struttura organizzativa, che si tratti di creare un singolo DataZone dominio Amazon per la tua azienda o più zone dati; domini per diverse unità aziendali o team. 

Questa sezione descrive anche la gestione dell'accesso degli utenti alla DataZone console Amazon e al portale Amazon DataZone. 

Per ulteriori informazioni, consulta [DataZone Terminologia e concetti di Amazon](datazone-concepts.md).

**Topics**
+ [

# Crea DataZone domini Amazon
](create-domain.md)
+ [

# Modifica i DataZone domini Amazon
](edit-domain.md)
+ [

# Eliminare i DataZone domini Amazon
](delete-domain.md)
+ [

# Abilita IAM Identity Center per Amazon DataZone
](enable-IAM-identity-center-for-datazone.md)
+ [

# Disattiva IAM Identity Center per Amazon DataZone
](disable-IAM-identity-center-for-datazone.md)
+ [

# Gestisci gli utenti nella DataZone console Amazon
](user-management-console.md)
+ [

# Gestisci le autorizzazioni degli utenti nel portale DataZone dati di Amazon
](user-management-portal.md)
+ [

# Limitazione dell'accesso ad Amazon DataZone
](user-management-portal-restricting-programmatic-access.md)
+ [

# Esegui l'upgrade DataZone dei domini Amazon ai domini SageMaker unificati Amazon
](upgrade-domain.md)

# Crea DataZone domini Amazon
<a name="create-domain"></a>

**Nota**  
Se utilizzi Amazon DataZone con AWS Identity Center per fornire l'accesso a utenti e gruppi SSO, attualmente il tuo DataZone dominio Amazon deve trovarsi nella stessa AWS regione dell'istanza di AWS Identity Center.

Amazon DataZone, un dominio è un'entità organizzativa per connettere tra loro risorse, utenti e i loro progetti. Per ulteriori informazioni, consulta [DataZone Terminologia e concetti di Amazon](datazone-concepts.md). 

Per creare un DataZone dominio Amazon, devi assumere un ruolo IAM nell'account con autorizzazioni amministrative. [Configura le autorizzazioni IAM necessarie per utilizzare la console di DataZone gestione Amazon](create-iam-roles.md)per ottenere le autorizzazioni minime necessarie per creare un dominio.

Amazon ha bisogno di ruoli IAM aggiuntivi DataZone per eseguire azioni per conto degli utenti del dominio con una configurazione predefinita. Puoi creare questi ruoli IAM in anticipo o chiedere ad Amazon di DataZone crearli per te. Se desideri che Amazon DataZone crei questi ruoli IAM per te durante il processo di creazione del dominio, per la creazione del dominio devi assumere un ruolo IAM con autorizzazioni per la creazione di ruoli. Per informazioni, consulta [Crea una policy personalizzata per le autorizzazioni IAM per abilitare la creazione semplificata di ruoli da parte della console di DataZone servizio Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ). A seconda delle tue scelte di creazione del dominio, Amazon DataZone creerà per te fino a quattro nuovi ruoli IAM: **AmazonDataZoneDomainExecutionRole**AmazonDataZoneGlueManageAccessRole****, **AmazonDataZoneRedshiftManageAccessRole**, e **AmazonDataZoneProvisioningRole**.

Completa la seguente procedura per creare un DataZone dominio Amazon. 

1. Accedi alla DataZone console Amazon all'indirizzo [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) e utilizza il selettore della regione nella barra di navigazione in alto per scegliere la regione appropriata. AWS 

1. Scegli **Crea dominio** e fornisci i valori per i seguenti campi: 
   + **Nome**: specifica un nome descrittivo per il dominio. Una volta creato il dominio, questo nome non può essere modificato.
   + **Descrizione**: (opzionale) specifica una descrizione del dominio.
   + ****Crittografia dei dati****: il DataZone dominio Amazon, i metadati e i dati di reporting vengono crittografati dal AWS Key Management Service (KMS) utilizzando una chiave specifica per Amazon. DataZone Utilizza questo campo per specificare se desideri utilizzare una chiave di AWS proprietà o scegliere una chiave AWS KMS diversa.

     Per ulteriori informazioni sull'utilizzo delle chiavi gestite dai clienti, consulta[Crittografia dei dati a riposo per Amazon DataZone](encryption-rest-datazone.md). Se utilizzi la tua chiave KMS per la crittografia dei dati, devi includere la seguente dichiarazione come predefinita[AmazonDataZoneDomainExecutionRole](AmazonDataZoneDomainExecutionRole.md).

