翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DataZone のドメインユニットと認可ポリシー
*ドメインユニット*を使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを簡単に整理できます。組織のビジネスユニット内およびビジネスユニット間で安全で効率的なデータ共有を設定するには、Amazon DataZone 内にドメインユニットを作成し、各ビジネスユニット内の厳選されたユーザーがログインしてアセットをカタログに共有できるようにします。ユーザーは企業内のどこからでも、それらのビジネスユニットが管理するアセットを簡単に検索し、そのアセットへのアクセスをリクエストできます。
ドメインユニットを使用して、 AWS アカウント所有者などのリソース所有者がリソースに Amazon DataZone 認可アクセス許可を設定することもできます。ドメインユニットは、アカウント所有者から委任された権限をドメインユニットの所有者に提供します。また、アカウント所有者の代わりに、(ブループリント設定を使用して作成される) 環境プロファイルに許可権限を設定できます。これにより、所属するビジネスユニットに応じて、誰がどの環境プロファイルを作成して使用できるかを制限できます。Amazon DataZone 許可権限は、メタデータ標準を適用し、選択したプロジェクトのみがメタデータフォームと用語集を作成できるようにする場合にも使用できます。これは、一貫した高品質のメタデータを維持するのに役立ちます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
Amazon DataZone ドメインユニット内で、次の認可ポリシーをユーザーとグループに割り当てると、ユーザーに特定のアクセス許可を付与できます。
+ ドメインユニット作成ポリシー
+ プロジェクト作成ポリシー
+ プロジェクトメンバーシップポリシー
+ ドメインユニット所有権引き受けポリシー
+ プロジェクト所有権引き受けポリシー
詳細については、「[Amazon DataZone ドメインユニット内のユーザーとグループに認可ポリシーを割り当てる](assign-authorization-policies-to-users-in-domain-unit.md)」を参照してください。
Amazon DataZone ドメインユニット内で次の認可ポリシーをプロジェクトに割り当てると、特定のアクセス許可を付与できます。
+ 用語集作成ポリシー
+ メタデータフォーム作成ポリシー
+ カスタムアセットタイプ作成ポリシー
詳細については、「[Amazon DataZone ドメインユニット内のプロジェクトに認可ポリシーを割り当てる](assign-authorization-policies-to-projects-in-domain-unit.md)」を参照してください。
Amazon DataZone で許可メカニズムを使用するもう 1 つの方法は、Amazon DataZone ブループリント設定内のプロジェクトとドメインユニットの所有者に認可ポリシーを適用することです。
Amazon DataZone ブループリント設定は、ユーザーワークフローの公開とサブスクライブに使用されるリソースを作成および設定するために必要な情報をカプセル化するエンティティです。この情報には、 AWS アカウント番号とリージョン、 CloudFormation テンプレート、VPCs やサブネットなどのアカウントレベルのパラメータが含まれ、データベース接続情報と認証情報を含めることもできます。コストを制御してセキュリティを向上させるには、これらのブループリントを使用して環境を作成できるユーザーを制御する機能がデータプラットフォームユーザーには必要です。
特定のブループリント設定内で、プロジェクトとドメインユニットの所有者に次の認可ポリシーを割り当てることができます。
+ このブループリントを使用して環境プロファイルを作成する - このポリシーは Amazon DataZone プロジェクトに割り当てることができ、このブループリントを使用して環境プロファイルを作成することをプロジェクトに許可します。
+ このブループリントを使用して環境プロファイルを作成するアクセス許可を付与する - このポリシーはドメインユニットの所有者に割り当てることができ、このブループリントを使用して環境プロファイルを作成するアクセス許可をプロジェクトに付与することを所有者に許可します。
詳細については、「[Amazon DataZone ブループリント設定内で認可ポリシーを割り当てる](assign-authorization-policies-in-blueprint-config.md)」を参照してください。
**Topics**
+ [Amazon DataZone でドメインユニットを作成する](create-domain-unit.md)
+ [Amazon DataZone でドメインユニットを編集する](edit-domain-unit.md)
+ [Amazon DataZone でドメインユニットを削除する](delete-domain-unit.md)
+ [Amazon DataZone でドメインユニットの所有者を管理する](add-domain-unit-owners.md)
