Amazon DataZone に Lake Formation アクセス許可を設定する
組み込みのデータレイクブループリント (DefaultDataLake) を使用して環境を作成すると、この環境の作成プロセスの一環として AWS Glue データベースが Amazon DataZone に追加されます。この AWS Glue データベースからアセットを公開する場合は、追加のアクセス許可は必要ありません。
ただし、Amazon DataZone 環境の外部に存在する AWS Glue データベースからアセットを公開してサブスクライブする場合は、この外部 AWS Glue データベースのテーブルにアクセスするアクセス許可を Amazon DataZone に明示的に提供する必要があります。これを行うには、AWS Lake Formation で次の設定を完了し、必要な Lake Formation アクセス許可を AmazonDataZoneGlueAccess-<region>-<domainId> にアタッチする必要があります。
-
Lake Formation アクセス許可モードまたはハイブリッドアクセスモードを使用して、AWS Lake Formation でデータレイクの Amazon S3 の場所を設定します。詳細については、https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html を参照してください。
-
Amazon DataZone がアクセス許可を処理する Amazon Lake Formation テーブルから
IAMAllowedPrincipalsアクセス許可を削除します。詳細については、https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation-background.html を参照してください。 -
AmazonDataZoneGlueAccess-<region>-<domainId> に次の AWS Lake Formation アクセス許可をアタッチします。
-
テーブルが存在するデータベースに対する
DescribeおよびDescribe grantableアクセス許可 -
DataZone がユーザーに代わってアクセスを管理する上記のデータベース内のすべてのテーブルに対する、
Describe、Select、Describe Grantable、Select Grantableアクセス許可。
-
注記
Amazon DataZone は AWS Lake Formation ハイブリッドモードをサポートしています。Lake Formation ハイブリッドモードでは、Lake Formation を通じて AWS Glue データベースとテーブルに対するアクセス許可の管理を開始できます。また、これらのテーブルとデータベースに対する既存の IAM アクセス許可は引き続き維持できます。詳細については、Amazon DataZone と AWS Lake Formation ハイブリッドモードの統合 を参照してください。
詳細については、「Amazon DataZone の AWS Lake Formation アクセス許可のトラブルシューティング」を参照してください。