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Sid": "Statement1",
                 "Effect": "Allow",
                 "Action": [
                     "kms:Decrypt",
                     "kms:DescribeKey",
                     "kms:GenerateDataKey"
                 ],
                 "Resource": [
                     "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
                 ]
             }
         ]
     }
     ```

------
   + **Accesso al servizio**: scegli se consentire ad Amazon di DataZone crearne e utilizzarne uno nuovo **DomainExecutionRole**per te o scegli un ruolo IAM esistente.
   + **Configurazione rapida**: (opzionale) seleziona questa casella per iniziare più rapidamente facendo DataZone configurare ad Amazon il tuo account per il consumo e la pubblicazione dei dati. Amazon DataZone creerà tre ruoli IAM per il provisioning, l'acquisizione e la gestione dell'accesso alle risorse AWS Glue e Amazon Redshift, creerà un nuovo bucket Amazon S3, creerà un DataZone progetto Amazon amministrativo e creerà profili di ambiente per i blueprint predefiniti del data lake e del data warehouse.
   + Tag: **** (facoltativo) specifica i AWS tag (coppie di chiavi e valori) per il dominio.
   + Una volta creato correttamente il dominio, il browser dovrebbe essere aggiornato per visualizzare la pagina dei dettagli del nuovo DataZone dominio Amazon.

# Modifica i DataZone domini Amazon
<a name="edit-domain"></a>

In Amazon DataZone, un dominio è un'entità organizzativa per connettere tra loro risorse, utenti e i loro progetti. Per ulteriori informazioni, consulta [DataZone Terminologia e concetti di Amazon](datazone-concepts.md). 

Dopo aver creato un DataZone dominio Amazon, puoi successivamente modificare il dominio per: modificare la descrizione, abilitare IAM Identity Center e aggiungere, modificare o rimuovere le chiavi dei tag e i relativi valori. Per modificare un DataZone dominio Amazon, devi assumere un ruolo IAM nell'account con autorizzazioni amministrative. [Configura le autorizzazioni IAM necessarie per utilizzare la console di DataZone gestione Amazon](create-iam-roles.md)per ottenere le autorizzazioni minime necessarie per modificare un dominio.

Per modificare un dominio, completa i seguenti passaggi:

1. Accedi alla Console di AWS gestione e apri la DataZone console Amazon all'indirizzo [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Scegli **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Nella pagina dei dettagli del dominio, scegli **Modifica**.

1. 
   + Modifica la **descrizione**.
   + Imposta le **impostazioni di IAM Identity Center**. Scopri di più su queste impostazioni in[Configurazione di AWS IAM Identity Center per Amazon DataZone](sso-setup.md).
   + Aggiungi, modifica o rimuovi le chiavi **Tag** e i relativi valori.

1. Dopo aver apportato le modifiche, scegli **Aggiorna dominio**.

# Eliminare i DataZone domini Amazon
<a name="delete-domain"></a>

In Amazon DataZone, un dominio è un'entità organizzativa per connettere tra loro risorse, utenti e i loro progetti. Per ulteriori informazioni, consulta [DataZone Terminologia e concetti di Amazon](datazone-concepts.md). 

L'operazione di eliminazione di un dominio è definitiva. L'eliminazione rimuove irrevocabilmente ogni DataZone entità Amazon, incluse fonti di dati, progetti, ambienti, risorse, glossari e moduli di metadati. L'eliminazione non elimina DataZone AWS le risorse non Amazon che Amazon DataZone potrebbe averti aiutato a creare, come ruoli IAM, bucket S3, database AWS Glue e concessioni di abbonamento tramite o Redshift. LakeFormation Se non ti servono più queste risorse, eliminale nel rispettivo servizio. AWS 

Per impedire a qualcuno di eliminare un dominio in modo dannoso, l'eliminazione di un dominio richiede autorizzazioni amministrative IAM per Amazon DataZone, che puoi configurare con IAM. Per evitare che qualcuno elimini accidentalmente un dominio, l'eliminazione di un dominio richiede una parola di conferma (nella console Amazon DataZone ). 

Per eliminare un dominio, completa i seguenti passaggi:

1. Accedi alla Console di AWS gestione e apri la DataZone console Amazon all'indirizzo [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Scegli **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Scegliete **Elimina** e controllate gli avvisi informativi.

