翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データカタログリソースに対するアクセス許可の付与
プリンシパルが Data Catalog リソースを作成および管理し、基盤となるデータにアクセスできるように、 のプリンシパルに Data アクセス許可を付与できます。 AWS Lake Formation カタログ、データベース、テーブル、ビューに対するデータレイクアクセス許可を付与できます。テーブルに対する許可を付与する場合、特定のテーブルの列または行へのアクセスを制限して、より細かな粒度のアクセスコントロールを行うことができます。
個々のカタログ、データベース、テーブル、ビューに対するアクセス許可を付与することも、1 回の付与操作で、カタログまたはデータベース内のすべてのデータベース、テーブル、ビューに対するアクセス許可を付与することもできます。データベース内のすべての IAM プリンシパルに対するアクセス許可を付与すると、データベースに対する DESCRIBE アクセス許可を黙示的に付与することになります。その後は、データベースがコンソールの [Databases] (データベース) ページに表示され、GetDatabases API 操作によって返されます。カタログレベルでも同じ原則が適用されます。カタログ内のデータベースに対するアクセス許可を取得すると、そのカタログに対する DESCRIBE アクセス許可も取得します。
重要
暗黙的なDESCRIBEアクセス許可は、同じ AWS アカウント内の IAM プリンシパルにアクセス許可を付与する場合にのみ適用されます。クロスアカウントリソースの場合、DESCRIBE アクセス許可を明示的に付与する必要があります。属性ベースのアクセス制御 (ABAC) を使用する場合、DESCRIBE アクセス許可の自動付与は適用されません。属性を使用してデータベース内のすべてのテーブルにアクセス許可を付与する場合、Lake Formation はデータベースに DESCRIBE アクセス許可を暗黙的に付与しません。
許可は、名前付きリソース方式、または Lake Formation のタグベースのアクセスコントロール (LF-TBAC) 方式を使用して付与することができます。
同じ のプリンシパル、 AWS アカウント または外部アカウントや組織にアクセス許可を付与できます。外部のアカウントまたは組織に付与するときは、所有するデータカタログオブジェクトをこれらのアカウントまたは組織と共有することになります。このため、これらのアカウントまたは組織のプリンシパルが、所有するデータカタログオブジェクトと、基盤となるデータにアクセスできるようになります。
注記
現在、LF-TBAC メソッドは、IAM プリンシパル、 AWS アカウント組織、組織単位 (OUs) へのクロスアカウントアクセス許可の付与をサポートしています。
外部のアカウントまたは組織に許可を付与する場合は、grant オプションを含める必要があります。共有オブジェクトにアクセスできるのは、外部アカウント内のデータレイク管理者が外部アカウント内の他のプリンシパルに共有オブジェクトに対する許可を付与するまでは、データレイク管理者のみになります。
AWS Lake Formation コンソール、 API、または () を使用して、Data Catalog の AWS Command Line Interface アクセス許可を付与できますAWS CLI。
注記
データカタログオブジェクトを削除すると、そのオブジェクトに関連付けられているすべてのアクセス許可が無効になります。同じリソースを同じ名前で再作成しても、Lake Formation のアクセス許可は回復しません。ユーザーは新しいアクセス許可を再度設定する必要があります。
