翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 データアクセスを含む AWS Data Exchange データセットにアクセスする
受取人向けの概要
AWS Data Exchange for Amazon S3 を使用すると、受信者はデータ所有者の Amazon S3 バケットから直接サードパーティーのデータファイルにアクセスできます。
受信者として、Amazon S3 データセット AWS Data Exchange の に対する権限を取得したら、Amazon Athena、 SageMaker Feature Store、Amazon AWS のサービス などの を使用して、Amazon S3 バケット内のデータ所有者のデータEMRを直接使用してデータ分析を開始できます。
以下の点を考慮します。
-
データ所有者は、提供されたデータをホストする Amazon S3 バケットで、Amazon S3 の機能であるリクエスタ支払いを有効にすることができます。有効にすると、受信者は theirAmazon S3 バケットへのデータの読み取り、使用、転送、エクスポート、またはコピーに対して支払いを行います。詳細については、Amazon Simple Storage Service ユーザーガイド の「ストレージ転送と使用量にリクエスタ支払いバケットを使用する」を参照してください。
-
AWS Data Exchange for Amazon S3 データ製品に対する へのデータ許可を受け入れると、 は Amazon S3 アクセスポイント AWS Data Exchange を自動的にプロビジョニングし、そのリソースポリシーを更新して読み取り専用アクセスを許可します。Amazon S3 Access Points は、Amazon S3 バケットへのデータ共有を簡素化する Amazon S3 の機能です。詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 アクセスポイントを使用したデータアクセスの管理」を参照してください。
-
Amazon S3 アクセスポイント Amazon リソースネーム (ARN) またはエイリアスを使用して共有データにアクセスする前に、IAMアクセス許可を更新する必要があります。現在のロールとそれに関連するポリシーで、プロバイダーの Amazon S3 バケットと が提供する Amazon S3 アクセスポイントへの GetObject および ListBucket 呼び出しが許可されていることを確認できます AWS Data Exchange。
以下のセクションでは、 AWS Data Exchange コンソールを使用してデータ許可を承諾した後、 AWS Data Exchange for Amazon S3 データセットにアクセスする完全なプロセスについて説明します。
独自の Amazon S3 バケットを設定したり、データファイルを Amazon S3 バケットにコピーしたり、関連するストレージ料金を支払ったりすることなく、クエリを実行してデータをインプレースで分析できます。データ所有者が管理しているのと同じ Amazon S3 オブジェクトにアクセスして、最新の利用可能なデータを使用できます。
データ許可では、次のことを実行できます。
-
Amazon S3 バケットを個別に設定したり、ファイルをコピーしたり、ストレージ料金を支払ったりすることなく、データを分析できます。
-
データ所有者が更新すると同時に最新のプロバイダーデータにアクセスする。
データセット、リビジョン、アセットを表示するには
-
ウェブブラウザを開き、AWS Data Exchange コンソール
にサインインします。 -
左側のナビゲーションペインで、[マイデータ] の [権限を持つデータセット] を選択します。
-
[権限を持つデータセット] ページで、データセットを選択します。
-
データセットの概要を表示します。
注記
提供されたデータは、データ所有者の Amazon S3 バケットに保存されます。このデータにアクセスする場合、所有者が特に指定しない限り、リクエストのコストと所有者の Amazon S3 バケットからダウンロードされたデータにはお客様が責任を負います。
-
開始する前に、ロールには、権限のある Amazon S3 データアクセスを使用するIAMためのアクセス許可が必要です。データセットの概要ページの Amazon S3 データアクセスタブで、アクセスIAM許可の検証を選択して、ロールにデータにアクセスするための正しいアクセス許可があるかどうかを確認します。
-
必要なIAMアクセス許可がある場合は、表示されるIAMポリシープロンプトで次へを選択します。必要なアクセス許可がない場合は、プロンプトに従ってユーザーまたはロールにJSONポリシーを埋め込みます。
-
共有場所を確認して、データ所有者が共有する Amazon S3 バケットまたはプレフィックスとオブジェクトを表示します。Amazon S3 アクセスポイント情報のデータアクセス情報を参照し、データ所有者がリクエスタ支払いを有効にしているかどうかを確認します。
-
共有 Amazon S3 の場所を参照を選択して、データ所有者の Amazon S3 バケット、プレフィックス、共有オブジェクトを表示および探索します。
-
Amazon S3 バケット名を使用する場所ならどこでも アクセスポイント エイリアスを使用して、資格のあるデータにプログラムでアクセスできます。詳細については、Amazon Simple Storage Service ユーザーガイドの「互換性のある Amazon S3 オペレーションでのアクセスポイントの使用」を参照してください。
-
(オプション) データ所有者の で暗号化されたデータを含む Amazon S3 データアクセスデータセットのエンタイトルメントを取得すると AWS KMS key、コンソールARNで KMS キーを表示できます。 は、暗号化されたデータにアクセスできるように、 キーに対する AWS KMS 許可 AWS Data Exchange を作成します。権限を取得した Amazon S3 アクセスポイントから暗号化されたデータを読み取る AWS KMS key には、 に対する
kms:DecryptIAMアクセス許可を取得する必要があります。次のIAMポリシーステートメントから選択できます。-
IAM ポリシーにより、ユーザーは任意のKMSキーを使用してデータを復号または暗号化できます。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["kms:Decrypt"], "Resource": ["*"] } ] } -
IAM ポリシーを使用すると、ユーザーは受信者コンソールARNsに表示される正確なKMSキーを指定できます。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "<KMS key Arn from recipient's console> ] } ] }
-
注記
AWS KMS 許可は、オペレーションが最終的な一貫性を達成するまでに最大 5 分かかる場合があります。これが完了するまでは、Amazon S3 データアクセスデータセットにアクセスできない場合があります。詳細については、AWS KMS key 「 Management Service デベロッパーガイドAWS」の「 のグラントKMS」を参照してください。