1. Digita il testo richiesto per confermare di aver compreso questi avvisi. Scegli **Elimina**.

**Importante**  
L'eliminazione del dominio è un'azione irrevocabile che non può essere annullata né da te né da parte tua. AWS

**Nota**  
Quando tu o gli utenti del tuo dominio create un ambiente in un progetto, Amazon DataZone crea AWS risorse nel tuo dominio o negli account associati per fornire funzionalità a te e agli utenti del dominio. Di seguito è riportato l'elenco delle AWS risorse che Amazon DataZone può creare per i progetti nel tuo dominio, insieme al nome predefinito. L'eliminazione di un dominio non elimina nessuna di queste AWS risorse dai tuoi AWS account.  
<environmentId>Ruoli IAM: datazone\$1usr\$1.
<environmentName>Database Glue: (1) <environmentName>\$1pub\$1db-\$1, (2) \$1sub\$1db-\$1. Se esisteva già un database con questo nome, Amazon DataZone aggiungerà l'ID dell'ambiente.
<environmentName>Gruppi di lavoro Athena: -\$1. Se esisteva già un gruppo di lavoro con questo nome, Amazon DataZone aggiungerà l'ID dell'ambiente.
CloudWatch gruppo di log: datazone\$1 <environmentId>

# Abilita IAM Identity Center per Amazon DataZone
<a name="enable-IAM-identity-center-for-datazone"></a>

**Nota**  
Per completare questa procedura, devi avere AWS IAM Identity Center abilitato nella stessa AWS regione del tuo DataZone dominio Amazon.

Puoi fornire a utenti e gruppi SSO l'accesso al tuo portale DataZone dati Amazon utilizzando AWS IAM Identity Center. Al termine[Configurazione di AWS IAM Identity Center per Amazon DataZone](sso-setup.md), puoi consentire ai tuoi utenti e gruppi SSO di accedere al portale dati del tuo DataZone dominio Amazon.

Per abilitare AWS IAM Identity Center per l'uso con il tuo DataZone dominio Amazon, devi assumere un ruolo IAM nell'account con autorizzazioni amministrative. [Configura le autorizzazioni IAM necessarie per utilizzare la console di DataZone gestione Amazon](create-iam-roles.md)e [Crea una policy personalizzata per le autorizzazioni IAM per abilitare la creazione semplificata di ruoli da parte della console di DataZone servizio Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ) per ottenere le autorizzazioni minime necessarie per abilitare IAM Identity Center per l'utilizzo con Amazon DataZone.

Completa la seguente procedura per abilitare AWS IAM Identity Center for Amazon DataZone.

1. Accedi alla console di AWS gestione e apri la DataZone console su [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Seleziona **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Nella pagina dei dettagli del dominio, scegli **Modifica**.
   + Seleziona la casella di controllo **Abilita gli utenti in IAM Identity Center**.
   + Scegli se connetterti a un'istanza organizzativa del centro di identità IAM o a un'istanza di account del centro di identità IAM.
   + Scegli tra le due modalità di assegnazione degli utenti. Una volta che il dominio è stato aggiornato con la selezione, non può essere modificato in seguito.
     + Con **l'assegnazione implicita** degli utenti, qualsiasi utente aggiunto alla tua directory IAM Identity Center può accedere al tuo dominio Amazon DataZone .
     + Con **l'assegnazione esplicita** degli utenti, aggiungerai utenti o gruppi specifici dalla tua directory IAM Identity Center per fornire loro l'accesso al tuo dominio Amazon DataZone . Aggiungerai e rimuoverai questi utenti e gruppi in un secondo momento nella DataZone Console Amazon.

1. Quando sei soddisfatto della selezione, scegli **Aggiorna dominio**.

# Disattiva IAM Identity Center per Amazon DataZone
<a name="disable-IAM-identity-center-for-datazone"></a>

La disabilitazione di AWS IAM Identity Center per un DataZone dominio Amazon rimuoverà l'accesso per tutti gli utenti SSO.

**Nota**  
La disabilitazione di IAM Identity Center non interromperà la fatturazione per gli utenti SSO. Per interrompere la fatturazione degli utenti SSO, devi disattivarli nel tuo dominio. La fatturazione continua fino alla fine del mese in cui un utente viene disattivato. Per disattivare gli utenti, consulta. [Gestisci gli utenti nella DataZone console Amazon](user-management-console.md) 

Puoi fornire a utenti e gruppi SSO l'accesso al tuo portale DataZone dati Amazon utilizzando AWS IAM Identity Center. Se hai abilitato AWS IAM Identity Center for Amazon DataZone, puoi successivamente disabilitare l'accesso per tutti gli utenti.

Per disabilitare AWS IAM Identity Center per l'utilizzo con il tuo DataZone dominio Amazon, devi assumere un ruolo IAM nell'account con autorizzazioni amministrative. [Configura le autorizzazioni IAM necessarie per utilizzare la console di DataZone gestione Amazon](create-iam-roles.md)e [Crea una policy personalizzata per le autorizzazioni IAM per abilitare la creazione semplificata di ruoli da parte della console di DataZone servizio Amazon](create-iam-roles.md#create-custom-to-manage-EZCRZ) per ottenere le autorizzazioni minime necessarie per disabilitare l'uso di IAM Identity Center con Amazon DataZone.

Completa la seguente procedura per disabilitare AWS IAM Identity Center for Amazon DataZone.

