Amazon S3 Tables と AWS 分析サービスの統合の概要 - Amazon Simple Storage Service
統合の仕組み次のステップ

Amazon S3 Tables と AWS 分析サービスの統合の概要

アカウント内のテーブルを AWS 分析サービスからアクセスできるようにするには、Amazon S3 テーブルバケットを Amazon SageMaker Lakehouse と統合します。この統合により、AWS 分析サービスがテーブルデータを自動的に検出してアクセスできるようになります。この統合を使用して、以下のサービスのテーブルを操作できます。

注記

この統合では、AWS Glue および AWS Lake Formation サービスが使用され、AWS Glue リクエストとストレージのコストが発生する可能性があります。詳細については、AWS Glue の料金を参照してください。

S3 テーブルでクエリを実行する場合は、追加料金が適用されます。詳細については、使用しているクエリエンジンの料金情報を参照してください。

統合の仕組み

コンソールでテーブルバケットを作成すると、Amazon S3 は次のアクションを開始して、選択したリージョンのテーブルバケットを AWS 分析サービスと統合します。

  1. Lake Formation にすべてのテーブルバケットへのアクセスを許可する新しい AWS Identity and Access Management (IAM) サービスロールを作成します。

  2. サービスロールを使用して、Lake Formation は現在のリージョンにテーブルバケットを登録します。これにより、Lake Formation は、そのリージョン内のすべての現在および将来のテーブルバケットのアクセス、アクセス許可、ガバナンスを管理できます。

  3. s3tablescatalog カタログを現在のリージョンの AWS Glue Data Catalog に追加します。s3tablescatalog カタログを追加すると、すべてのテーブルバケット、名前空間、テーブルをデータカタログに入力できるようになります。

注記

これらのアクションは Amazon S3 コンソールを通じて自動化されています。この統合をプログラムで実装する場合は、これらの操作をすべて手動で実行する必要があります。

テーブルバケットの統合は AWS リージョンごとに 1 回行います。統合が完了すると、現在および将来のすべてのテーブルバケット、名前空間、およびテーブルが、そのリージョンの AWS Glue Data Catalog に追加されます。

次の図は、s3tablescatalog カタログが現在のリージョンのテーブルバケット、名前空間、テーブルをデータカタログ内の対応するオブジェクトとして自動的に入力する方法を示しています。テーブルバケットはサブカタログとして入力されます。テーブルバケット内の名前空間は、それぞれのサブカタログ内のデータベースとして入力されます。テーブルは、それぞれのデータベースにテーブルとして入力されます。

テーブルリソースが AWS Glue Data Catalog で表される方法
アクセス許可の仕組み

AWS Glue Data Catalog をメタデータストアとして使用するサービス間でテーブルデータを操作できるように、テーブルバケットを AWS 分析サービスと統合することをお勧めします。この統合により、AWS Lake Formation を通じてきめ細かなアクセスコントロールが可能になります。このセキュリティアプローチは、テーブルの操作前に AWS Identity and Access Management (IAM) アクセス許可に加えて、IAM プリンシパルにテーブルに対する Lake Formation 許可を付与する必要があることを意味します。

AWS Lake Formation には、2 つの主な許可タイプがあります。

  • メタデータに対するアクセス許可は、データカタログ内でメタデータデータベースとテーブルを作成、読み取り、更新、削除できるかどうかを制御します。

  • 基になるデータに対するアクセス許可は、データカタログリソースの参照先となる Amazon S3 の場所にデータを読み書きできるかどうかを制御します。

Lake Formation では、独自のアクセス許可モデルと IAM アクセス許可モデルを組み合わせて使用して、データカタログリソースと基になるデータへのアクセスを制御します。

  • データカタログリソースまたは基になるデータへのアクセスリクエストが成功するには、そのリクエストが IAM と Lake Formation の両方によるアクセス許可のチェックに合格する必要があります。

  • IAM アクセス許可は Lake Formation へのアクセス、AWS Glue の API とリソースへのアクセスを制御し、Lake Formation 許可はデータカタログリソース、Amazon S3 ロケーション、基になるデータへのアクセスを制御します。

Lake Formation 許可は付与されたリージョン内でのみ適用されます。プリンシパルが Lake Formation 許可を付与されるには、データレイク管理者または必要なアクセス許可を持つ別のプリンシパルによって認可される必要があります。

詳細については、AWS Lake Formation デベロッパーガイドの「Lake Formation 許可の概要」を参照してください。

S3 Tables と AWS 分析サービスの統合」のステップに従って、AWS Glue Data Catalog とテーブルリソースにアクセスし、AWS 分析サービスを操作するための適切なアクセス許可があることを確認してください。

次のステップ