Amazon Athena の開始方法 - AWS HealthLake
アクセス権の付与Athena の開始方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Athena の開始方法

HealthLake を Amazon Athena と統合するには、アクセス許可を設定する必要があります。これを行うには、Athena ユーザー、グループ、またはロールを作成し、HealthLake データストア内にある FHIR リソースへのアクセスを許可します。

ユーザー、グループ、またはロールに HealthLake データストアへのアクセスを許可する (AWS Lake Formation コンソール)

ペルソナ: HealthLake 管理者

HealthLake 管理者ペルソナは、 AWS Lake Formation のデータレイク管理者です。Lake Formation の HealthLake データストアへのアクセスを許可します。

作成されたデータストアごとに、 AWS Lake Formation コンソールに 2 つのエントリが表示されます。1 つのエントリはリソースリンクです。リソースリンク名は常に斜体で表示されます。各リソースリンクには、リンクされた共有リソースの名前と所有者が表示されます。すべての HealthLake データストアで、共有リソース所有者は HealthLake サービスアカウントです。もう 1 つのエントリは、HealthLake サービスアカウントの HealthLake データストアです。この手順のステップでは、リソースリンクであるデータストアを使用します。

リソースリンクの詳細については、Lake Formation デベロッパーガイドの「Lake Formation でのリソースリンクの仕組みAWS 」を参照してください。

ユーザー、グループ、またはロールが Athena でデータをクエリできるようにするには、リソースデータベースに対する Describe アクセス許可を付与する必要があります。次に、テーブルに SelectDescribe を付与する必要があります。

ステップ 1: HealthLake データストアリソースリンクデータベースに DESCRIBE アクセス許可を付与するには

  1. AWS Lake Formation コンソールを開きます: https://console.aws.amazon.com/lakeformation/

  2. プライマリナビゲーションバーで、データベースを選択します。

  3. データベースページで、斜体のデータストアの名前の横にあるラジオボタンを選択します。

  4. アクション (▼) を選択します。

  5. [Grant] (付与) を選択します。

  6. データ許可の付与ページのプリンシパルで、IAM ユーザーまたはロールを選択します。

  7. IAM ユーザーまたはロールで、下矢印 (▼) を使用するか、Athena でクエリを実行できるようにする IAM ユーザー、ロール、またはグループを検索します。

  8. LF タグまたはカタログリソースカードで、名前付きデータカタログリソースオプションを選択します。

  9. データベースで、下矢印 (▼) を使用して、アクセスを共有する HealthLake データストアデータベースを選択します。

  10. リソースリンクのアクセス許可カードで、リソースリンクのアクセス許可で、説明を選択します。

権限が成功すると、権限付与の成功バナーが表示されます。先ほど付与したアクセス許可を表示するには、データレイクのアクセス許可を選択します。テーブルでユーザー、グループ、ロールを見つけます。アクセス許可列の下に、Describe が表示されます。

次に、ターゲットで Grant を使用して、データベース内のすべてのテーブルで SelectDescribe を付与する必要があります。

ステップ 2: HealthLake データストアリソースリンク内のすべてのテーブルへのアクセスを許可する

  1. AWS Lake Formation コンソールを開きます: https://console.aws.amazon.com/lakeformation/

  2. プライマリナビゲーションバーで、データベースを選択します。

  3. データベースページで、斜体のデータストアの名前の横にあるラジオボタンを選択します。

  4. アクション (▼) を選択します。

  5. ターゲットの付与を選択します。

  6. データ許可の付与ページのプリンシパルで、IAM ユーザーまたはロールを選択します。

  7. IAM ユーザーまたはロールで、下矢印 (▼) を使用するか、Athena でクエリを実行できるようにする IAM ユーザー、グループ、またはロールを検索します。

  8. LF タグまたはカタログリソースカードで、名前付きデータカタログリソースオプションを選択します。

  9. Databases で、下矢印 (▼) を使用して、アクセス権を付与する HealthLake データストアデータベースを選択します。

  10. Tables で、すべてのテーブルを選択して、すべてのテーブルを HealthLake ユーザーと共有します。

  11. テーブルのアクセス許可カードで、テーブルのアクセス許可で、説明選択を選択します。

  12. [Grant] (付与) を選択します。

grant を選択すると、Grant permissions success バナーが表示されます。指定されたユーザーは、Athena の HealthLake データストアに対してクエリを実行できるようになりました。

Athena の開始方法

HealthLake ユーザー

HealthLake ユーザーは、Athena コンソール AWS CLI、または AWS SDKs を使用して、HealthLake 管理者によって共有されている HealthLake データストアをクエリします。

Athena を使用してデータストアをクエリするには、次の 3 つのことを行う必要があります。

Athena の使用を開始するには、AmazonAthenaFullAccess および AmazonS3FullAccess AWS 管理ポリシーをユーザー、グループ、またはロールに追加します。 AWS マネージドポリシーを使用すると、新しいサービスの使用を開始できます。AWS 管理ポリシーは、すべての AWS のお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。IAM ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。IAM と最小権限の適用の詳細については、「IAM ユーザーガイド」の「最小権限の適用」を参照してください。

重要

Athena で HealthLake データストアをクエリするには、Athena エンジンバージョン 3 を使用する必要があります。

ワークグループはリソースであるため、IAM ベースのポリシーを使用して特定のワークグループへのアクセスを制御できます。詳細については、「Athena ユーザーガイド」の「ワークグループを使用してクエリのアクセスとコストを制御する」を参照してください。

ワークグループの設定の詳細については、Athena ユーザーガイドhttps://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.htmlの「」を参照してください。

注記

Amazon S3 バケットがあるリージョンで、Athena コンソールが一致している必要があります。

クエリを実行する前に、Amazon S3 のクエリ結果バケットの場所を指定しておく、または指定されたバケットがあり、その設定がクライアント設定を上書きするワークグループを使用する必要があります。出力ファイルは、実行されるすべてのクエリに対して自動的に保存されます。

Athena コンソールでのクエリ結果の場所の指定の詳細については、Amazon Athena ユーザーガイド Amazon Athena「Athena コンソールを使用したクエリ結果の場所の指定」を参照してください。

Athena で HealthLake データストアをクエリする方法の例については、「」を参照してくださいSQL を使用した HealthLake データのクエリ