1. Accedi alla console di AWS gestione e apri la DataZone console su [https://console.aws.amazon.com/datazone.](https://console.aws.amazon.com/datazone)

1. Seleziona **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. <regionName><accountId><domainName>Copia l'**Amazon Resource Name (ARN)** per il tuo dominio, che inizia con arn:aws:datazone: ::domain/.

1. Apri la console [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/)IAM Identity Center all'indirizzo. 

1. Selezionare **Applications (Applicazioni)**.

1. Scegli il dominio per il quale desideri disabilitare AWS IAM Identity Center, che di conseguenza rimuoverà l'accesso al portale dati del dominio per tutti gli utenti SSO. Puoi utilizzare il menu **Filtro** e la casella di ricerca per filtrare l'elenco delle applicazioni.

1. Dal menu **Azioni**, scegli **Disabilita**.

1. Gli utenti SSO perderanno l'accesso al DataZone dominio Amazon.

1. **Per riattivare AWS IAM Identity Center per il DataZone dominio Amazon, scegli il dominio per il quale desideri riattivare AWS IAM Identity Center e, dal menu **Azioni**, scegli Abilita.**

# Gestisci gli utenti nella DataZone console Amazon
<a name="user-management-console"></a>

I tuoi utenti possono accedere al portale DataZone dati di Amazon utilizzando AWS le proprie credenziali o credenziali Single Sign-On (SSO). Per gestire gli utenti nella DataZone console Amazon per un DataZone dominio Amazon, devi assumere un ruolo IAM nell'account con le autorizzazioni della console di DataZone gestione Amazon. [Configura le autorizzazioni IAM necessarie per utilizzare la console di DataZone gestione Amazon](create-iam-roles.md)per ottenere le autorizzazioni minime necessarie per gestire gli utenti nella DataZone console Amazon.

**Topics**
+ [

## Gestisci i ruoli e gli utenti IAM
](#manage-IAM-users-roles)
+ [

## Gestisci gli utenti SSO
](#manage-sso-users)
+ [

## Gestisci i gruppi SSO
](#manage-sso-groups)

## Gestisci i ruoli e gli utenti IAM
<a name="manage-IAM-users-roles"></a>

I ruoli e gli utenti IAM vengono creati utilizzando AWS Identity and Access Management (IAM) e ottengono l'accesso ai tuoi domini DataZone Amazon tramite le autorizzazioni ad essi associate tramite policy. Per ulteriori informazioni, consulta [Configura le autorizzazioni IAM necessarie per utilizzare il portale DataZone dati Amazon](data-portal-permissions.md). Nell'attuale versione di Amazon DataZone, un amministratore di un account proprietario di un DataZone dominio Amazon può creare profili utente IAM per gli utenti del proprio account o per gli utenti degli account associati. Un amministratore di un account proprietario di un DataZone dominio Amazon può anche impostare lo stato di un utente esistente su Assegnato o Non assegnato (ad esempio assegnato o non assegnato all'uso di Amazon DataZone) o attivare o disattivare qualsiasi utente esistente.

1. [Accedi alla console di AWS gestione e apri la console su DataZone /datazone. https://console.aws.amazon.com](https://console.aws.amazon.com/datazone)

1. Seleziona **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Nella pagina dei dettagli del dominio, scegli **Gestione utenti**.

1. Per aggiungere un utente IAM nell'account del proprietario del DataZone dominio Amazon o nell'account associato, scegli **Aggiungi** e quindi scegli **Aggiungi utenti IAM**.

1. Nella pagina **Aggiungi utenti**, scegli **Account corrente** o **Account associato**, utilizza il campo **Trova e aggiungi utenti o ruoli** per trovare gli utenti che desideri aggiungere, quindi scegli **Aggiungi utenti**.

1. Per visualizzare lo stato di un utente IAM esistente, nella pagina **Gestione** utenti, scegli **Utenti IAM** nel menu a discesa del tipo di utente.
   + La colonna **Nome** mostra l'ARN dell'utente o del ruolo IAM.
   + La colonna **Status** mostra lo stato corrente dell'utente o del ruolo IAM nel dominio. 
     + Assegnato significa che all'utente IAM è stato assegnato l'uso di Amazon DataZone.
     + Non assegnato significa che all'utente IAM non è stato assegnato l'uso di Amazon. DataZone
     + Attivato significa che l'utente o il ruolo IAM ha chiamato un'API, emesso un comando (tramite Command Line Interface) o effettuato l'accesso DataZone al portale Amazon per il tuo dominio.
     + Disattivato significa che l'utente o il ruolo IAM non può più utilizzare Amazon DataZone Data Portal. Per limitare l'accesso programmatico, consulta. [Limitazione dell'accesso ad Amazon DataZone](user-management-portal-restricting-programmatic-access.md) 

1. **Per disattivare un utente o un ruolo IAM attualmente attivato, seleziona la casella accanto all'utente e seleziona **Disattiva** dal menu Azioni.** Ciò comporterà che l'utente non sarà più in grado di utilizzare Amazon DataZone Data Portal. Per limitare l'accesso programmatico, consulta[Limitazione dell'accesso ad Amazon DataZone](user-management-portal-restricting-programmatic-access.md). 

