クロスリージョンのテーブルアクセス - AWS Lake Formation
ワークフロー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスリージョンのテーブルアクセス

Lake Formation では、AWS リージョンをまたいでデータカタログのテーブルにクエリを実行できます。Amazon Athena、Amazon EMR、AWS Glue ETL を使用してリージョン内のデータに他のリージョンからアクセスするには、他のリージョンに、アクセス先のデータベースやテーブルを指すリソースリンクを作成します。クロスリージョンのテーブルアクセスでは、基になるデータやメタデータをデータカタログ内にコピーしなくても、複数のリージョンをまたいでデータにアクセスできます。

例えば、リージョン A でプロデューサーアカウントのデータベースやテーブルをコンシューマーアカウントと共有できます。コンシューマーアカウントのデータレイク管理者は、リージョン A でリソース共有の招待を受け入れ、共有リソースへのリソースリンクをリージョン B に作成できます。コンシューマーアカウント管理者は、リージョン A でアカウントの IAM プリンシパルに対して、共有リソースへのアクセス許可を付与し、リージョン B のリソースリンクへのアクセス許可を付与できます。このリソースリンクを使用して、コンシューマーアカウントのプリンシパルは、リージョン B から共有データにクエリを実行できます。

リージョン A の Amazon S3 データソースをプロデューサーアカウントでホストし、データの場所をリージョン B の中央アカウントに登録することもできます。中央アカウントでデータカタログのリソースを作成し、Lake Formation のアクセス許可を設定して、自分のアカウントまたはリージョン B の外部アカウントとデータを共有できます。クロスリージョン機能により、ユーザーはリソースリンクを使用してリージョン C から、これらのデータカタログのテーブルにアクセスできます。

この機能を使用すると、複数のリージョンをまたいで Apache Hive メタストアにあるフェデレーションデータベースにクエリを実行したり、クエリを実行するときにローカルリージョンのテーブルを別のリージョンのテーブルと結合したりできます。

Lake Formation は、クロスリージョンのテーブルアクセスで以下の機能をサポートしています。

  • LF タグベースのアクセス制御

  • きめ細かなアクセス制御のアクセス許可

  • 適切なアクセス許可を使用した共有データベースやテーブルへの書き込みオペレーション

  • アカウントレベルでのクロスアカウントのデータ共有と IAM プリンシパルレベルでの直接データ共有

管理者以外のユーザーでも、Create_Database や Create_Table アクセス許可があれば、クロスリージョンのリソースリンクを作成できます。

注記

Lake Formation のアクセス許可を適用しなくても、任意のリージョンでクロスリージョンのリソースリンクを作成し、データにアクセスできます。Lake Formation に登録されていない Amazon S3 のソースデータへのアクセスは、Amazon S3 および AWS Glue アクションの IAM アクセス許可ポリシーによって決定されます。

制限事項については、「クロスリージョンのデータアクセスに関する制限」を参照してください。

ワークフロー

以下の図では、同じ AWS アカウントと外部アカウントから、複数の AWS リージョンをまたいでデータにアクセスするためのワークフローを示します。

同じ AWS アカウント内で共有テーブルにアクセスするためのワークフロー

下の図で、データは米国東部 (バージニア北部) リージョンで同じ AWS アカウント内のユーザーと共有され、ユーザーは欧州 (アイルランド) リージョンから共有データにクエリを実行します。

Diagram showing data sharing between AWS アカウント across regions with numbered steps.

データレイク管理者は、以下のアクティビティ (ステップ 1~2) を実行します。

  1. データレイク管理者は、AWS アカウントにデータカタログのデータベースやテーブルを設定し、Amazon S3 データの場所を米国東部 (バージニア北部) リージョンの Lake Formation に登録します。

    同じアカウントのプリンシパル (ユーザー) に対してデータカタログのリソース (図内の製品テーブル) への Select アクセス許可を付与します。

  2. 米国東部 (バージニア北部) リージョンのソーステーブルを指すリソースリンクを欧州 (アイルランド) リージョンに作成します。欧州 (アイルランド) リージョンのリソースリンクへの DESCRIBE アクセス許可をプリンシパルに付与します。

  3. ユーザーは Athena を使用して欧州 (アイルランド) リージョンからテーブルにクエリを実行します。

外部の AWS アカウントから共有テーブルにアクセスするためのワークフロー

下の図で、プロデューサーアカウント (アカウント A) は Amazon S3 バケットをホストし、データの場所を登録して、データカタログのテーブルを米国東部 (バージニア北部) リージョンのコンシューマーアカウント (アカウント B) と共有します。コンシューマーアカウント (アカウント B) のユーザーは、欧州 (アイルランド) リージョンからテーブルにクエリを実行します。

Diagram showing data sharing between AWS アカウント across regions using Amazon S3 and Data Catalog.

  1. データレイク管理者は、AWS アカウント (プロデューサーアカウント) にデータカタログのリソースを設定し、Amazon S3 データの場所を米国東部 (バージニア北部) リージョンの Lake Formation に登録します。

  2. プロデューサーアカウントのデータレイク管理者は、データカタログのテーブルをコンシューマーアカウントと共有します。

  3. コンシューマーアカウントのデータレイク管理者は、米国東部 (バージニア北部) リージョンでデータ共有の招待を受け入れ、同じリージョンからプリンシパルに対して共有テーブルへの Select アクセス許可を付与します。

  4. コンシューマーアカウントのデータレイク管理者は、米国東部 (バージニア北部) リージョンのターゲット共有テーブルを指すリソースリンクを欧州 (アイルランド) リージョンに作成し、欧州 (アイルランド) リージョンのリソースリンクへの DESCRIBE アクセス許可をユーザーに付与します。

  5. ユーザーは Athena を使用して欧州 (アイルランド) リージョンからデータにクエリを実行します。