AWS Glue リソースをハイブリッドリソースに変換する

Lake Formation に登録されていないデータロケーションのハイブリッドアクセスモードを有効にするには

1. Amazon S3 ロケーションを登録して、ハイブリッドアクセスモードを有効にします。

   Console

   1. Lake Formation コンソールにデータレイク管理者としてサインインします。

   2. ナビゲーションペインで、[管理] の [データレイクのロケーション] を選択します。

   3. [Register location] (ロケーションを登録) を選択します。

      

   4. [ロケーションを登録] ウィンドウで、Lake Formation に登録する [Amazon S3] パスを選択します。

   5. [IAM ロール] で、AWSServiceRoleForLakeFormationDataAccess サービスリンクロール (デフォルト)、または「ロケーションの登録に使用されるロールの要件」の要件を満たすカスタム IAM ロールを選択します。

   6. [ハイブリッドアクセスモード] を選択すると、登録されたロケーションを指すオプトインプリンシパルと Data Catalog データベースおよびテーブルに、きめ細かい Lake Formation アクセスコントロールポリシーが適用されます。


      Lake Formation を選択すると、Lake Formation は登録されたロケーションへのアクセスリクエストを承認できるようになります。


   7. [Register location] (ロケーションを登録) を選択します。

   AWS CLI

   次の例では、HybridAccessEnabled:true/false と設定して、Lake Formation にデータロケーションを登録しています。HybridAccessEnabled パラメータのデフォルト値は false です。Amazon S3 パス、ロール名、 AWS アカウント ID を有効な値に置き換えます。

   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }        

2. ハイブリッドアクセスモードでリソースに Lake Formation 許可を使用するようにアクセス許可を付与し、プリンシパルをオプトインする

   ハイブリッドアクセスモードでプリンシパルとリソースをオプトインする前に、ハイブリッドアクセスモードで Lake Formation に登録された場所があるデータベースとテーブルに Superまたは IAMAllowedPrincipalsグループへのアクセスAll許可が存在することを確認します。

   注記

   データベース内の All tables に IAMAllowedPrincipals グループアクセス許可を付与することはできません。ドロップダウンメニューから各テーブルを個別に選択し、アクセス許可を付与する必要があります。また、データベースに新しいテーブルを作成するときは、[データカタログの設定] で [Use only IAM access control for new tables in new databases] を選択できます。このオプションでは、データベース内に新しいテーブルを作成すると、自動的に IAMAllowedPrincipals グループに Super 許可が付与されます。

   Console

   1. Lake Formation コンソールのデータカタログで、カタログ、データベース、またはテーブルを選択します。

   2. リストからカタログ、データベース、またはテーブルを選択し、アクションメニューから付与を選択します。

   3. プリンシパルを選択し、名前付きリソース方式または LF タグを使用して、データベース、テーブル、および列に対するアクセス許可を付与します。

      または、データアクセス許可を選択し、リストからアクセス許可を付与するプリンシパルを選択し、付与を選択します。

      データアクセス許可の付与に関する詳細については、「データカタログリソースに対するアクセス許可の付与」を参照してください。

      注記

      プリンシパルにテーブル作成のアクセス許可を付与する場合は、プリンシパルにデータロケーション許可 (DATA_LOCATION_ACCESS) を付与する必要もあります。このアクセス許可はテーブルの更新には必要ありません。

      詳細については、「データロケーション許可の付与」を参照してください。

   4. [名前付きリソース方式] を使用してアクセス許可を付与する場合、プリンシパルとリソースをオプトインするオプションが [データ許可の付与] ページの下部に表示されます。

      プリンシパルとリソースの Lake Formation 許可を有効にするには、[Lake Formation 許可をすぐに有効にする] を選択します。

      

   5. [Grant] (付与) を選択します。

      データロケーションを指しているテーブル A のプリンシパル A をオプトインした場合、データロケーションがハイブリッドモードで登録されていれば、プリンシパル A は Lake Formation 許可を使用してこのテーブルのロケーションにアクセスできます。

   AWS CLI

   以下の例では、ハイブリッドアクセスモードでプリンシパルとテーブルをオプトインしています。ロール名、 AWS アカウント ID、データベース名、およびテーブル名を有効な値に置き換えます。

   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }              

   1. アクセス許可を付与するために LF タグを選択した場合は、別のステップで Lake Formation 許可を使用するようにプリンシパルをオプトインできます。これを行うには、左側のナビゲーションバーの [アクセス許可] で [ハイブリッドアクセスモード] を選択します。

   2. [ハイブリッドアクセスモード] ページの下部にある [追加] を選択して、リソースとプリンシパルをハイブリッドアクセスモードに追加します。

   3. リソースとプリンシパルの追加ページで、ハイブリッドアクセスモードで登録されているカタログ、データベース、テーブルを選択します。

      アクセスを許可するデータベースで、All tables を選択できます。

      

   4. ハイブリッドアクセスモードで Lake Formation アクセス許可を使用するようにオプトインするプリンシパルを選択します。

      • プリンシパル – IAM ユーザーとロールは、同じアカウントまたは別のアカウントで選択できます。SAML ユーザーとグループを選択することもできます。

      • 属性 – 属性を選択して、属性に基づいてアクセス許可を付与します。

        

      • キーと値のペアを入力して、属性に基づいて権限を作成します。コンソールで Cedar ポリシー式を確認します。Cedar の詳細については、「Cedar とは」を参照してください。| Cedar ポリシー言語リファレンスGuideLink。

      • [Add] (追加) を選択します。

        属性が一致するすべての IAM ロール/ユーザーにアクセス権が付与されます。

   5. [Add] (追加) を選択します。