1. Per attivare un utente o un ruolo IAM attualmente disattivato, seleziona la casella accanto all'utente e seleziona **Attiva** dal menu **Azioni**. L'utente avrà accesso ad Amazon DataZone Data Portal se l'utente o il ruolo IAM dispone `datazone:GetUserPortalLoginUrl` delle autorizzazioni. 

## Gestisci gli utenti SSO
<a name="manage-sso-users"></a>

Gli utenti SSO vengono creati o sincronizzati con il tuo provider di identità. Per ulteriori informazioni, consulta [Configurazione di AWS IAM Identity Center per Amazon DataZone](sso-setup.md) e [Abilita IAM Identity Center per Amazon DataZone](enable-IAM-identity-center-for-datazone.md) per abilitare e configurare AWS IAM Identity Center for Amazon DataZone. Puoi visualizzare l'elenco degli utenti SSO assegnati al dominio, aggiungere utenti SSO e rimuovere utenti SSO.

1. [Accedi alla console di AWS gestione e apri la console su DataZone /datazone. https://console.aws.amazon.com](https://console.aws.amazon.com/datazone)

1. Seleziona **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Nella pagina dei dettagli del dominio, scorri verso il basso e scegli **Gestione utenti**.

1. Per il tipo di utente, seleziona **Utenti SSO** per visualizzare l'elenco corrente degli utenti SSO che si sono precedentemente autenticati al portale dati. Quando si utilizza l'assegnazione implicita degli utenti, gli utenti SSO che non si sono precedentemente autenticati al portale dati non verranno elencati. 
   + La colonna **Nome** mostra il nome dell'utente SSO.
   + La colonna **Status** mostra lo stato attuale dell'utente SSO nel dominio.
     + Assegnato significa che l'utente SSO è stato assegnato in modo esplicito al dominio. Di conseguenza, l'utente ha accesso ad Amazon DataZone. Questo stato viene utilizzato solo quando la modalità provider di identità del dominio è impostata sull'assegnazione esplicita.
     + Attivato significa che l'utente SSO ha effettuato l'accesso DataZone al portale Amazon per il dominio. L'attivazione avviene automaticamente.
     + Disattivato significa che l'accesso dell'utente SSO è bloccato al portale dati del dominio. 
     + Rimosso significa che l'utente SSO era stato precedentemente assegnato al dominio, ma rimosso prima che vi accedesse.

1. Aggiungi utenti SSO selezionando **Aggiungi e **Aggiungi**** utenti. Questa opzione non è disponibile se il dominio è impostato sull'assegnazione implicita degli utenti, il che significa che tutti gli utenti del pool di identità hanno accesso al dominio Amazon DataZone .
   + Nella pagina **Aggiungi utenti**, cerca gli alias degli utenti che desideri aggiungere. Sotto la casella di ricerca verrà visualizzato un elenco con potenziali corrispondenze.
   + Scegli l'utente che desideri aggiungere. Il loro alias apparirà sotto forma di chip sotto la casella di ricerca.
   + Quando sei soddisfatto dell'elenco di utenti che desideri aggiungere, scegli **Aggiungi utente/i.**
   + Gli utenti vengono assegnati al DataZone dominio Amazon con lo stato **Assegnato**.
   + Quando l'utente accede per la prima volta al portale dati del dominio, lo stato cambierà automaticamente in **Attivato**.

1. **Rimuovi un utente SSO **assegnato** selezionando l'utente e scegliendo **Annulla assegnazione dal menu Azioni**.** Di conseguenza, l'utente perderà l'accesso al DataZone dominio Amazon. Lo stato dell'utente verrà visualizzato come **Non assegnato**. Questa opzione non è disponibile se il dominio è impostato sull'assegnazione implicita dell'utente.

1. **Disattiva un utente SSO **attivato** selezionando l'utente e scegliendo **Disattiva** dal menu Azioni.** Di conseguenza, l'accesso dell'utente al portale DataZone dati di Amazon verrà perso e bloccato. Lo stato dell'utente verrà visualizzato come **Disattivato**.

1. **Attiva un utente SSO **disattivato** selezionando l'utente e scegliendo **Attiva dal menu** Azioni.** Di conseguenza, l'utente riotterrà l'accesso al portale DataZone dati di Amazon. Quello dell'utente verrà visualizzato come **Attivato**.

