View a markdown version of this page

ハイブリッドアクセスモードの設定の前提条件 - AWS Lake Formation
Amazon S3 バケットの場所とユーザーアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ハイブリッドアクセスモードの設定の前提条件

ハイブリッドアクセスモードを設定するための前提条件は次のとおりです。

注記

Lake Formation 管理者が Amazon S3 ロケーションをハイブリッドアクセスモードで登録し、プリンシパルとリソースをオプトインすることをお勧めします。

  1. データロケーション許可 (DATA_LOCATION_ACCESS) は、Amazon S3 ロケーションをポイントする Data Catalog リソースを作成する場合に付与します。データロケーションのアクセス許可は、特定の Amazon S3 ロケーションを指す Data Catalog カタログ、データベース、テーブルを作成する機能を制御します。

  2. Data Catalog リソースをハイブリッドアクセスモードの別のアカウントと共有するには (リソースからIAMAllowedPrincipalsグループアクセス許可を削除せずに)、クロスアカウントバージョン設定をバージョン 4 以降に更新する必要があります。Lake Formation コンソールを使用してバージョンを更新するには、データカタログ設定ページのクロスアカウントバージョン設定でバージョン 4 またはバージョン 5 を選択します。

    put-data-lake-settings AWS CLI コマンドを使用して、 CROSS_ACCOUNT_VERSIONパラメータをバージョン 4 または 5 に設定することもできます。

    aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
"DataLakeAdmins": [
        {
"DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
"CROSS_ACCOUNT_VERSION": "5"
    }
}

  3. 
ハイブリッドアクセスモードでクロスアカウントアクセス許可を付与するには、付与者に AWS Glue および AWS RAM サービスに必要な IAM アクセス許可が必要です。 AWS 管理ポリシーは、必要なアクセス許可AWSLakeFormationCrossAccountManagerを付与します。
 ハイブリッドアクセスモードでクロスアカウントデータ共有を有効にするために、次の 2 つの新しい IAM アクセス許可を追加して AWSLakeFormationCrossAccountManager 管理ポリシーを更新しました。

    • ram:ListResourceSharePermissions

    • ram:AssociateResourceSharePermission

    注記

    付与者ロールに AWS 管理ポリシーを使用していない場合は、カスタムポリシーに上記のポリシーを追加します。

Amazon S3 バケットの場所とユーザーアクセス

でカタログ、データベース、またはテーブルを作成するときに AWS Glue Data Catalog、基盤となるデータの Amazon S3 バケットの場所を指定し、Lake Formation に登録できます。以下の表は、テーブルまたはデータベースの Amazon S3 データの場所に基づいて、 AWS Glue および Lake Formation ユーザー (プリンシパル) のアクセス許可がどのように機能するかを示しています。

Lake Formation に登録された Amazon S3 ロケーション
データベースの Amazon S3 ロケーション AWS Glue ユーザー Lake Formation ユーザー

Lake Formation に登録 (ハイブリッドアクセスモードまたは Lake Formation モード)

IAMAllowedPrincipals グループ (スーパーアクセス) のアクセス許可を継承し、Amazon S3 データロケーションへの読み取り/書き込みアクセス権を持ちます。

 付与された CREATE TABLE アクセス許可から、テーブルを作成するアクセス許可を継承します。
関連付けられた Amazon S3 ロケーションなし

CREATE TABLE および INSERT TABLE ステートメントを実行するには、明示的な DATA LOCATION アクセス許可が必要です。

CREATE TABLE および INSERT TABLE ステートメントを実行するには、明示的な DATA LOCATION アクセス許可が必要です。
IsRegisteredWithLakeFormation テーブルプロパティ

テーブルの IsRegisteredWithLakeFormation プロパティは、テーブルのデータロケーションがリクエスタの Lake Formation に登録されているかどうかを示します。ロケーションのアクセス許可モードが Lake Formation として登録されている場合は、すべてのユーザーがそのテーブルにオプトインされていると見なされるため、データロケーションにアクセスするすべてのユーザーに対して IsRegisteredWithLakeFormation プロパティが true になります。ロケーションがハイブリッドアクセスモードで登録されている場合は、そのテーブルにオプトインしたユーザーに対してのみ値が true に設定されます。

IsRegisteredWithLakeFormation の仕組み
アクセス許可モード ユーザー/ロール IsRegisteredWithLakeFormation 説明

Lake Formation

 すべて

ロケーションが Lake Formation で登録されている場合、IsRegisteredWithLakeFormation プロパティはすべてのユーザーに対して true に設定されます。つまり、Lake Formation で定義されたアクセス許可が、登録されたロケーションに適用されます。認証情報供給は Lake Formation によって行われます。
ハイブリッドアクセスモード オプトイン済み

テーブルのデータアクセスとガバナンスに Lake Formation を使用するようにオプトインしたユーザーでは、そのテーブルの IsRegisteredWithLakeFormation プロパティが true に設定されます。これらのユーザーには、登録されているロケーションに対して Lake Formation で定義されたアクセス許可ポリシーが適用されます。
ハイブリッドアクセスモード オプトインなし

Lake Formation アクセス許可の使用にオプトインしていないユーザーの場合、IsRegisteredWithLakeFormation プロパティは false に設定されます。これらのユーザーには、登録されている場所に対して Lake Formation で定義されているアクセス許可ポリシーは適用されません。代わりに、ユーザーは Amazon S3 アクセス許可ポリシーに従います。