接続を Glue データカタログとして登録する - Amazon Athena
前提条件コンソールを使用して接続を登録する

接続を Glue データカタログとして登録する

データソースを作成したら、Athena コンソールを使用して接続を Glue データカタログとして登録できます。登録すると、フェデレーティッドデータカタログを管理し、Lake Formation を使用してきめ細かなアクセスコントロールを有効にすることができます。詳細については、「フェデレーティッドカタログの作成」を参照してください。

次のコネクタを登録して AWS Glue と統合し、きめ細かなアクセスコントロールを行うことができます。

  • Redshift

  • BigQuery

  • DynamoDB (プレビュー)

  • Snowflake (プレビュー)

  • MySQL

  • PostgreSQL

  • AWS CMDB

  • Timestream

  • Azure Data Lake Storage

  • Azure Synapse

  • IBM Db2

  • IBM Db2 AS/400 (Db2 iSeries)

  • DocumentDB

  • Google Cloud Storage

  • HBase

  • OpenSearch

  • Oracle

  • SAP HANA

  • SQL Server

  • TPC-DS

  • Cloudera Hive

  • Cloudwatch

  • Cloudwatch メトリクス

  • Teradata

  • Vertica

前提条件

開始する前に、以下の前提条件を満たしている必要があります

  • ロケーションの登録に必要なロールとアクセス許可があることを確認します。詳細については、「AWS Lake Formation デベロッパーガイド」の「ロールの要件」を参照してください。

  • 必要な Lake Formation ロールがあることを確認します。詳細については、「AWS Lake Formation デベロッパーガイド」の「データカタログを外部データソースに接続するための前提条件」を参照してください。

  • Glue に登録するロールには、次の例に示すアクセス許可が必要です。

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject"
            ],
            "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix/*",
    "arn:aws:s3:::amzn-s3-demo-bucket/spill-prefix"
            ]
        },
        {
            "Sid": "lambdainvoke",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:us-east-1:111122223333:function:lambda_function_name"
        },
        {
            "Sid": "gluepolicy",
            "Effect": "Allow",
            "Action": "glue:*",
            "Resource": [
            "arn:aws:glue:us-east-1:111122223333:connection/<connection_name>",
    "arn:aws:glue:us-east-1:111122223333:catalog"
            ]
        }
    ]
}

  • 適切なデータアクセスを決定および管理するのはお客様の責任です。フェデレーティッドクエリに対するきめ細かなアクセスコントロールでは、AmazonAthenaFullAccess 管理ポリシーを使用することをお勧めします。独自のポリシーを使用する場合は、フェデレーティッドクエリを実行するユーザーが次のリソースにアクセスできないようにする必要があります。

    • Glue 接続で指定された Lambda コネクタの lambda:InvokeFunction

    • IAM でのスピルバケットの場所へのアクセス

    • フェデレーティッドカタログに関連付けられた Glue 接続へのアクセス

    • IAM の Lake Formation ロール

コンソールを使用して接続を登録する

接続を Glue データカタログとして登録するには

  1. https://console.aws.amazon.com/athena/ で Athena コンソールを開きます。

  2. ナビゲーションペインで、[データソースとカタログ] を選択します。

  3. [データソース] リストから、作成したデータソースを選択して [データソースの詳細] ページを開きます。

  4. [AWS Lake Formation の使用を開始する] を選択します。

    注記

    このオプションを選択したら、Lambda 関数を自分で管理する必要があります。Athena は Lambda 関数を削除しません。

  5. [データカタログ名] には、カタログの一意の名前を指定します。

  6. Lambda 関数を呼び出すアクセス許可を Lake Formation に付与する [Lake Formation IAM ロール] を選択します。に示すようなアクセス許可をロールが持っていることを確認します。

  7. テキストボックスに「confirm」と入力して Athena データソースを削除し、Glue データカタログ登録に置き換えます。

    注記

    このアクションにより、Athena データソースが削除され、代わりに新しい Glue データカタログが作成されます。このプロセスが完了したら、データソースにアクセスするクエリを更新して、代わりに新しく作成された Glue データカタログを参照する必要がある場合があります。

  8. [カタログを作成し Lake Formation に移動] を選択します。これにより、Lake Formation コンソールが開き、そこでカタログを管理し、カタログ、データベース、テーブルに対するアクセス許可をユーザーに付与できます。