名前付きリソース方式を使用したデータカタログアクセス許可の付与 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

名前付きリソース方式を使用したデータカタログアクセス許可の付与

以下は、名前付きリソース方式を使用してカタログアクセス許可を付与する方法を説明する手順です。

Console

Lake Formation コンソールの [アクセス許可を付与] ページを使用します。このページは、以下のセクションに分かれています。

  • プリンシパルタイプ – 特定のプリンシパルにアクセス許可を付与することも、属性タグを使用することもできます。

    • [プリンシパル] – アクセス許可の付与先となる IAM ユーザー、ロール、IAM アイデンティティセンターユーザーとグループ、 AWS アカウント、組織、または組織単位。

      [属性別のプリンシパル] – IAM ロールまたは IAM セッションタグからタグのキーと値のペアを追加します。一致する属性を持つプリンシパルは、指定されたリソースへのアクセスを受け取ります。

    • [LF タグまたはカタログリソース] – 付与するアクセス許可の対象となるカタログ、データベース、テーブル、ビュー、またはリソースリンク。

    • [Permissions] (許可) – 付与される Lake Formation 許可。

注記

データベースリソースリンクに対する許可を付与するには、「リソースリンク許可の付与」を参照してください。

  1. アクセス許可の付与」ページを開きます。

    https://console.aws.amazon.com/lakeformation/ で AWS Lake Formation コンソールを開き、データレイク管理者、カタログ作成者、またはカタログに対する付与可能なアクセス許可を持つ IAM ユーザーとしてサインインします。

    次のいずれかを行います。

    • ナビゲーションペインの [Permissions] (許可) で [Data permissions] (データの許可) を選択します。次に、[Grant] (付与) を選択します。

    • ナビゲーションペインの[データカタログ] で、[カタログ] を選択します。次に、「カタログ」ページでカタログを選択し、[アクション] メニューの [アクセル許可][付与] を選択します。

    注記

    テーブルに対するアクセス許可は、リソースリンクを使用して付与できます。これを実行するには、[テーブル] ページでカタログリンクコンテナを選択し、[アクション] メニューで [ターゲットに対して付与] を選択します。詳細については、「Lake Formation でのリソースリンクの仕組み」を参照してください。

  2. 次に、プリンシパルタイプ セクションで、プリンシパルを選択するか、プリンシパルにアタッチされた属性を指定します。

    [プリンシパルタイプ] セクションには、水平に配置された 2 つのタイルがあり、各タイルにはオプションボタンと説明テキストが含まれています。オプションは、プリンシパルと属性別プリンシパルです。タイトルの下にはプリンシパルがあります。
    プリンシパルを指定する
    IAM ユーザーとロール

    [IAM users and roles] (IAM ユーザーおよびロール) リストから、1 人、または複数のユーザーまたはロールを選択します。

    IAM アイデンティティセンター

    [ユーザーとグループ] リストから、1 人、または複数のユーザーまたはグループを選択します。ユーザーまたはグループをさらに追加するには、[追加] を選択します。

    SAML ユーザーとグループ

    [SAML および Quick Suite のユーザーとグループ] には、SAML 経由でフェデレートされたユーザーまたはグループの 1 つ以上の Amazon リソースネーム (ARN) を入力するか、Amazon Quick Suite のユーザーまたはグループの ARN を入力します。各 ARN の後で Enter キーを押します。

    ARN の構築方法については、「Lake Formation の grant および revoke AWS CLI コマンド」を参照してください。

    注記

    Quick Suite との統合がサポートされるのは、Quick Suite Enterprise Edition のみです。

    外部アカウント

    AWS アカウント、 AWS 組織、または IAM プリンシパルには、IAM ユーザーまたはロールの 1 つ以上の有効な AWS アカウント IDs、組織 IDs、組織単位 IDs、または ARN を入力します。各 ID の後で [Enter] キーを押します。

    組織 ID は、最初の「o-」と、その後に続く 10~32 個の小文字または数字で構成されています。

    組織単位 ID は「ou-」で始まり、その後に 4~32 個の小文字または数字 (OU が含まれるルートの ID) が続きます。この文字列の後には、2 番目の「-」ダッシュと 8~32 個の追加の小文字または数字が続きます。

    属性別のプリンシパル
    属性

    IAM ロールから IAM タグのキーと値のペアを追加します。

    アクセス許可のスコープ

    同じアカウントまたは別のアカウントの一致する属性を持つプリンシパルにアクセス許可を付与するかどうかを指定します。

  3. [LF タグまたはカタログリソース] セクションで、[名前付きのデータカタログリソース] を選択します。

    [LF-Tags or catalog resources] (LF タグまたはカタログリソース) セクションには、水平に配置された 2 つのタイルがあり、各タイルにはオプションボタンと説明テキストが含まれています。オプションは、[LF タグに一致するリソース] と [名前付きのデータカタログリソース] です。タイルの下には、[Database] (データベース) と [Table] (テーブル) の 2 つのドロップダウンリストがあります。[Database] (データベース) ドロップダウンリストには、その下に選択したデータベース名が含まれるタイルがあります。

  4. カタログ リストから 1 つ以上のカタログを選択します。1 つ以上のデータベーステーブル、または データフィルターを選択することもできます。

  5. [アクセス許可] セクションで、アクセス許可と付与可能なアクセス許可を選択します。[カタログのアクセス許可] で、付与するアクセス許可を 1 つ以上選択します。

    アクセス許可セクションカタログアクセス許可タイル。タイルの下には、付与するカタログアクセス許可のチェックボックスのグループがあります。チェックボックスには、スーパーユーザー、カタログの作成、データベースの作成、変更、削除、説明、スーパーが含まれます。そのグループの下には、付与可能な許可のための、同じチェックボックスがある別のグループがあります。

    [スーパーユーザー] を選択して、カタログ内のすべてのリソース (データベース、テーブル、ビュー) に対して任意のオペレーションを実行するための無制限の管理権限を付与します。

    注記

    登録済みの場所を指す場所プロパティを持つカタログに対して Create database または Alter を付与した後は、プリンシパルにもその場所に対するデータの場所のアクセス許可を付与するようにしてください。詳細については、「データロケーション許可の付与」を参照してください。

  6. (オプション) [Grantable permissions] (付与可能な許可) で、付与対象者がそれぞれの AWS アカウント内の他のプリンシパルに付与できる許可を選択します。このオプションは、外部アカウントから IAM プリンシパルにアクセス許可を付与する場合はサポートされません。

  7. [付与] を選択します。

    データアクセス許可」ページには、アクセス許可の詳細が表示されます。[属性別プリンシパル] オプションを使用してアクセス許可を付与した場合、ALLPrincipals に対するアクセス許可の付与をリストに表示できます。

AWS CLI

を使用したカタログアクセス許可の付与については AWS CLI、「」を参照してくださいAmazon Redshift フェデレーティッドカタログの作成