フィルターを使用したアクセス許可の付与

Amazon DataZone は、定義された行と列のフィルターを の適切な許可に変換することで、きめ細かなアクセスコントロールを可能にします。 AWS Lake Formation と Amazon Redshift。以下は、Amazon が両方のフィルターをどのようにマ DataZone テリアライズするかの説明です。 AWS Glue テーブルと Amazon Redshift。

AWS Glue テーブル

へのサブスクリプションの場合 AWS 行フィルターや列フィルターを含む Glue テーブルが承認され、Amazon は で許可を作成してサブスクリプションをマ DataZone テリアライズします。 AWS データセルフィルターを使用した Lake Formation により、サブスクライバープロジェクトのメンバーは、サブスクリプションに適用されたフィルターに基づいてアクセスが許可されている行と列にのみアクセスできるようになります。

Amazon は DataZone 、まず Amazon で適用された行と列のフィルターを に変換 DataZone します。 AWS Lake Formation データセルフィルター。複数の行フィルターと列フィルターが使用されている場合、Amazon はすべての列とすべての行フィルター条件を DataZone 結合して、行レベルと列レベルの両方で有効なアクセス許可を計算します。 DataZone 次に、Amazon は 1 つの AWS 有効な行と列のアクセス許可を使用した Lake Formation データセルフィルター。

データセルフィルターが作成されると、Amazon は で読み取り専用 (SELECT) アクセス許可を作成して、サブスクライバープロジェクトとサブスクライブされたテーブル DataZone を共有します。 AWS このデータセルフィルターを使用する Lake Formation。

Amazon Redshift

行フィルターや列フィルターを含む Amazon Redshift テーブル/ビューへのサブスクリプションが承認されると、Amazon Redshift でスコープダウンされた遅延バインディングビューを作成してサブスクリプションを DataZone マテリアライズします。これにより、サブスクライバープロジェクトのメンバーは、サブスクリプションに適用された行と列フィルターに基づいて、アクセスが許可されている行と列にのみアクセスできます。

Amazon は DataZone まず、Amazon のサブスクリプションに適用された行と列のフィルター DataZone を Amazon Redshift 遅延バインディングビューに変換します。複数の行フィルターと列フィルターが使用されている場合、Amazon はすべての列とすべての行フィルター条件を から DataZone 結合して、行レベルと列レベルの両方で有効なアクセス許可を計算します。 DataZone 次に、Amazon は有効な行と列のアクセス許可を使用して遅延バインディングビューを作成します。

遅延バインディングビューが作成されると、Amazon Redshift で読み取り専用 (SELECT) アクセス許可を作成して、Amazon はこのビューをサブスクライバープロジェクトのメンバー DataZone と共有します。