Amazon DataZone と AWS Lake Formation ハイブリッドモードの統合 - Amazon DataZone
Amazon DataZone で AWS Lake Formation ハイブリッドモード統合を有効にするときに暗号化された Amazon S3 の場所を処理する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DataZone と AWS Lake Formation ハイブリッドモードの統合

Amazon DataZone は AWS Lake Formation ハイブリッドモードと統合されています。この統合により、最初に AWS Lake Formation AWS に登録することなく、Amazon DataZone を介して Glue テーブルを簡単に公開および共有できます。ハイブリッドモードでは、これらのテーブルに対する既存の IAM アクセス許可を維持したまま、 AWS Lake Formation を通じて AWS Glue テーブルに対するアクセス許可の管理を開始できます。

開始するには、Amazon DataZone マネジメントコンソールの DefaultDataLake ブループリントで [データの場所の登録] の設定を有効にします。

AWS Lake Formation ハイブリッドモードとの統合を有効にする

  1. https://console.aws.amazon.com/datazone で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。

  2. ドメインを表示を選択し、 AWS Lake Formation ハイブリッドモードとの統合を有効にするドメインを選択します。

  3. ドメインの詳細ページで、[ブループリント] タブに移動します。

  4. [ブループリント] リストから、DefaultDataLake ブループリントを選択します。

  5. DefaultDataLake ブループリントが有効になっていることを確認します。有効になっていない場合は、「Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする」の手順に従って AWS アカウントで有効にします。

  6. DefaultDataLake の詳細ページで、[プロビジョニング] タブを開き、ページの右上隅にある [編集] ボタンを選択します。

  7. [データの場所の登録] でチェックボックスをオンにしてデータの場所の登録を有効にします。

  8. データの場所の管理ロールでは、新しい IAM ロールを作成するか、既存の IAM ロールを選択できます。Amazon DataZone はこのロールを使用して、 AWS Lake Formation ハイブリッドアクセスモードを使用して、Data Lake 用に選択した Amazon S3 バケット (複数可) への読み取り/書き込みアクセスを管理します。詳細については、「AmazonDataZoneS3Manage-<region>-<domainId>」を参照してください。

  9. オプションで、Amazon DataZone でハイブリッドモードにより自動的に登録しない場合は、特定の Amazon S3 の場所を除外できます。その場合、次の手順を完了します。

    • トグルボタンを選択して、指定した Amazon S3 の場所を除外します。

    • 除外する Amazon S3 バケットの URL を指定します。

    • バケットをさらに追加するには、[S3 の場所を追加] を選択します。

      注記

      Amazon DataZone では、ルート S3 の場所のみを除外できます。ルート S3 の場所のパス内にある S3 の場所は、自動的に登録から除外されます。

    • [Save changes] (変更の保存) をクリックします。

アカウント AWS でデータロケーション登録設定を有効にすると、データコンシューマーが IAM アクセス許可で管理されている AWS Glue テーブルにサブスクライブすると、Amazon DataZone はまずこのテーブルの Amazon S3 ロケーションをハイブリッドモードで登録し、 AWS Lake Formation でテーブルに対するアクセス許可を管理してデータコンシューマーへのアクセスを許可します。これにより、既存のワークフローを中断することなく、テーブルに対する IAM アクセス許可が新しく付与された AWS Lake Formation アクセス許可で引き続き存在します。

Amazon DataZone で AWS Lake Formation ハイブリッドモード統合を有効にするときに暗号化された Amazon S3 の場所を処理する方法

カスタマーマネージドまたは AWS マネージド KMS キーで暗号化された Amazon S3 の場所を使用している場合は、AmazonDataZoneS3Manage ロールには KMS キーでデータを暗号化および復号するためのアクセス許可が必要です。または、KMS キーポリシーでキーに対するアクセス許可をロールに付与する必要があります。

Amazon S3 ロケーションが AWS マネージドキーで暗号化されている場合は、AmazonDataZoneDataLocationManagement ロールに次のインラインポリシーを追加します。


   {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "<AWS managed key ARN>"
    }
  ]

Amazon S3 の場所がカスタマーマネージドキーで暗号化されている場合は、以下を実行します。

  1. https://console.aws.amazon.com/kms で AWS KMS コンソールを開き、Identity and Access Management (IAM) 管理ユーザーとして AWS 、または場所の暗号化に使用される KMS キーのキーポリシーを変更できるユーザーとしてログインします。

  2. ナビゲーションペインで [カスタマーマネージドキー] を選択してから、目的の KMS キーの名前を選択します。

  3. KMS キーの詳細ページで [キーポリシー] タブを選択してから、以下のいずれかを行って、カスタムロールまたは Lake Formation サービスリンクロールを KMS キーユーザーとして追加します。

    • デフォルトビュー (キー管理者、キー削除、キーユーザー、その他の AWS アカウントセクションを含む) が表示されている場合は、キーユーザーセクションに AmazonDataZoneDataLocationManagement ロールを追加します。

    • キーポリシー (JSON) が表示されている場合 – 次の例に示すように、ポリシーを編集して AmazonDataZoneDataLocationManagement ロールを「キーの使用を許可」オブジェクトに追加します

      
...
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        ...
注記

KMS キーまたは Amazon S3 の場所がデータカタログと同じ AWS アカウント内にない場合は、「アカウント間で AWS 暗号化された Amazon S3 の場所を登録する」の手順に従います。