アクセス許可の付与

S3 テーブルを と統合した後 AWS Lake Formation、S3 テーブルカタログとカタログオブジェクト (テーブルバケット、データベース、テーブル) に対するアクセス許可を、アカウントの他の IAM ロールとユーザーに付与できます。Lake Formation アクセス許可を使用すると、Amazon Redshift Spectrum や Athena などの統合分析エンジンのユーザーに対して、テーブル、列、行レベルの粒度でアクセスコントロールを定義できます。

許可は、名前付きリソース方式、または Lake Formation のタグベースのアクセスコントロール (LF-TBAC) 方式を使用して付与することができます。LF タグと LF タグ式を使用してアクセス許可を付与する前に、それらを定義して Data Catalog オブジェクトに割り当てる必要があります。

詳細については、「メタデータアクセスコントロールのための LF タグの管理」を参照してください。

外部 AWS アカウントに Lake Formation アクセス許可を付与することで、データベースとテーブルを外部アカウントと共有できます。ユーザーはその後、複数のアカウントにまたがるテーブルを結合してクエリするクエリとジョブを実行できるようになります。カタログリソースを別のアカウントと共有する場合、そのアカウントのプリンシパルは、リソースがデータカタログにあるかのようにそのリソースを操作できます。

データベースとテーブルを外部アカウントと共有する場合、スーパーユーザーのアクセス許可は使用できません。

アクセス許可を付与する詳細な手順については、Lake Formation 許可の管理「」セクションを参照してください。

AWS CLI Amazon S3 テーブルに対するアクセス許可の付与例

aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'       
      

コマンドに含めるパラメータは次のとおりです。