タグベースのアクセスコントロールを使用したデータ共有 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグベースのアクセスコントロールを使用したデータ共有

AWS Lake Formation タグベースのアクセスコントロール (LF-TBAC) は、属性に基づいてアクセス許可を定義する認可戦略です。以下の手順では、LF タグを使用してクロスアカウント許可を付与する方法を説明します。

プロデューサー/付与者アカウントで必要なセットアップ

  1. LF タグを追加します。

    1. Lake Formation コンソールにデータレイク管理者または LF タグ作成者としてサインインします。

    2. ナビゲーションペインで、[アクセス許可] の [LF タグとアクセス許可] を選択します。

    3. [Add LF-Tag] (LF タグを追加) を選択します。

      LF タグの作成手順については、「LF タグの作成」を参照してください。

  2. 自分のカウントまたは外部アカウントの IAM プリンシパルに、LF タグのキーと値のペアの記述および/または関連付けのアクセス許可を付与します。

    LF タグのキーと値のペアに対するアクセス許可を付与すると、プリンシパルは LF タグを表示し、それをデータカタログリソース (データベース、テーブル、列) に割り当てることができるようになります。

  3. 次に、データレイク管理者または関連付けアクセス許可を持つ IAM プリンシパルは、データベース、テーブル、または列に LF タグを割り当てることができます。詳細については、「Data Catalog リソースへの LF タグの割り当て」を参照してください。

  4. 次に、LF タグ式を使用して外部アカウントにデータアクセス許可を付与します。これにより、アクセス許可の被付与者または受領者は、同じキーと値でタグ付けされたデータカタログリソースにアクセスできます。

    1. ナビゲーションペインの [アクセス許可][データのアクセス許可] を選択します。

    2. [付与] を選択します。

    3. [アクセス許可の付与] ページで、[プリンシパル][外部アカウント] を選択し、外部プリンシパルに直接クロスアカウント付与を行う場合は、プリンシパルの被付与者 AWS アカウント ID もしくは IAM ロール、またはプリンシパルの Amazon リソースネーム (ARN) (プリンシパル ARN) を入力します。アカウント ID を入力した後、Enter キーを押します。

      外部アカウントと LF タグのキーと値のペアが指定されたアクセス許可の付与画面。

    4. [LF タグまたはカタログリソース] で、[LF タグに一致するリソース (推奨)] を選択します。

      1. オプションの [LF タグのキーと値のペア] または [保存された LF タグ式] を選択します。

      2. [LF タグのキーと値のペア] を選択した場合は、被付与者アカウントと共有されているデータカタログリソースに関連付けられている LF タグのキーと値を入力します。

        被付与者には、LF タグ式で一致する LF タグが割り当てられたデータカタログリソースに対するアクセス許可が付与されます。LF タグ式がタグキーごとに複数の値を指定する場合、タグ値のいずれかを一致させることができます。

    5. LF タグ式と一致するリソースに付与する、データベースレベルまたはテーブルレベルのアクセス許可を選択します。

      重要

      データレイク管理者は、共有リソースに対するアクセス許可を被付与者アカウント内のプリンシパルに付与する必要があるため、クロスアカウントアクセス許可は、常に付与オプションと共に付与される必要があります。

      詳細については、「コンソールを使用した LF-Tag アクセス許可の付与」を参照してください。

      注記

      クロスアカウント付与を直接受け取るプリンシパルには、[Grantable permissions] (付与可能なアクセス許可) オプションがありません。

受信者側/被付与者アカウントで必要なセットアップ

  1. Lake Formation コンソールにデータレイク管理者としてサインインします。

  2. 次に、コンシューマーアカウントでリソース共有を受け取ります。

    1. AWS RAM コンソールを開きます。

    2. ナビゲーションペインの [自分と共有]で、[リソース共有] を選択します。

    3. リソース共有を選択し、[リソース共有を受け入れる] を選択します。

  3. 別のアカウントとリソースを共有しても、そのリソースは引き続きプロデューサーアカウントに属し、Athena コンソール内には表示されません。リソースを Athena コンソールで表示するには、共有リソースを指すリソースリンクを作成する必要があります。リソースリンクの作成手順については、「共有 Data Catalog テーブルへのリソースリンクの作成」および「共有 Data Catalog データベースへのリソースリンクの作成」を参照してください。

    1. データカタログで [データベース] または [テーブル] を選択します。

    2. [データベース/テーブル] ページで、作成][リソースリンク] を選択します。

    3. データベースリソースリンクに次の情報を入力します。

      • リソースリンク名 – リソースリンクの一意の名前。

      • 送信先カタログ – リソースリンクを作成するカタログ。

      • 共有データベースのリージョン - 別のリージョンでリソースリンクを作成する場合は、共有するベースのリージョン。

      • 共有データベース – 共有データベースを選択します。

      • 共有データベースのカタログ ID – 共有データベースのカタログ ID を入力します。

    4. [作成] を選択します。新しく作成されたリソースリンクは、データベースリストに表示されます。

    同様に、共有テーブルへのリソースリンクを作成できます。

  4. ここで、リソースを共有する IAM プリンシパルへのリソースリンクに対する 記述アクセス許可を付与します。

    1. [データベース/テーブル]ページでリソースリンクを選択し、[アクション] メニューで、[付与] を選択します。

    2. [アクセス許可を付与] セクションで、[IAM ユーザーとロール] を選択します。

    3. リソースリンクへのアクセスを許可する IAM ロールを選択します。

    4. [リソースリンク] のアクセス許可セクションで、[記述] を選択します。

    5. [付与] を選択します。

  5. 次に、コンシューマーアカウントのプリンシパルに [LF タグのキーと値のアクセス許可] を付与します。

    共有されている LF タグは、Lake Formation コンソールのコンシューマーアカウントにある、[アクセス許可][LF タグとアクセス許可] で確認できます。付与者から共有されたタグを、データベース、テーブル、列を含む付与者アカウントから共有されたリソースに関連付けることができます。また、リソースに対するアクセス許可を他のプリンシパルに付与できます。

    画面には、アカウントの LF タグのアクセス許可が表示されます。

    1. ナビゲーションペインで、[アクセス許可][データレイクのアクセス許可] の順に移動し、[付与] を選択します。

    2. [アクセス許可の付与] ページで、[IAM ユーザーとロール] を選択します。

    3. 次に、アカウント内の IAM ユーザーとロールを選択して、共有データベース/テーブルへのアクセスを許可します。

    4. [LF タグまたはカタログリソース] で、[LF タグに一致するリソース] を選択します。

    5. 次に、共有されている LF タグのキーと値を選択します。

    6. 次に、IAM ユーザーとロールに付与するデータベースとテーブルのアクセス許可を選択します。また、IAM ユーザーとロールが他のユーザー/ロールにアクセス許可を付与できるようにする [付与可能なアクセス許可] を選択することもできます。

    7. [付与] を選択します。

    8. Lake Formation コンソールの [データのアクセス許可] でアクセス許可の付与を表示できます。