メタデータアクセスコントロールのための LF タグ式の管理

LF タグ式は、AWS Glue Data Catalog リソースに対するアクセス許可を付与するために使用される 1 つ以上の LF タグ (キーと値のペア) で構成される論理式です。LF タグ式を使用すると、メタデータタグに基づいてデータリソースへのアクセスを管理するルールを定義できます。これらの式を保存して複数のアクセス許可で再利用できるため、一貫性が確保され、タグオントロジーへの経時的な変更を簡単に管理できます。

特定の LF タグ式内では、タグキーは AND オペレーションを使用して結合され、値は OR オペレーションを使用して結合されます。例えば、タグ式 content_type:Sales AND location:US は、米国の売上データに関連するリソースを表します。

AWS アカウントでは、最大 1000 個の LF タグ式を作成できます。これらの式は、メタデータタグに基づいてアクセス許可を管理するための柔軟でスケーラブルな方法を提供し、承認されたユーザーまたはアプリケーションのみが、定義されたタグルールに基づいて特定のデータリソースにアクセスできるようにします。

タグベースのアクセスコントロールに関する詳細については、「Lake Formation のタグベースのアクセス制御」を参照してください。

LF タグ式作成者

LF タグ式作成者は、LF タグを作成および管理するアクセス許可を持つプリンシパルです。データレイク管理者は、Lake Formation コンソール、CLI、API、または SDK を使用して LF タグ式作成者を追加できます。LF タグ式作成者には、LF タグ式を作成、更新、削除し、LF タグ式アクセス許可を他のプリンシパルに付与する暗黙的な Lake Formation アクセス許可があります。

データレイク管理者ではない LF タグ式作成者は、作成した式に対してのみ暗黙的な Alter、Drop、Describe、および Grant with LF-Tag expression アクセス許可を受け取ります。

データレイク管理者は LF タグ式作成者に付与可能な Create LF-Tag expression アクセス許可を付与することもできます。その後、LF タグ式作成者は、LF タグ式を作成するアクセス許可を他のプリンシパルに付与できます。

LF タグ式の作成に必要な IAM アクセス許可

Lake Formation のプリンシパルが LF タグ式を作成できるようにアクセス許可を設定する必要があります。LF タグ式作成者になる必要があるプリンシパルのアクセス許可ポリシーに、以下のステートメントを追加します。

詳細については、「Lake Formation のペルソナと IAM 許可のリファレンス」を参照してください。

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }         
         

LF タグ式作成者を追加する

LF タグ式作成者は、再利用可能な LF タグ式の作成と保存、タグのキーと値の更新、式の削除、LF-TBAC 方式を使用したプリンシパルへのデータカタログリソースに対するアクセス許可の付与を行うことができます。LF タグ式作成者は、これらのアクセス許可をプリンシパルに付与することもできます。

LF タグ式作成者ロールは、AWS Lake Formation コンソール、API、または AWS Command Line Interface (AWS CLI) を使用して作成することができます。

console

LF タグ式作成者を追加するには

1. Lake Formation コンソール (‭‬https://console.aws.amazon.com/lakeformation/‬)を開きます。

   データレイク管理者としてサインインします。

2. ナビゲーションペインで、[アクセス許可] の [LF タグとアクセス許可] を選択します。

3. [LF タグ式] タブを選択します。

4. [LF タグ式作成者]セクションで、[LF タグ式作成者を追加] を選択します。

   

5. 「LF タグ式作成者を追加」ページで、LF タグ式の作成に必要なアクセス許可を持つ IAM ロールまたはユーザーを選択します。

6. [Create LF-Tag expression アクセス許可] チェックボックスにチェックを入れます。

7. (オプション) 選択したプリンシパルが Create LF-Tag expression アクセス許可をプリンシパルに付与できるようにするには、[付与可能な Create LF-Tag expression アクセス許可] を選択します。

8. [Add] (追加) を選択します。

AWS CLI

aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}               
              

LF タグ式作成者ロールは、LF タグ式を作成、更新、または削除することができます。

これらの許可は付与可能です。これらの許可を grant オプションと共に付与されたプリンシパルは、これらを他のプリンシパルに付与できます。