Amazon DataZone と AWS Lake Formation ハイブリッドモードの統合
Amazon DataZone は AWS Lake Formation ハイブリッドモードと統合されています。この統合により、最初に AWS Lake Formation に登録しなくても、Amazon DataZone を介して AWS Glue テーブルを簡単に公開して共有できます。ハイブリッドモードでは、これらのテーブルに対する既存の IAM アクセス許可を維持したまま、AWS Lake Formation を通じて AWS Glue テーブルに対するアクセス許可の管理を開始できます。
開始するには、Amazon DataZone マネジメントコンソールの DefaultDataLake ブループリントで [データの場所の登録] の設定を有効にします。
AWS Lake Formation ハイブリッドモードとの統合を有効にする
-
Amazon DataZone コンソール (https://console.aws.amazon.com/datazone
) に移動し、アカウントの認証情報を使用してサインインします。 -
[ドメインを表示] を選択し、AWS Lake Formation ハイブリッドモードとの統合を有効にするドメインを選択します。
-
ドメインの詳細ページで、[ブループリント] タブに移動します。
-
[ブループリント] リストから、DefaultDataLake ブループリントを選択します。
-
DefaultDataLake ブループリントが有効になっていることを確認します。有効になっていない場合は、「Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする」の手順に従って AWS アカウントで有効にします。
-
DefaultDataLake の詳細ページで、[プロビジョニング] タブを開き、ページの右上隅にある [編集] ボタンを選択します。
-
[データの場所の登録] でチェックボックスをオンにしてデータの場所の登録を有効にします。
-
データの場所の管理ロールでは、新しい IAM ロールを作成するか、既存の IAM ロールを選択できます。Amazon DataZone では、このロールを使用して、AWS Lake Formation ハイブリッドアクセスモードでの、データレイク用に選択した Amazon S3 バケット (複数可) への読み取り/書き込みアクセスを管理します。詳細については、「AmazonDataZoneS3Manage-<region>-<domainId>」を参照してください。
-
オプションで、Amazon DataZone でハイブリッドモードにより自動的に登録しない場合は、特定の Amazon S3 の場所を除外できます。その場合、次の手順を完了します。
-
トグルボタンを選択して、指定した Amazon S3 の場所を除外します。
-
除外する Amazon S3 バケットの URL を指定します。
-
バケットをさらに追加するには、[S3 の場所を追加] を選択します。
注記
Amazon DataZone では、ルート S3 の場所のみを除外できます。ルート S3 の場所のパス内にある S3 の場所は、自動的に登録から除外されます。
-
[変更を保存] を選択します。
-
AWS アカウントで [データの場所登録] の設定を有効にした場合、データコンシューマーが IAM アクセス許可で管理されている AWS Glue テーブルをサブスクライブすると、Amazon DataZone はまずこのテーブルの Amazon S3 ロケーションをハイブリッドモードで登録し、次に AWS Lake Formation を通じてテーブルのアクセス許可を管理することでデータコンシューマーへのアクセスを許可します。これにより、既存のワークフローを中断することなく、新しく付与された AWS Lake Formation のアクセス許可を使用して、テーブルへの IAM アクセス許可を存続させることができます。
Amazon DataZone で AWS Lake Formation ハイブリッドモードの統合を有効にする場合に、暗号化された Amazon S3 の場所を処理する方法
カスタマーマネージドまたは AWS マネージド KMS キーで暗号化された Amazon S3 の場所を使用している場合は、AmazonDataZoneS3Manage ロールには KMS キーでデータを暗号化および復号するためのアクセス許可が必要です。または、KMS キーポリシーでキーに対するアクセス許可をロールに付与する必要があります。
Amazon S3 の場所が AWS マネージドキーで暗号化されている場合は、AmazonDataZoneDataLocationManagement ロールに次のインラインポリシーを追加します。
Amazon S3 の場所がカスタマーマネージドキーで暗号化されている場合は、以下を実行します。
-
AWS KMS コンソール (https://console.aws.amazon.com/kms
) を開き、AWS Identity and Access Management (IAM) 管理ユーザー、または場所の暗号化に使用された KMS キーのキーポリシーを変更できるユーザーとしてログインします。 -
ナビゲーションペインで [カスタマーマネージドキー] を選択してから、目的の KMS キーの名前を選択します。
-
KMS キーの詳細ページで [キーポリシー] タブを選択してから、以下のいずれかを行って、カスタムロールまたは Lake Formation サービスリンクロールを KMS キーユーザーとして追加します。
-
デフォルトのビューが (キー管理者、キー削除、キーユーザー、その他の AWS アカウントセクションとともに) 表示されている場合は – [キーユーザー] セクションに AmazonDataZoneDataLocationManagement ロールを追加します。
-
キーポリシー (JSON) が表示されている場合 – 次の例に示すように、ポリシーを編集して AmazonDataZoneDataLocationManagement ロールを「キーの使用を許可」オブジェクトに追加します
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
注記
KMS キーまたは Amazon S3 の場所が データカタログと同じ AWS アカウントにない場合は、「AWS アカウント間での暗号化された Amazon S3 の場所の登録」の手順を実行してください。
