を介した接続の認可 AWS Lake Formation - Amazon Quick Suite
Lake Formation からの接続の有効化Amazon Quick Suite からの接続の有効化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を介した接続の認可 AWS Lake Formation

 適用先: Enterprise Edition 
   対象者: システム管理者 

でデータをクエリする場合は Amazon Athena、 AWS Lake Formation を使用して、Amazon Quick Sight からデータを保護して接続する方法を簡素化できます。Lake Formation は、分析および機械学習サービスに適用される AWS 独自のアクセス許可モデルを提供することで、 AWS Identity and Access Management (IAM) アクセス許可モデルに追加します。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。

Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalogとシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。

次の図は、関連する AWS サービスの関係を示しています。

Lake Formation を設定したら、Amazon Quick Suite を使用して、データベースやテーブルに名前または SQL クエリでアクセスできます。Amazon Quick Suite には、SQL クエリを記述できるフル機能のエディタが用意されています。または、Athena コンソール、 AWS CLI、または任意のクエリエディタを使用できます。詳細については、Amazon Athena ユーザーガイドAthena へのアクセスを参照してください。

以下のトピックを使用して、Lake Formation または Amazon Quick Suite を介して Lake Formation 接続を設定します。

Lake Formation からの接続の有効化

Quick Suite でこのソリューションの使用を開始する前に、Lake Formation で Athena を使用してデータにアクセスできることを確認してください。接続が Athena で動作していることを確認したら、Amazon Quick Suite が Athena に接続できることのみを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、Athena クエリコンソールを使用して、SELECT 1 FROM table などの単純な SQL コマンドを実行する方法です。

Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation の設定」を参照してください。

  • Lake Formation のデータにアクセスする必要がある Quick Suite ユーザーとグループの Amazon リソースネーム (ARNs) を収集します。これらのユーザーは、Amazon Quick Suite の作成者または管理者である必要があります。

    Amazon Quick Suite ユーザーおよびグループ ARNs を検索するには

    1. を使用して AWS CLI 、Amazon Quick Suite の作成者と管理者ARNs を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で list-users コマンドを実行します。

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      を使用しないようにするには AWS CLI、各ユーザーの ARNs を手動で作成できます。

    2. (オプション) ターミナル (Linux または Mac) またはコマンドプロンプト (Windows) で次のlist-groupコマンドを実行して、 AWS CLI を使用して Amazon Quick Suite グループの ARNs を検索します。

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      Amazon Quick Suite グループがない場合は、 AWS CLI を使用して create-group コマンドを実行してグループを追加します。現在、Amazon Quick Suite コンソールからこれを行うオプションはありません。詳細については、「Amazon Quick Suite でのグループの作成と管理」を参照してください。

      を使用しないようにするには AWS CLI、各グループの ARNs を手動で作成できます。

Amazon Quick Suite からの接続の有効化

Lake Formation と Athena を使用するには、Amazon Quick Suite で AWS リソースのアクセス許可が設定されていることを確認してください。

  • Amazon Athenaへのアクセスを有効にします。

  • Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。

Quick Suite で AWS リソースのアクセス許可を確認または変更する方法については、AWS 「リソースの自動検出の許可」および「データソースへのアクセス」を参照してください。