本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon DataZone 定制 AWS 服务蓝图
<a name="working-with-custom-blueprint"></a>

在亚马逊中 DataZone，自定义 AWS 服务蓝图允许您通过 DataZone 将亚马逊配置为使用您自己已在组织中设置的现有 AWS 身份和访问管理 (IAM) 角色和 AWS 服务，从而优化资源使用和成本。

用于创建 Amazon DataZone 环境的蓝图定义了该环境所属项目的成员在处理 Amazon DataZone 目录中的资产时可以使用哪些工具和服务。在当前版本的 Amazon 中 DataZone，有以下内置蓝图：
+ 数据湖蓝图
+ 数据仓库蓝图
+ 亚马逊 SageMaker 蓝图

借助 Amazon DataZone 定制 AWS 服务蓝图，您可以创建针对您当前在组织中使用的任何 AWS 服务进行定制的环境和项目。借助自定义蓝图，您可以将 Amazon 纳入现有的数据管道 DataZone 中，方法是将其配置为使用现有的 IAM 角色来增强对基础设施设置的监管，并就业务计划进行协作。

**重要**  
借助亚马逊 DataZone 定制 AWS 服务打印，您可以将现有的亚马逊 SageMaker 域名迁移到亚马逊 DataZone。借助此功能，管理员现在可以通过从 Amazon SageMaker 域中导入其现有授权用户、安全配置和策略来设置 Amazon DataZone 项目。有关更多信息，请参阅[设置 SageMaker 资产（管理员指南）](https://docs.aws.amazon.com/sagemaker/latest/dg/sm-assets-set-up.html)。

**Topics**
+ [启用自定义 AWS 服务蓝图](enable-custom-blueprint.md)
+ [使用自定义 AWS 服务蓝图创建环境](create-custom-environment.md)
+ [在自定义 AWS 服务环境中创建操作](configure-custom-environment-actions.md)
+ [将项目成员添加到自定义 AWS 服务环境](add-project-members-to-custom-environment.md)
+ [在 AWS 服务环境中配置数据源](configure-data-source-in-custom-environment.md)
+ [在 AWS 服务环境中配置订阅目标](configure-subscription-target-in-custom-environment.md)

# 启用自定义 AWS 服务蓝图
<a name="enable-custom-blueprint"></a>

完成以下步骤以在您的域中启用自定义 AWS 服务蓝图。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择 “**查看域**”，然后选择要在其中启用自定义 AWS 服务蓝图的域。

1. 选择**蓝图**选项卡，再从可用蓝图列表中选择 **AWS 服务**蓝图，然后选择**启用**。

# 使用自定义 AWS 服务蓝图创建环境
<a name="create-custom-environment"></a>

完成以下过程，使用自定义 AWS 服务蓝图创建环境。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择 “**查看域**”，然后选择启用自定义 AWS 服务蓝图的域。

1. 选择**蓝图**选项卡，再选择已启用的 **AWS 服务**蓝图，然后选择**创建环境**。

1. 在**创建环境**页面上，指定以下内容，然后选择**创建环境**：
   + **名称** – 指定环境的名称。
   + **描述** – 指定环境的描述。
   + **项目** – 为环境指定新的或现有的所属项目。项目使一群用户能够发现、发布、订阅和使用 Amazon 中的资产 DataZone。该环境将可供指定项目的所有成员使用。所有环境都归其用户有权访问环境的项目所有。
   + **环境角色**-指定一个现有 IAM 角色，该角色将授予亚马逊在此环境中 DataZone 访问您的现有 AWS 服务和资源（例如 Amazon S3 和 AWS Glue）的权限。
**注意**  
Amazon DataZone 不会为您配置此角色。您必须拥有一个现有 IAM 角色，该角色具有您想要在此环境中启用的现有 AWS 服务和资源的权限。  
确保该 IAM 角色具有所需的最低权限，换句话说，缩小范围以仅提供对要在此环境中启用的 AWS 服务和资源的访问权限。  
您可以使用 AWS 策略生成器来构建符合您要求的策略，并将其附加到您要使用的自定义 IAM 角色。  
确保该角色以 `AmazonDataZone` 开头以便遵循约定。虽然这不是强制性要求，但建议您这样做。如果 IAM 管理员使用的是 `AmazonDataZoneFullAccess` 策略，则必须遵循此约定，因为存在传递角色检查验证。  
在创建自定义角色时，请确保它在信任策略中信任 `datazone.amazonaws.com`：  

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": [
                         "datazone.amazonaws.com"
                     ]
                 },
                 "Action": [
                     "sts:AssumeRole",
                     "sts:TagSession"
                 ]
             }
         ]
     }
     ```
   + **AWS region-指定要在其中创建此环境的 AWS 区域。**

