View a markdown version of this page

オンボーディングとアクセス許可の付与 - AWS 規範ガイダンス
データプロデューサーのオンボーディングデータコンシューマーのオンボーディングデータコンシューマーアカウントの Select アクセスを付与する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オンボーディングとアクセス許可の付与

このガイドのデータレイクリファレンスアーキテクチャは、データプロデューサーとデータコンシューマーを個別にスケールするだけでなく、それらのデータコンシューマーをオンボーディングしてアクセス権を付与するための一貫したプロセスを定義して確立するのに役立ちます。

以下のセクションでは、データプロデューサーとデータコンシューマーのオンボーディングプロセスと、データコンシューマーアカウントでアクセス権を付与する方法について説明します。このガイドでは、一元化されたカタログとデータコンシューマーの間で名前付きリソースメソッドを使用します。LF-TBAC メソッドのプロセスは似ていますが、少し異なります。組織のデータガバナンスのプラクティスとポリシーを満たすために、これらのアプローチを評価して設定することをお勧めします。

これらの 2 つの方法の詳細については、このガイドの一元化されたカタログ「」セクションを参照してください。

データプロデューサーのオンボーディング

次の図は、新しいデータプロデューサーをデータレイクにオンボードする方法を示しています。

新しいデータプロデューサーをデータレイクにオンボーディングするプロセス。

この図は、次のオンボーディングプロセスを示しています。

  1. データプロデューサーは、一元化されたカタログにデータへのアクセス (Amazon Simple Storage Service (Amazon S3) バケットや など) を選択的に提供します AWS KMS key。アクセスは、一元化されたカタログの AWS Identity and Access Management (IAM) プリンシパルに提供され、データプロデューサーのデータレイクの場所を に登録 AWS Lake Formation し、データプロデューサーのカタログの維持に使用される IAM プリンシパルを登録します。

  2. 一元化されたカタログの Lake Formation を使用するデータプロデューサーのデータレイクの場所 (S3 バケットなど) を登録します。

  3. AWS Glue データカタログのデータプロデューサーから新しいデータのデータベース、テーブル、テーブルスキーマを作成します。

データコンシューマーのオンボーディング

次の図は、新しいデータコンシューマーをデータレイクにオンボードする方法を示しています。

新しいデータコンシューマーをデータレイクにオンボードするプロセス。

この図は、次のオンボーディングプロセスを示しています。

  1. データコンシューマーは、データプロデューサーのデータを表示するための承認をリクエストし、アクセスする必要があるデータを指定します。

  2. データプロデューサーのデータスチュワードは、データコンシューマーからのリクエストを確認し、以下を行うかどうかを評価します。

    • リクエストされたデータベースの一部またはすべてのテーブルを共有します。すべてのテーブルをデータコンシューマーと共有することによるデータセキュリティへの影響がない場合は、データベースレベルの共有をお勧めします。これにより、テーブルレベルの共有の管理オーバーヘッドを回避できます。

    • データコンシューマーの組織、OU、またはアカウントレベルで共有します。

  3. データプロデューサーによって承認されると、必要な Data Catalog リソースが一元化されたカタログのデータコンシューマーと共有されます。

  4. リソースリンクは、Lake Formation を使用してデータコンシューマーのアカウントで作成し、一元化されたカタログ内の共有データカタログリソースを指すことができます。

オンボーディングプロセスが完了すると、データコンシューマーの Lake Formation 管理者は、一元化されたカタログとリソースリンクからデータベースカタログリソースを表示できます。この段階では、データコンシューマーのアカウントの他のユーザーはデータプロデューサーのデータにアクセスできません。

データコンシューマーアカウントの Select アクセスを付与する

次の図は、データコンシューマーアカウントのローカル IAM プリンシパルと共有データリソースSelectへのアクセスを許可するプロセスを示しています。ローカル IAM プリンシパルは、個々のユーザーの IAM ロールでも、特定の AWS サービスによって消費される IAM ロールでもかまいません。

注記

共有されるデータが機密性が低い場合は、データプロデューサーの承認を必要とせずに、データコンシューマー自体にアクセス許可を委任できます。これは、信頼と共有がすでに確立されているためです。

データコンシューマーアカウントで Select アクセスを付与するプロセス。

図表に示す内容は以下のステップです。

  1. データコンシューマーアカウントの個々の IAM プリンシパルは、データコンシューマーアカウントの IAM プリンシパルからリソースリンクSelectへのアクセスをリクエストします。

  2. データプロデューサーのデータスチュワードは、データコンシューマーからのリクエストを確認し、すべての要件が満たされた場合に承認を提供します。

  3. Select アクセスが許可され、IAM プリンシパルがリクエストされたデータを消費できるようになります。