+ [Amazon DataZone ドメインユニット内のユーザーとグループに認可ポリシーを割り当てる](assign-authorization-policies-to-users-in-domain-unit.md)
+ [Amazon DataZone ドメインユニット内のプロジェクトに認可ポリシーを割り当てる](assign-authorization-policies-to-projects-in-domain-unit.md)
+ [Amazon DataZone ブループリント設定内で認可ポリシーを割り当てる](assign-authorization-policies-in-blueprint-config.md)
# Amazon DataZone でドメインユニットを作成する
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
**ドメインユニットを作成するには**
1. データポータル URL を使用して Amazon DataZone データポータルに移動し、SSO または AWS 認証情報を使用してログインします。Amazon DataZone 管理者の場合は、Amazon DataZone ドメインが作成された AWS アカウントの [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) にある Amazon DataZone コンソールにアクセスして、データポータル URL を取得できます。
1. **[ドメインを表示]** を選択し、ドメインユニットを作成するドメインを選択します。
1. ドメインの詳細ページで、**[ドメインユニット]** タブに移動します。
1. [**ドメイン名を作成**] を選択します。
1. 以下を指定してから、**[ドメインユニットを作成]** を選択します。
+ **[ドメインユニットの詳細]** で、**[名前]** にドメインユニット名を指定します。
+ **[ドメインユニットの詳細]** で、**[説明]** にドメインユニットの説明を指定します。
+ **[ドメインユニットの親]** - 新しいドメインユニットを追加する親ドメインユニットを選択します。
+ **[ドメインユニットの所有者]** - このドメインユニットを編集できるドメインユニットの所有者を指定します。
# Amazon DataZone でドメインユニットを編集する
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
**ドメインユニットを編集するには**
1. データポータル URL を使用して Amazon DataZone データポータルに移動し、SSO または AWS 認証情報を使用してログインします。Amazon DataZone 管理者の場合は、Amazon DataZone ドメインが作成された AWS アカウントの [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) にある Amazon DataZone コンソールにアクセスして、データポータル URL を取得できます。
1. **[ドメインを表示]** を選択し、ドメインユニットを編集するドメインを選択します。
1. ドメインの詳細ページで、**[ドメインユニット]** タブに移動し、編集するドメインユニットを選択します。
1. **[アクション]** を展開し、**[ドメインユニットを編集]** を選択します。
1. ドメインユニット名と説明を変更し、**[変更を保存]** を選択します。
# Amazon DataZone でドメインユニットを削除する
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
**ドメインユニットを編集するには**
1. データポータル URL を使用して Amazon DataZone データポータルに移動し、SSO または AWS 認証情報を使用してログインします。Amazon DataZone 管理者の場合は、Amazon DataZone ドメインが作成された AWS アカウントの [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) にある Amazon DataZone コンソールにアクセスして、データポータル URL を取得できます。
1. **[ドメインを表示]** を選択し、ドメインユニットを削除するドメインを選択します。
1. ドメインの詳細ページで、**[ドメインユニット]** タブに移動し、削除するドメインユニットを選択します。
1. アクションを展開し、**[ドメインユニットを削除]** を選択します。
1. **[ドメインユニットを削除]** ポップアップウィンドウで、**[ドメインユニットを削除]** を選択して削除を確定します。
# Amazon DataZone でドメインユニットの所有者を管理する
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
Amazon DataZone マネジメントコンソールを使用して最上位のドメインユニットに所有者を追加するには、以下のステップを実行します。