# 在自定义 AWS 服务环境中创建操作
<a name="configure-custom-environment-actions"></a>

完成以下步骤以在自定义 AWS 服务环境中创建操作。通过在自定义 AWS 服务环境中创建操作，您可以将指向 Amazon DataZone 数据门户的深度链接添加到该环境中可用的分析工具。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择 “**查看域**”，然后选择启用自定义 AWS 服务蓝图的域。

1. 选择**蓝图**选项卡，再选择已启用的 **AWS 服务**蓝图，然后选择要在其中添加操作的 AWS 服务环境。

1. 在 AWS 控制台链接页面上，从 “**热门链接” 或 “**自定义 AWS **链接” 部分中选择 AWS 链接**（操作），以启用通过 DataZone 亚马逊数据门户指向您的 Amazon S3 存储桶、Amazon Athena AWS 工作组、Glue 任务或该环境中 AWS 任何其他自定义控制台资源的深度链接。

1. 如果您使用此环境的**摘要**部分中的**数据门户链接**在数据门户中导航到此环境，则可以在**分析工具**部分下看到您添加的深度链接。

# 将项目成员添加到自定义 AWS 服务环境
<a name="add-project-members-to-custom-environment"></a>

完成以下步骤，将项目成员添加到 AWS 服务环境。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择 “**项目**” 选项卡，然后在 AWS 服务环境中选择要向其中添加成员的项目。

1. 选择**添加**，再在**添加成员**页面上，查找并添加 **IAM 用户**、**SSO 用户**或 **SSO 组**中的成员。将分配的项目角色指定为**所有者**、**贡献者**、**使用者**、**管理者**或**查看者**。在查找并添加成员后，选择**添加成员**。

# 在 AWS 服务环境中配置数据源
<a name="configure-data-source-in-custom-environment"></a>

完成以下步骤，在 AWS 服务环境中配置数据源。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择**蓝图**选项卡，然后选择自定义 AWS 服务蓝图。

1. 在 “**已创建**的环境” 下，选择要在其中配置数据源的 AWS 服务环境。

1. 选择**数据来源**选项卡，再选择**添加**，指定以下内容，然后选择**添加**。
   + **名称** – 数据来源名称。
   + **资源** ——选择 AWS Glue 或 Amazon Redshift。
     + 对于 AWS Glue，请指定资源数据库。
     + 对于 Amazon Redshift，选择**集群**或**无服务器**，然后指定 **Redshift 凭证**，包括新的或现有的 AWS 密钥、创建环境时要使用的集群或无服务器工作组、创建环境时要使用的数据库以及指定数据库中的架构。
   + **权限**-指定一个管理访问角色，该角色将授权亚马逊 DataZone 提取和管理对 La AWS ke Formation 中表的访问权限（适用于 G AWS lue），或者授予亚马逊采集和管理对亚马逊 DataZone Redshift 中表的访问权限的授权。
   + **用于数据消费**-在亚马逊中 DataZone，项目成员可以通过订阅目标 DataZone使用数据，亚马逊使用订阅目标来访问您在项目中订阅的数据。指定是否也将此数据来源添加为订阅目标。

# 在 AWS 服务环境中配置订阅目标
<a name="configure-subscription-target-in-custom-environment"></a>

完成以下过程可在 AWS 服务环境中配置订阅目标。

1. 登录 AWS 管理控制台并在 [https://console.aws.amazon.com/data](https://console.aws.amazon.com/datazone) zone 上打开亚马逊 DataZone 管理控制台。

1. 选择**蓝图**选项卡，然后选择 AWS 服务蓝图。

1. 在 “**已创建的环境**” 下，选择要在其中配置订阅目标的 AWS 服务环境。

1. 选择**订阅目标**选项卡，再选择**添加**，指定以下内容，然后选择**添加**。
   + **名称** – 订阅目标名称。
   + **资源** ——选择 AWS Glue 或 Amazon Redshift。
     + 对于 AWS Glue，请指定资源数据库。
     + 对于 Amazon Redshift，选择**集群**或**无服务器**，然后指定 **Redshift 凭证**，包括新的或现有的 AWS 密钥、创建环境时要使用的集群或无服务器工作组、创建环境时要使用的数据库以及指定数据库中的架构。
   + **权限**-指定一个管理访问角色，该角色将授权亚马逊 DataZone 提取和管理对 La AWS ke Formation 中表的访问权限（适用于 G AWS lue），或者授予亚马逊采集和管理对亚马逊 DataZone Redshift 中表的访问权限的授权。
   + **用于数据消费**-在 Amazon 中 DataZone，您可以通过允许提取元数据的数据源将数据发布到数据目录中。指定是否也将此订阅目标添加为数据来源。