## Gestisci i gruppi SSO
<a name="manage-sso-groups"></a>

I gruppi SSO vengono creati o sincronizzati con il tuo provider di identità in AWS IAM Identity Center. Per ulteriori informazioni, consulta [Configurazione di AWS IAM Identity Center per Amazon DataZone](sso-setup.md) e [Abilita IAM Identity Center per Amazon DataZone](enable-IAM-identity-center-for-datazone.md) per abilitare e configurare AWS IAM Identity Center for Amazon DataZone. Puoi visualizzare l'elenco dei gruppi SSO assegnati al dominio, aggiungere gruppi SSO e rimuovere gruppi SSO.

1. [Accedi alla console di AWS gestione e apri la console su DataZone /datazone. https://console.aws.amazon.com](https://console.aws.amazon.com/datazone)

1. Seleziona **Visualizza domini** e scegli il nome del dominio dall'elenco. Il nome è un collegamento ipertestuale.

1. Nella pagina dei dettagli del dominio, scorri verso il basso e scegli **Gestione utenti**.

1. Per il tipo di utente, seleziona **Gruppi SSO** per visualizzare l'elenco corrente dei gruppi SSO.
   + La colonna **Nome** mostra il nome del gruppo SSO.
   + La colonna **Status** mostra lo stato attuale del gruppo SSO nel dominio.
     + **Assegnato** significa che il gruppo SSO è stato assegnato in modo esplicito al dominio. Di conseguenza, tutti gli utenti del gruppo hanno accesso al portale dati del dominio (a meno che l'utente non sia disattivato).
     + **Non assegnato** significa che il gruppo SSO è stato rimosso dal dominio. Gli utenti del gruppo non hanno accesso al portale dati del dominio tramite la loro appartenenza a questo gruppo.

1. Aggiungi gruppi SSO selezionando **Aggiungi** e **Aggiungi gruppi**. Questa opzione non è disponibile se il dominio è impostato sull'assegnazione implicita degli utenti, il che significa che tutti gli utenti del pool di identità hanno accesso al DataZone dominio Amazon indipendentemente dall'appartenenza al gruppo.
   + Nella pagina **Aggiungi gruppi**, cerca gli alias dei gruppi che desideri aggiungere. Sotto la casella di ricerca verrà visualizzato un elenco con potenziali corrispondenze.
   + Scegli il gruppo che desideri aggiungere. Il loro alias apparirà sotto forma di chip sotto la casella di ricerca.
   + Quando sei soddisfatto dell'elenco dei gruppi che desideri aggiungere, scegli **Aggiungi gruppo/i.**
   + I gruppi vengono assegnati al DataZone dominio Amazon con lo stato **Assegnato**.
   + Quando un membro del gruppo accede al portale dati del dominio, lo stato cambia automaticamente in **Attivato**.

1. **Rimuovi un gruppo **SSO assegnato selezionando il gruppo** e scegliendo **Annulla assegnazione** dal menu Azioni.** Di conseguenza, il gruppo perderà l'accesso al DataZone dominio Amazon. Lo stato del gruppo verrà visualizzato come **Non assegnato**. Gli utenti che hanno ottenuto l'accesso ad Amazon DataZone tramite l'iscrizione a questo gruppo perderanno l'accesso. Questa opzione non è disponibile se il dominio è impostato sull'assegnazione implicita dell'utente.

# Gestisci le autorizzazioni degli utenti nel portale DataZone dati di Amazon
<a name="user-management-portal"></a>

Puoi utilizzare il portale di DataZone gestione Amazon per configurare l'autenticazione per utenti e ruoli IAM, utenti e gruppi SSO e utenti SAML. Amazon DataZone assegna un profilo utente a ogni utente che utilizza Amazon DataZone.

Le autorizzazioni del profilo utente per utilizzare progetti, creare entità, ecc. vengono gestite utilizzando unità di dominio e concessioni di policy. All'interno di un progetto specifico, la designazione dei membri del progetto (proprietario, collaboratore, vista) determina l'autorizzazione dell'azione.

# Limitazione dell'accesso ad Amazon DataZone
<a name="user-management-portal-restricting-programmatic-access"></a>

**Limitazione dell'accesso programmatico ad Amazon DataZone**: per gli utenti o i ruoli IAM, che effettuano chiamate API programmatiche, l'accesso può essere limitato tramite le policy IAM. [Se desideri revocare le credenziali a breve termine già emesse per i ruoli, puoi utilizzare il [meccanismo di revoca della sessione IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html) sul ruolo o sulla Service Control Policy.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

**Limitazione dell'accesso al portale DataZone dati di Amazon**: per limitare l'accesso al portale DataZone dati di Amazon, per utenti o ruoli IAM, le policy IAM possono limitare l'accesso all'`datazone:GetUserPortalLoginUrl`azione. Per utenti e gruppi SSO, limita l'accesso al portale DataZone dati Amazon impostando lo stato del profilo DataZone utente Amazon su **Disattivato**. Se il tuo dominio è configurato con l'assegnazione implicita e l'utente non ha mai utilizzato Amazon in precedenza DataZone, dovrai rimuovere l'utente dal provider di identità.

