クロスアカウントアクセス許可のカスケード

LF タグポリシーを使用して AWS アカウント間でデータを共有すると、は 2 つの主要な委任メカニズムを介してアクセス許可をカスケード AWS Lake Formation できるようにします。これらのメカニズムにより、コンシューマーアカウントの管理者は、プロデューサーアカウントが各コンシューマーの個々のアクセス許可を管理することなく、ユーザーとロールにアクセスを許可できます。

同じ LF タグポリシーを使用した委任 – LF タグポリシーが、プロデューサーアカウントがコンシューマーアカウントとリソースを共有するために使用する LF タグポリシーとまったく同じ場合、プリンシパルは付与可能なアクセス許可 () を使用してアクセス許可をカスケードできますPermissionsWithGrantOption。これにより、コンシューマーアカウントのプリンシパルは、アカウント内の他のプリンシパルに同じアクセス許可を付与できます。
アクセスDESCRIBE許可を使用した代替委任 – コンシューマーアカウントのプリンシパルは、タグと値のペアに対する DESCRIBE アクセス許可がある場合、付与可能なアクセス許可 (PermissionsWithGrantOption) を必要とせずにアクセス許可をカスケードできます。このアプローチは、プロデューサーアカウントとコンシューマーアカウントでアクセス許可ポリシーが異なる場合にのみ機能します。

これらの委任メカニズムを理解することは、適切なクロスアカウントデータ共有とセキュリティ管理にとって重要です。アクセス許可がデータ所有者からコンシューマーにどのように流れるかを決定します。

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

タグベースのアクセスコントロールを使用したデータ共有

アクセス許可のカスケードルール