翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
名前付きリソース方式を使用したビューに対するアクセス権限の付与
次の手順では、名前付きリソースメソッドとアクセス許可の付与ページを使用して、ビューに対するアクセス許可を付与する方法について説明します。このページは、以下のセクションに分かれています。
-
プリンシパルタイプ – アクセス許可を付与する IAM ユーザー、ロール、IAM Identity Center ユーザーとグループ AWS アカウント、組織、または組織単位。一致する属性を持つプリンシパルにアクセス許可を付与することもできます。
-
[LF タグまたはカタログリソース] – 付与する許可の対象となるデータベース、テーブル、ビュー、またはリソースリンク。
-
[許可] – 付与されるデータレイク許可。
アクセス許可の付与ページを開く
-
https://console.aws.amazon.com/lakeformation/
で AWS Lake Formation コンソールを開き、データレイク管理者、データベース作成者、またはデータベースに対する付与可能なアクセス許可を持つ IAM ユーザーとしてサインインします。 -
次のいずれかを行います:
-
ナビゲーションペインの [Permissions] (許可) で [Data permissions] (データの許可) を選択します。次に、[Grant] (付与) を選択します。
-
ナビゲーションペインの [データカタログ] で、[ビュー] を選択します。次に、[ビュー] ページでビューを選択し、[アクション] メニューの [許可] で [付与] を選択します。
注記
ビューに対する許可は、リソースリンクを使用して付与できます。これを実行するには、[ビュー] ページでリソースリンクを選択し、[アクション] メニューで [ターゲットに対して付与] を選択します。詳細については、「Lake Formation でのリソースリンクの仕組み」を参照してください。
-
プリンシパルタイプを指定する
プリンシパルタイプセクションで、プリンシパルまたは属性別のプリンシパルを選択します。プリンシパルを選択した場合、次のオプションを使用できます。
- IAM ユーザーとロール
-
[IAM users and roles] (IAM ユーザーおよびロール) リストから、1 人、または複数のユーザーまたはロールを選択します。
- IAM アイデンティティセンター
-
[ユーザーとグループ] リストから、1 人、または複数のユーザーまたはグループを選択します。
- SAML ユーザーとグループ
-
SAML および QuickSight ユーザーおよびグループの場合は、SAML を介してフェデレーションされたユーザーまたはグループの 1 つ以上の Amazon リソースネーム (ARNs)、または Amazon QuickSight ユーザーまたはグループの ARNs を入力します。各 ARN の後で Enter キーを押します。
ARN の構築方法については、「Lake Formation の許可と取り消し AWS CLI コマンド」を参照してください。
注記
Lake Formation と QuickSight の統合は、QuickSight Enterprise Edition でのみサポートされています。
- 外部アカウント
-
AWS アカウント、 AWS 組織、または IAM プリンシパルには、IAM ユーザーまたはロールの 1 つ以上の有効な AWS アカウント IDs、組織 IDs、組織単位 IDs、または ARN を入力します。各 ID の後で [Enter] キーを押します。
組織 ID は、最初の「o-」と、その後に続く 10~32 個の小文字または数字で構成されています。
組織単位 ID は「ou-」で始まり、その後に 4~32 個の小文字または数字 (OU が含まれるルートの ID) が続きます。この文字列の後には、2 番目の「-」ダッシュと 8~32 個の追加の小文字または数字が続きます。
以下の資料も参照してください。
- 属性別のプリンシパル
属性キーと値 (複数可) を指定します。複数の値を選択した場合は、OR 演算子を使用して属性式を作成します。つまり、IAM ロールまたはユーザーに割り当てられた属性タグ値のいずれかが一致した場合、ロール/ユーザーはリソースに対するアクセス許可を取得します。
同じアカウントまたは別のアカウントの一致する属性を持つプリンシパルにアクセス許可を付与するかどうかを指定して、アクセス許可の範囲を選択します。
ビューを指定します。
[LF タグまたはカタログリソース] セクションで、付与する許可の対象となるビューを 1 つ、または複数選択します。
-
[Named data catalog resources] (名前付きの Data Catalog リソース) を選択します。
-
[ビュー] リストから 1 つまたは複数のビューを選択します。1 つ以上のカタログ、データベース、テーブル、データフィルターを選択することもできます。
データベース内の
All tables
にデータレイクのアクセス許可を付与すると、被付与者はデータベース内のすべてのテーブルとビューに対するアクセス許可を持つことになります。
許可を指定する
[Permissions] (許可) セクションで、許可と付与可能な許可を選択します。
![[アクセス許可] セクションには、付与するビューのアクセス許可のチェックボックスのグループがあります。チェックボックスには、[選択]、[ドロップ]、[記述]、および [スーパー] があります。そのグループの下には、付与可能な許可のための、同じチェックボックスがある別のグループがあります。](images/view-permissions.png)
-
[アクセス許可の表示] で、付与する許可を 1 つ、または複数選択します。
-
(オプション) [Grantable permissions] (付与可能な許可) で、付与対象者がそれぞれの AWS アカウント内の他のプリンシパルに付与できる許可を選択します。このオプションは、外部アカウントから IAM プリンシパルにアクセス許可を付与する場合はサポートされません。
-
[Grant] (付与) を選択します。