# Esegui l'upgrade DataZone dei domini Amazon ai domini SageMaker unificati Amazon
<a name="upgrade-domain"></a>

## Considerazioni prima di aggiornare il dominio
<a name="upgrade-domain-consider"></a>

Prima di aggiornare il DataZone tuo dominio Amazon a un dominio Amazon SageMaker unificato, esamina queste importanti considerazioni per garantire un processo di aggiornamento senza intoppi.
+ Il processo di aggiornamento è disponibile solo tramite la console di gestione. AWS Al momento, non viene offerto alcun supporto API per l'aggiornamento del dominio. Puoi inizializzare il processo di upgrade dalla pagina dei dettagli del dominio del tuo DataZone dominio Amazon. 
+ Il processo di aggiornamento richiede la configurazione dei seguenti ruoli (puoi selezionare i ruoli esistenti o fare in modo che Amazon SageMaker Unified Studio crei i ruoli per tuo conto):
  + Ruolo di esecuzione del dominio: per un DataZone dominio Amazon, stai utilizzando [AmazonDataZoneDomainExecutionRole](https://docs.aws.amazon.com/datazone/latest/userguide/AmazonDataZoneDomainExecutionRole.html)quello richiesto da Amazon DataZone per catalogare, scoprire, governare, condividere e analizzare i dati nel tuo dominio. Con un dominio SageMaker unificato Amazon, devi utilizzare quello esistente o creare un nuovo [AmazonSageMakerDomainExecution](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainExecution.html)ruolo.
  + Ruolo Domain Service: Amazon DataZone non richiede un ruolo di Domain Service. Con un dominio SageMaker unificato Amazon, devi utilizzare quello esistente o creare un nuovo [AmazonSageMakerDomainService](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/AmazonSageMakerDomainService.html)ruolo. Questo è un ruolo di servizio per le azioni a livello di dominio eseguite da Amazon SageMaker Unified Studio.
+ Considerazioni sulla proprietà del dominio principale:
  + Gli utenti IAM o SSO users/groups possono essere facoltativamente assegnati come proprietari del dominio radice durante il processo di aggiornamento.
  + Se all'unità di dominio radice sono assegnati solo ruoli IAM come proprietari, si consiglia di aggiungere un utente IAM o un SSO user/group come proprietario. Per ulteriori informazioni, consulta la sezione [Gestione degli utenti](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/adminguide/user-management.html) nella Amazon DataZone Administrator Guide.
  + **Importante**: i ruoli IAM non possono accedere ad Amazon SageMaker Unified Studio.
+ Account associati e modifiche al AWS Resource Access Manager (AWS RAM):
  + Gli account associati utilizzano le condivisioni di risorse della AWS RAM per consentire azioni API dall'account del dominio principale.
  + Il processo di aggiornamento modifica le autorizzazioni gestite sottostanti per la condivisione AWS RAM creata e gestita da Amazon DataZone. Le autorizzazioni gestite interessate sono `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceAccess` e. `AWSRAMPermissionsAmazonDatazoneDomainExtendedServiceWithPortalAccess`
+ Modifiche all'abbonamento Amazon Q: per il dominio aggiornato l'abbonamento Amazon Q verrà impostato come predefinito sul livello gratuito. Gli amministratori di dominio possono modificare questa impostazione una volta completato l'aggiornamento del dominio.
+ Dopo l'aggiornamento, l'`domainVersion`attributo del dominio cambia da `V1` a`V2`.

## Esegui l'upgrade del tuo DataZone dominio Amazon a un dominio Amazon SageMaker unificato
<a name="upgrade-domain-procedure"></a>

Puoi completare la seguente procedura per aggiornare il tuo DataZone dominio Amazon a un dominio SageMaker unificato Amazon. 

1. Accedi alla DataZone console Amazon all'indirizzo [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) e utilizza il selettore della regione nella barra di navigazione in alto per scegliere la regione appropriata. AWS 

1. Scegli il DataZone dominio Amazon che desideri aggiornare e vai alla relativa pagina dei dettagli.

1. Nella pagina dei dettagli del dominio, scegli il pulsante **Inizia** che si trova nella notifica **Aggiorna il tuo dominio ad Amazon SageMaker Unified Studio**.

