を使用した CloudTrail Lake フェデレーションリソースの管理 AWS Lake Formation - AWS CloudTrail
フェデレーションリソースへのアクセスの制御フェデレーションリソースのアクセス許可方式の決定Lake Formation を使用したクロスアカウント共有

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した CloudTrail Lake フェデレーションリソースの管理 AWS Lake Formation

イベントデータストアをフェデレーションすると、 はフェデレーションロールARNとイベントデータストアを CloudTrail に登録します。このサービスは AWS Lake Formation、 AWS Glue Data Catalog 内のフェデレーションリソースのきめ細かなアクセスコントロールを許可するサービスです。このセクションでは、Lake Formation を使用して CloudTrail Lake フェデレーションリソースを管理する方法について説明します。

フェデレーションを有効にすると、 は AWS Glue Data Catalog に次のリソース CloudTrail を作成します。

  • マネージドデータベース – account. CloudTrail manages データベースaws:cloudtrailごとに 1 つの名前のデータベース CloudTrail を作成します。でデータベースを削除または変更することはできません AWS Glue。

  • マネージドフェデレーティッドテーブル – フェデレーティッドイベントデータストアごとに 1 つのテーブル CloudTrail を作成し、テーブル名にイベントデータストア ID を使用します。 CloudTrail はテーブルを管理します。のテーブルを削除または変更することはできません AWS Glue。テーブルを削除するには、イベントデータストアのフェデレーションを無効化する必要があります。

フェデレーションリソースへのアクセスの制御

2 つのアクセス許可方式のいずれかを使用して、マネージドデータベースとテーブルへのアクセスを制御できます。

  • IAM アクセスコントロールのみ – アクセスコントロールIAMのみでは、必要なアクセスIAM許可を持つアカウント内のすべてのユーザーに、すべての Data Catalog リソースへのアクセス権が付与されます。が と AWS Glue どのように連携するかについてはIAM、「 とどのように連携するか AWS Glue IAM」を参照してください。

    Lake Formation コンソールでは、このメソッドはIAM「アクセスコントロールのみを使用する」と表示されます。

    注記

    データフィルターを作成して他の Lake Formation 機能を使用する場合は、Lake Formation アクセス制御を使用する必要があります。

  • Lake Formation のアクセス制御 – この方式には以下の利点があります。

アクセス制御の詳細については、「細粒度のアクセスコントロールのための方式」を参照してください。

フェデレーションリソースのアクセス許可方式の決定

初めてフェデレーションを有効にすると、 は Lake Formation データレイク設定を使用してマネージドデータベースとマネージドフェデレーションテーブル CloudTrail を作成します。

がフェデレーション CloudTrail を有効にした後、マネージドデータベースとマネージドフェデレーションテーブルに使用しているアクセス許可メソッドを確認するには、それらのリソースのアクセス許可を確認します。リソースに IAM_ALLOWED_PRINCIPALS 設定の ALL (スーパー ) が存在する場合、リソースは アクセスIAM許可によってのみ管理されます。設定がない場合、リソースは Lake Formation アクセス許可によって管理されます。Lake Formation のアクセス許可の詳細については、「Lake Formation の許可リファレンス」を参照してください。

マネージドデータベースとマネージドフェデレーションテーブルのアクセス許可方式は異なる場合があります。例えば、データベースとテーブルの値を確認すると、次のようになっている場合があります。

  • データベースの場合、 が ALL (スーパー ) に割り当てる値は、データベースのアクセスコントロールIAMのみを使用していることを示すアクセス許可にIAM_ALLOWED_PRINCIPALS存在します。

  • テーブルでは、ALL (Super) を IAM_ALLOWED_PRINCIPALS に割り当てた値が存在せず、Lake Formation アクセス許可によるアクセス制御を示しています。

Lake Formation のフェデレーションリソースの IAM_ALLOWED_PRINCIPALS アクセス許可に ALL (Super) を追加または削除することで、いつでもアクセス方式を切り替えることができます。

Lake Formation を使用したクロスアカウント共有

このセクションでは、Lake Formation を使用してマネージドデータベースとマネージドフェデレーションテーブルをアカウント間で共有する方法について説明します。

次の手順を実行すると、マネージドデータベースをアカウント間で共有できます。

  1. クロスアカウントデータ共有のバージョンをバージョン 4 に更新します。

  2. データベースに IAM_ALLOWED_PRINCIPALS への Super アクセス許可がある場合は削除して、Lake Formation アクセス制御に切り替えます。

  3. データベースで、外部のアカウントに Describe アクセス許可を付与します。

  4. Data Catalog リソースが と共有 AWS アカウント されており、アカウントが共有アカウントと同じ AWS 組織内にない場合は、 AWS Resource Access Manager () からのリソース共有の招待を受け入れますAWS RAM。詳細については、「 からのリソース共有の招待を受け入れる AWS RAM」を参照してください。

これらの手順を完了すると、データベースは外部アカウントに表示されるはずです。デフォルトでは、データベースを共有しても、データベース内のどのテーブルへのアクセス権も付与されません。

次の手順を実行すると、すべてまたは個別のマネージドフェデレーションテーブルを外部アカウントと共有できます。

  1. クロスアカウントデータ共有のバージョンをバージョン 4 に更新します。

  2. テーブルに IAM_ALLOWED_PRINCIPALS への Super アクセス許可がある場合は削除して、Lake Formation アクセス制御に切り替えます。

  3. (オプション) 任意のデータフィルターを指定して列や行を制限します。

  4. テーブルで、外部のアカウントに Select アクセス許可を付与します。

  5. Data Catalog リソースが と共有 AWS アカウント されており、アカウントが共有アカウントと同じ AWS 組織内にない場合は、 AWS Resource Access Manager () からのリソース共有の招待を受け入れますAWS RAM。組織の場合、 RAM設定を使用して自動承認できます。詳細については、「 からのリソース共有の招待を受け入れる AWS RAM」を参照してください。

  6. これで、テーブルが表示されるはずです。このテーブルで Amazon Athena クエリを有効にするには、共有テーブルとのリソースリンクをこのアカウントで作成します。

所有アカウントは、Lake Formation から外部アカウントのアクセス許可を削除するか、 でフェデレーションを無効にすることで、いつでも共有を取り消すことができます CloudTrail。