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。
1. **[ドメインを表示]** を選択し、ドメインユニットの所有者を追加する Amazon DataZone ドメインを選択します。
1. ドメインの詳細ページで、**[ドメインルートの所有者]** テーブルに移動します。
1. **[追加]** を選択し、ドメインユニットの所有者にするユーザーを指定します。**[ルートドメインの所有者を追加]** を選択します。
Amazon DataZone データポータルを介してドメインユニットの所有者を追加するには、以下の手順を実行します。
1. データポータル URL を使用して Amazon DataZone データポータルに移動し、SSO または AWS 認証情報を使用してログインします。Amazon DataZone 管理者の場合は、Amazon DataZone ドメインが作成された AWS アカウントの [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) にある Amazon DataZone コンソールにアクセスして、データポータル URL を取得できます。
1. **[ドメインを表示]** を選択し、ドメインユニットの所有者を追加するドメインとドメインユニットを選択します。
1. ドメインユニットの詳細ページで、**[所有者]** タブを選択し、**[所有者を追加]** を選択します。
1. **[ドメインユニットの所有者を追加]** ポップアップウィンドウで、ドメインユニットの所有者にするユーザーを指定し、**[所有者を追加]** を選択します。
# Amazon DataZone ドメインユニット内のユーザーとグループに認可ポリシーを割り当てる
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
Amazon DataZone ドメインユニットでは、ユーザーとグループに次の認可ポリシーを割り当てて、このドメインユニット内のさまざまな許可権限を付与できます。
+ ドメインユニット作成ポリシー
+ プロジェクト作成ポリシー
+ プロジェクトメンバーシップポリシー
+ ドメインユニット所有権引き受けポリシー
+ プロジェクト所有権引き受けポリシー
ドメインユニット内のユーザーとグループに認可ポリシーを割り当てるには、以下の手順を実行します。
1. Amazon DataZone データポータル URL に移動し、シングルサインオン (SSO) または AWS 認証情報を使用してサインインします。Amazon DataZone 管理者の場合は、[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、ドメインが作成された AWS アカウント でサインインすると、**[データポータルを開く]** を選択できます。
1. **[ドメインを表示]** を選択し、認可ポリシーを割り当てるドメインとドメインユニットを選択します。
1. ドメインユニットの詳細ページで、ユーザー/グループに割り当てる認可ポリシーを選択し、**[ユーザーを追加]** を選択します。
1. **[ユーザーを追加]** ポップアップウィンドウで、次のいずれかを実行します。
+ **[選択したユーザーとグループ]** を選択し、選択した認可ポリシーを割り当てるユーザーとグループを指定して **[ユーザーを追加]** を選択します。
+ **[すべてのユーザー]** を選択し、**[ユーザーを追加]** を選択します。
+ **[すべてのグループ]** を選択し、**[ユーザーを追加]** を選択します。
1. 選択したユーザーに選択した認可ポリシーのカスケード権限を有効または無効にすることもできます。これを行うには、カスケード権限を有効にするユーザーを選択し、**[アクション]** を展開してから **[カスケード権限を true に設定]** を選択します。選択したユーザーには、このドメインユニットの管理下にあるすべての子ドメインユニットでこのポリシーによって付与されたアクセス許可が設定されます。または、カスケード権限を無効にするユーザーを選択し、**[アクション]** を展開して **[カスケード権限を false に設定]** を選択します。
# Amazon DataZone のドメインユニットの階層におけるプロジェクトメンバーシップポリシー
プロジェクトメンバーシップポリシーは、ドメインユニット内のプロジェクトにメンバーとして追加できる個人またはグループを定義します。このトピックでは、個別のドメインユニットおよび階層構造におけるドメインユニットに関するポリシーの影響のシナリオについて説明します。
このトピックで使用されるいくつかの概念に注意してください。
+ メンバーシッププール - プロジェクトメンバーシップポリシーを通じてアクセスが付与されたプリンシパル (ユーザーまたはグループ) は、プロジェクトメンバーシッププールの一部とみなされます。例えば、ドメインユニット DU1 のポリシーがユーザー U1 と U2、およびシングルサインオン (SSO) グループ G1 に付与されている場合、DU1 のプロジェクトメンバーシッププールは \$1U1、U2、G1\$1 で構成されます。
+ カスケード - ドメインユニット階層を介して接続されたすべての子ドメインユニットに付与を継承する機能。
