Amazon S3 データアクセスを含む AWS Data Exchange データセットにアクセスする

受取人向けの概要

AWS Data Exchange for Amazon S3 を使用すると、受信者はデータ所有者の Amazon S3 バケットから直接サードパーティーのデータファイルにアクセスできます。

受信者は、Amazon S3 データセット AWS Data Exchange の の資格を取得したら、Amazon Athena、SageMaker AI Feature Store、Amazon EMR AWS のサービス などの でデータ分析を開始できます。 Amazon S3

以下の点を考慮してください。

• データ所有者は、提供されたデータをホストする Amazon S3 バケットで、Amazon S3 の機能であるリクエスタ支払いを有効にすることができます。有効にすると、受取人は Amazon S3 バケットへのデータの読み取り、使用、転送、エクスポート、またはコピーに対して料金を支払います。詳細については、Amazon Simple Storage Service ユーザーガイド の「ストレージ転送と使用量にリクエスタ支払いバケットを使用する」を参照してください。

• AWS Data Exchange for Amazon S3 データ製品へのデータ許可を受け入れると、 は Amazon S3 アクセスポイント AWS Data Exchange を自動的にプロビジョニングし、そのリソースポリシーを更新して読み取り専用アクセスを許可します。Amazon S3 Access Points は、Amazon S3 バケットへのデータ共有を簡素化する Amazon S3 の機能です。詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 アクセスポイントを使用したデータアクセスの管理」を参照してください。

• Amazon S3 Access Points の Amazon リソースネーム (ARN) またはエイリアスを使用して共有データにアクセスするには、事前に IAM 権限を更新する必要があります。現在のロールおよび関連ポリシーで、プロバイダーの Amazon S3 バケットと AWS Data Exchangeが提供する Amazon S3 アクセスポイントへの GetObject および ListBucket 呼び出しが許可されていることを確認できます。

以下のセクションでは、 AWS Data Exchange コンソールを使用してデータ許可を承諾した後、Amazon S3 データセット AWS Data Exchange の にアクセスする完全なプロセスについて説明します。

独自の Amazon S3 バケットを設定したり、データファイルを Amazon S3 バケットにコピーしたり、関連するストレージ料金を支払ったりすることなく、クエリを実行してデータをインプレースで分析できます。データ所有者が管理しているのと同じ Amazon S3 オブジェクトにアクセスして、最新の利用可能なデータを使用できます。

データ許可では、次のことを実行できます。

• Amazon S3 バケットを個別に設定したり、ファイルをコピーしたり、ストレージ料金を支払ったりすることなく、データを分析できます。

• データ所有者が更新すると同時に最新のプロバイダーデータにアクセスする。

データセット、リビジョン、アセットを表示するには

1. ウェブブラウザを開き、AWS Data Exchange コンソール にサインインします。

2. 左側のナビゲーションペインで、[マイデータ] の [権限を持つデータセット] を選択します。

3. [権限を持つデータセット] ページで、データセットを選択します。

4. データセットの概要を表示します。

   注記

   提供されたデータは、データ所有者の Amazon S3 バケットに保存されます。このデータにアクセスする場合、所有者が特に指定しない限り、リクエストと所有者の Amazon S3 バケットからダウンロードされたデータのコストはお客様の負担となります。

5. 開始する前に、権限が付与された Amazon S3 データアクセスを使用するには、ロールに IAM アクセス権限が必要です。[データセットの概要] ページの [Amazon S3 データアクセス] タブで、[IAM 権限の検証] を選択して、ロールにデータにアクセスするための正しい権限があるかどうかを確認します。

6. 必要な IAM 権限がある場合は、表示される IAM ポリシープロンプトで [次へ] を選択します。必要な権限がない場合は、プロンプトに従って JSON ポリシーをユーザーまたはロールに埋め込みます。

7. 共有場所を確認して、Amazon S3 バケット、またはデータ所有者が共有しているプレフィックスとオブジェクトを表示します。Amazon S3 アクセスポイント情報のデータアクセス情報を参照し、データ所有者がリクエスタ支払いを有効にしているかどうかを確認します。

8. データ所有者の Amazon S3 バケット、プレフィックス、および共有オブジェクトを表示および探索するには、共有 Amazon S3 の場所を参照を選択します。 Amazon S3

9. Amazon S3 バケット名を使用する場所ならどこでも アクセスポイント エイリアスを使用して、資格のあるデータにプログラムでアクセスできます。詳細については、Amazon Simple Storage Service ユーザーガイドの「互換性のある Amazon S3 オペレーションでのアクセスポイントの使用」を参照してください。

10. （オプション) データ所有者の で暗号化されたデータを含む Amazon S3 データアクセスデータセットの使用権限を取得すると AWS KMS key、 コンソールで KMS キー ARN を表示できます。 AWS Data Exchange は、暗号化されたデータにアクセスできるように、キーに対する AWS KMS 許可を作成します。使用権限を取得した Amazon S3 アクセスポイントから暗号化されたデータを読み取る AWS KMS key には、 に対する kms:DecryptIAM アクセス許可を取得する必要があります。次の IAM ポリシーステートメントを選択できます。

    1. ユーザーが任意の KMS キーを使用してデータを復号化または暗号化できるようにする IAM ポリシー。

       {
           "Version": "2012-10-17",
           "Statement": [{
       
               "Effect": "Allow",
               "Action": ["kms:Decrypt"],
               "Resource": ["*"]
           }
         ]
       }

    2. 受取人のコンソールに表示される正確な KMS キー ARN を指定できるようにする IAM ポリシー。

       {
           "Version": "2012-10-17",
           "Statement": [{
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": [
                   "<KMS key Arn from recipient's console>
               ]
           }
         ]
       }

注記

AWS KMS 許可は、オペレーションが結果整合性を達成するまで最大 5 分かかる場合があります。これが完了するまでは、Amazon S3 データアクセスデータセットにアクセスできない場合があります。詳細については、AWS KMS key 「 Management Service デベロッパーガイド」の「KMS AWS でのグラント」を参照してください。