Lake Formation でのクロスアカウントデータ共有

Lake Formation では、名前付きリソース方式や LF タグを使った簡単な設定で、AWS アカウント内やアカウント間で Data Catalog リソース (データベースやテーブル) を共有することができます。データベース全体を共有することも、データベースからテーブルを選択して、アカウント内の任意の IAM プリンシパル (IAM ロールとユーザー)、アカウントレベルの他の AWS アカウント、または別のアカウントの IAM プリンシパルと直接共有することもできます。

Data Catalog テーブルをデータフィルターと共有して、行レベルとセルレベルの詳細へのアクセスを制限することもできます。Lake Formation は AWS Resource Access Manager (AWS RAM) を使用してアカウント間でのアクセス許可の付与を容易にします。リソースを 2 つのアカウントで共有すると、AWS RAM は受信者アカウントに招待状を送信します。ユーザーが AWS RAM 共有の招待を受け入れると、AWS RAM は Data Catalog リソースを利用できるようにするために必要なアクセス許可を Lake Formation に提供し、ストレージレベルの適用を有効にします。詳細については、「Lake Formation でのクロスアカウントデータ共有」を参照してください。

受信者アカウントのデータレイク管理者が AWS RAM 共有を受け入れると、受信者アカウントで共有リソースが利用可能になります。データレイク管理者は、管理者が共有リソースに対して GRANTABLE 許可を持っている場合、受信者アカウントの追加の IAM プリンシパルに、共有リソースに対してさらに Lake Formation 許可を付与します。

ただし、プリンシパルは、リソースリンクがないと Athena または Redshift Spectrum を使用して共有リソースをクエリすることはできません。リソースリンクは Data Catalog 内のエンティティであり、Linux-Symlink の概念に似ています。

受信者アカウントのデータレイク管理者が、共有リソースにリソースリンクを作成します。管理者は、元の共有リソースに必要な許可とともに、リソースリンクの Describe 許可を追加のユーザーに付与します。受信者アカウントのユーザーは、リソースリンクを使用して Athena と Redshift Spectrum を使用して共有リソースをクエリできます。リソースリンクの詳細については、「リソースリンクの作成」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ストレージアクセス管理

Lake Formation コンポーネント