+ 付与 - ユーザーまたはグループがアクションを実行するためのアクセス許可。
**シナリオ 1** - メンバーシッププールは \$1すべてのユーザー/グループ\$1 で構成されているため、ドメインユニット 1 のプロジェクトには任意のユーザーまたはグループを追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario1.png)
**シナリオ 2** - ユーザー \$1U1、G1\$1 はドメインユニット 2 のメンバーシッププールの一部であるため、ドメインユニット 2 のプロジェクトに追加できます。ユーザー \$1U3、G2\$1 はメンバーシッププールに含まれていないため、プロジェクトに追加できません。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario2.png)
**シナリオ 3** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario3.png)
+ 両方のメンバーシッププールにまたがるユーザーの交差は \$1U1、U2、G1\$1 です。
+ ユーザー \$1U1、U2、G1\$1 は、ドメインユニット 3 のプロジェクトに追加できます。
+ ユーザー \$1U3、G2\$1 は、[すべてのユーザー] と [すべてのグループ] がルートドメインユニットレベルのメンバーシッププールに含まれる場合でも、ドメインユニット 3 のプロジェクトには追加できません。
**シナリオ 4** - メンバーシッププールの交差: 異なるドメインユニット階層レベルにメンバーシッププールがある場合、すべてのメンバーシッププールに含まれるユーザーとグループのみをプロジェクトに追加できます。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario4.png)
+ 両方のメンバーシッププールにまたがるユーザーの交差は \$1U1、U2、G1\$1 です。
+ ドメインユニット 4 のメンバーシッププールは \$1すべてのユーザー / グループ\$1 ですが、メンバーシッププールはルートドメイン \$1U1、U2、G1\$1 のメンバーシッププールを超えて拡張することはできません。
+ ユーザー \$1U3、G2\$1 は、[すべてのユーザー] と [すべてのグループ] がドメインユニット 4 のメンバーシッププールに含まれる場合でも、ドメインユニット 4 のプロジェクトには追加できません。
**シナリオ 5** - ユーザー \$1U1、G1\$1 は、ルートドメインとドメインユニット 5 の間のメンバーシッププールの交差部分に含まれるためプロジェクト 5 に追加できます。3 つのメンバーシッププールの交差が空であるため、プロジェクト 6 にユーザー/グループを追加することはできません。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario5.png)
**シナリオ 6** - 3 つのメンバーシッププールすべてにまたがって交差しているため、ユーザー \$1U1\$1 のみをプロジェクト 8 に追加できることを意味します。ドメインユニット 8 の交差しているプールは \$1U1\$1、\$1U1\$1、\$1U1、U2\$1 で、この 3 つの間で共通しているのは \$1U1\$1 のみです。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario6.png)
**シナリオ 7** - ユーザー \$1U1、U2、G1\$1 は、ルートドメインのメンバーシッププールの一部としてルートドメインのプロジェクトに追加できます。メンバーシッププールが \$1すべてのユーザー/グループ\$1 で構成されているため、ドメインユニット 9 のプロジェクトには、任意のユーザーも任意のグループも追加できます。これは、その上のルートドメインにおいてカスケードが false に設定されているためです。
![\[ドメインユニットの階層におけるプロジェクトメンバーシップポリシー\]](http://docs.aws.amazon.com/ja_jp/datazone/latest/userguide/images/scenario7.png)
# Amazon DataZone ドメインユニット内のプロジェクトに認可ポリシーを割り当てる
Amazon DataZone ドメインユニットを使用すると、特定のビジネスユニットとチームが管理するアセットやその他のドメインエンティティを整理できます。詳細については、「[Amazon DataZone の用語と概念](datazone-concepts.md)」を参照してください。
Amazon DataZone ドメインユニットでは、プロジェクトに次の認可ポリシーを割り当て、このドメインユニット内のさまざまな許可権限をこれらのエンティティに付与できます。
+ 用語集作成ポリシー
+ メタデータフォーム作成ポリシー
+ カスタムアセットタイプ作成ポリシー
ドメインユニット内のプロジェクトに認可ポリシーを割り当てるには、以下の手順を実行します。