1. Nella pagina **Aggiorna il tuo dominio ad Amazon SageMaker Unified Studio**, scegli **Avvia**.

1. Successivamente, specifica il ruolo Domain Execution e i ruoli Domain Service per i proprietari del dominio e dell'unità di dominio principale se il DataZone dominio Amazon che stai aggiornando non ha proprietari di tipo utente IAM, utente/gruppo SSO. **Quindi scegli Aggiorna dominio.**

## Domande frequenti sull'aggiornamento dei DataZone domini Amazon ai domini unificati Amazon SageMaker
<a name="upgrade-domain-faq"></a>
+ **Quali proprietà e configurazioni vengono trasferite al dominio dopo l'aggiornamento?**

  Tutte le proprietà configurate nel DataZone dominio Amazon vengono trasferite al dominio SageMaker unificato Amazon aggiornato. Ciò include le proprietà di crittografia dei dati, le proprietà delle applicazioni di autenticazione, ecc.
+ **Devo configurare nuovamente l'accesso Single Sign-On (SSO) per i miei utenti?**

  No. La tua applicazione SSO IAM Identity Center associata al dominio verrà trasferita al dominio SageMaker unificato Amazon aggiornato. Inoltre, qualsiasi utente o ruolo IAM assegnato al dominio sarà disponibile nel dominio SageMaker unificato Amazon aggiornato.
+ **Posso ancora utilizzare il DataZone portale Amazon dopo l'aggiornamento?**

  Sì. Dopo l'aggiornamento, sia Amazon DataZone Portal che Amazon SageMaker Unified Studio saranno disponibili per gli utenti finali con cui interagire. Entrambi i portali rimarranno aperti fino a quando un amministratore di dominio non disattiverà il DataZone portale Amazon dalla console di gestione Amazon SageMaker . 
+ **Potrò vedere i progetti e le altre entità che sono stati creati nel DataZone portale Amazon in Amazon SageMaker Unified Studio?**

  Sì. La maggior parte delle entità (progetti, moduli di metadati, glossari, unità di dominio) create tramite il DataZone portale Amazon saranno visibili in Amazon Unified Studio. SageMaker I progetti includeranno tutte le risorse, i moduli di metadati e i glossari associati alle risorse, gli abbonamenti agli asset, i membri, ecc. Questi progetti richiedono l'interrogazione dei dati dagli editor di query AWS Athena o Amazon Redshift. I moduli e i glossari di metadati verranno visualizzati in Amazon SageMaker Unified Studio e possono essere modificati da Amazon SageMaker e assegnati alle risorse dei progetti creati tramite Amazon. SageMaker Gli ambienti e i profili di ambiente di Amazon non DataZone verranno visualizzati in Amazon SageMaker Unified Studio: queste entità sono state sostituite dai profili di SageMaker progetto Amazon. I progetti creati in Amazon SageMaker Unified Studio non saranno visibili attraverso il DataZone portale Amazon.
+ **Cosa succede all'identificatore di dominio e agli identificatori del progetto dopo l'aggiornamento al dominio SageMaker unificato di Amazon?**

  Tutti gli identificatori di entità, inclusi il dominio e i progetti, rimarranno gli stessi dopo l'aggiornamento.
+ **I miei stack AWS CloudFormation (CFN) continueranno a funzionare per il nuovo dominio SageMaker unificato Amazon aggiornato?**

  Amazon SageMaker Unified Studio utilizza lo stesso metodo APIs di Amazon DataZone. Tuttavia, saranno necessarie alcune modifiche alla logica all'interno dei modelli CFN. Ad esempio, i domini di Amazon si DataZone distinguono dai domini SageMaker unificati di Amazon tramite un attributo denominato DomainVersion (valori V1 \$1 V2).
+ **Cosa succede quando si esegue il rollback dell'aggiornamento?**
  + Il ripristino dell'aggiornamento modifica la versione del dominio da V2 a V1. Amazon SageMaker Unified Studio non sarà più accessibile. La visualizzazione della console per il dominio tornerà alla DataZone visualizzazione Amazon. Le risorse create prima del rollback rimarranno invariate a condizione che non siano legate a un progetto creato da Amazon SageMaker Unified Studio. Il rollback è consentito solo quando non sono presenti progetti creati all'interno di Amazon SageMaker Unified Studio.
  + Impostazioni come l'abbonamento AWS Q verranno mantenute anche dopo il rollback.
  + Se VPCs sono stati creati per l'uso di Amazon SageMaker, persisteranno dopo il rollback. I VPC creati dal SageMaker servizio avranno il tag: Name = VPC SageMakerUnifiedStudio
  + L'autorizzazione gestita nell'ambito della condivisione di risorse RAM non verrà ripristinata. L'autorizzazione gestita è un superset di Amazon DataZone e Amazon SageMaker Unified Studio.
  + Un dominio che è stato ripristinato può essere nuovamente aggiornato al dominio SageMaker unificato Amazon.