Amazon DataZone：管理数据访问

域是可扩展的构建基块，可帮助您安全地组织与业务团队或业务线（LOB）相匹配的资源。域可以灵活地反映您的组织结构。在这些托管的域中，您可以创建使用元数据表单和业务词汇表的特定于业务的分类标准。如此一来，您将可以在目录中以特定域发布资产。然后，该域会管理数据，并控制对关联资源的访问权限。

发布和订阅工作流程可帮助您创建分布式数据所有权和联合治理模型，以用于数据共享和消费。通过为消费者配置订阅规则，数据生产者可以发布、拥有和管理其数据资产。然后，数据消费者在与数据所有者共同完成审批工作流程后，即可访问他们感兴趣的数据。

自动实现对底层数据集的订阅，并为由 AWS Lake Formation 托管的 AWS Glue 表以及 Amazon Redshift 表和视图管理权限。对于所有其他资产，Amazon DataZone 会发送与用户操作相关的标准事件，例如订阅请求或批准。您可以使用这些标准事件与其他 AWS 服务或第三方解决方案集成，以实现自定义集成。

Amazon DataZone 抽象了生产者和消费者之间的数据共享过程。域通过订阅批准流程推进了对下游消费者的访问控制，从而支持来自任何账户和受支持的 AWS 区域的消费者。

您可以为团队、工具和数据创建基于业务应用场景的分组。分析用户通过自助服务方式访问数据和分析工具，进而实现无缝协作。管理员可以在一个地方管理所有用户对数据的访问权限。借助 Amazon DataZone，您可以根据组织政策向用户和系统授予访问权限。

借助域，您可以更安全地组织资源，使其与由业务驱动的域（如 LOB）保持一致。域是 Amazon DataZone 对象（例如数据资产、项目、关联的 AWS 账户和数据来源）的集合。对您、您的团队和相关的 Amazon DataZone 实体（包括像 Amazon Athena 和 Amazon Redshift 查询编辑器这样的分析工具）来说，域是一种可扩展的容器。您可以在目录中以管理数据的特定域发布资产。然后，对于可以访问该域的相关 AWS 账户和资源，您可以控制其访问权限。域提供了一种机制，可以为在业务数据目录中生产和编目数据的团队灌输组织原则。您可以将目录中的数据资产发布到特定域，这有助于您管理数据并控制数据消费者的访问权限。一个域可以有多个由业务使用案例驱动的项目，人们可以在其中协作。