Lake Formation VPC エンドポイントに関する考慮事項 Lake Formation 用のインターフェイス VPC エンドポイントの作成 Lake Formation 用の VPC エンドポイントポリシーの作成

AWS Lake Formation とインターフェース VPC エンドポイント (AWS PrivateLink)

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用することで、IP アドレス範囲、サブネット、ルートテーブル、およびネットワークゲートウェイなどのネットワーク設定を制御できます。

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストする場合は、VPC とLake Formation 間のプライベート接続を確立できます。この接続を使用して、Lake Formation がパブリックインターネットを経由せずに VPC 内のリソースと通信できるようにします。

VPC と AWS Lake Formation 間のプライベート接続は、インターフェイス VPC エンドポイントを作成することによって確立できます。インターフェイスエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を必要とせずに、Lake Formation API にプライベートにアクセスできるようにするテクノロジーである AWS PrivateLink を活用しています。VPC 内のインスタンスが Lake Formation API と通信するためにパブリック IP アドレスは必要ありません。VPC と Lake Formation 間のトラフィックが Amazon ネットワークを離れることはありません。

各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink) 」を参照してください。

Lake Formation VPC エンドポイントに関する考慮事項

Lake Formation のインターフェイス VPC エンドポイントをセットアップする前に、「Amazon VPC ユーザーガイド」で「インターフェイスエンドポイントのプロパティと制限」を確認するようにしてください。

Lake Formation は、その API アクションのすべてに対する VPC からの呼び出しをサポートしています。Lake Formation は、Lake Formation と Amazon VPC エンドポイントの両方をサポートするすべての AWS リージョンで、VPC エンドポイントと併用できます。

Lake Formation 用のインターフェイス VPC エンドポイントの作成

Lake Formation サービス用の VPC エンドポイントは、Amazon VPC コンソール、または AWS Command Line Interface (AWS CLI) を使用して作成することができます。詳細については、Amazon VPC ユーザーガイドのインターフェイスエンドポイントの作成を参照してください。

Lake Formation 用の VPC エンドポイントは、以下のサービス名を使用して作成します。

com.amazonaws.region.lakeformation

エンドポイントに対してプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (lakeformation.us-east-1.amazonaws.com など) を使用して、Lake Formation への API リクエストを実行できます。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

Lake Formation 用の VPC エンドポイントポリシーの作成

Lake Formation は VPC エンドポイントポリシーをサポートします。エンドポイントポリシーは、VPC エンドポイントにアタッチできるリソースベースのポリシーで、どの AWS プリンシパルがエンドポイントを使用して AWS のサービスにアクセスできるかを制御します。

VPC エンドポイントに、Lake Formation へのアクセスをコントロールするエンドポイントポリシーをアタッチできます。このポリシーは、以下の情報を指定します。

アクションを実行できるプリンシパル。
実行可能なアクション。
このアクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: Lake Formation アクション用の VPC エンドポイントポリシー

以下の Lake Formation 用の VPC エンドポイントポリシー例は、Lake Formation 許可を使用した認証情報供給を許可します。このポリシーは、プライベートサブネット内にある Amazon Redshift クラスター、または Amazon EMR クラスターからの Lake Formation 許可を使用したクエリの実行に使用することが考えられます。


{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

注記

エンドポイント作成時にポリシーをアタッチしない場合は、サービスへのフルアクセスを許可するデフォルトのポリシーがアタッチされます。

詳細については、Amazon VPC ドキュメントのこれらのトピックを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Lake Formation モデルに対する AWS Glue データの許可のアップグレード

チュートリアル