1. Amazon DataZone データポータル URL に移動し、シングルサインオン (SSO) または AWS 認証情報を使用してサインインします。Amazon DataZone 管理者の場合は、[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、ドメインが作成された AWS アカウント でサインインすると、**[データポータルを開く]** を選択できます。
1. **[ドメインを管理]** を選択し、認可ポリシーを割り当てるドメインとドメインユニットを選択します。
1. ドメインユニットの詳細ページで、割り当てる認可ポリシーを選択し、[設定] を選択します。
# Amazon DataZone ブループリント設定内で認可ポリシーを割り当てる
Amazon DataZone で許可メカニズムを使用するもう 1 つの方法は、Amazon DataZone ブループリント設定内のプロジェクトとドメインユニットの所有者に認可ポリシーを適用することです。
Amazon DataZone ブループリント設定は、ユーザーワークフローの公開とサブスクライブに使用されるリソースを作成および設定するために必要な情報をカプセル化するエンティティです。この情報には、 AWS アカウント番号とリージョン、CFN テンプレート、VPCs やサブネットなどのアカウントレベルのパラメータが含まれ、データベース接続情報と認証情報を含めることもできます。コストを制御してセキュリティを向上させるには、これらのブループリントを使用して環境を作成できるユーザーを制御する機能がデータプラットフォームユーザーには必要です。
特定のブループリント設定内で、プロジェクトとドメインユニットの所有者に次の認可ポリシーを割り当てることができます。
+ このブループリントを使用して環境プロファイルを作成する - このポリシーは Amazon DataZone プロジェクトに割り当てることができ、このブループリントを使用して環境プロファイルを作成することをプロジェクトに許可します。
+ このブループリントを使用して環境プロファイルを作成するアクセス許可を付与する - このポリシーはドメインユニットの所有者に割り当てることができ、このブループリントを使用して環境プロファイルを作成するアクセス許可をプロジェクトに付与することを所有者に許可します。
**Amazon DataZone データポータルを介してブループリント設定から、**[このブループリントを使用して環境プロファイルを作成する]** 認可ポリシーをプロジェクトに割り当てる**
1. Amazon DataZone データポータル URL に移動し、シングルサインオン (SSO) または AWS 認証情報を使用してサインインします。Amazon DataZone 管理者の場合は、[https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、ドメインが作成された AWS アカウント でサインインすると、**[データポータルを開く]** を選択できます。
1. データポータルで、使用する有効なブループリントがあるドメインを選択し、**[ブループリント設定]** タブに移動します。
1. **[ブループリント設定]** タブで、使用する有効なブループリントを選択し、このブループリントの詳細ページで **[許可ポリシー]** タブに移動してから、**[このブループリントを使用して環境プロファイルを作成する]** 認可ポリシーを選択します。
1. **[このブループリントを使用して環境プロファイルを作成する]** 認可ポリシーの詳細ページで、**[アクション]** を展開し、**[プロジェクトを追加]** を選択します。
1. **[プロジェクトを追加]** ポップアップウィンドウでは、次のいずれかを実行できます。
+ **[ドメインユニット内のすべてのプロジェクト]** オプションを選択し、このブループリントを使用して環境プロファイルを作成することを許可するプロジェクトを含んだドメインユニットを検索して指定し、**[プロジェクトを追加]** を選択します。
+ **[ドメインユニットで選択したプロジェクト]** オプションを選択し、このポリシーを割り当てるプロジェクトを含んだドメインユニットを検索して指定します。さらに、このポリシーを割り当てるプロジェクト検索して選択し、**[プロジェクトを追加]** を選択します。
**Amazon DataZone マネジメントコンソールを介してブループリント設定から、**[このブループリントを使用して環境プロファイルを作成するアクセス許可を付与する]** 認可ポリシーをドメインユニットの所有者に割り当てる**
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。
1. Amazon DataZone コンソールで、使用する有効なブループリントがあるドメインを選択し、**[ブループリント]** タブに移動します。
1. **[ブループリント]** タブで、使用する有効なブループリントを選択し、ブループリントの詳細ページで、**[委任された権限]** タブに移動します。
1. **[委任された権限]** タブで、**[このブループリントを使用して環境プロファイルを作成するアクセス許可を付与する]** ポリシーを割り当てる所有者のドメインユニットを検索して選択し、**[委任された権限の追加]** を選択します。