Amazon EMR を と統合する AWS Lake Formation

AWS Lake Formation は、Amazon Simple Storage Service (S3) データレイク内のデータの検出、カタログ化、クレンジング、保護に役立つマネージドサービスです。Lake Formation は、 AWS Glue データカタログ内のデータベースとテーブルへのきめ細かな列レベルのアクセスを提供します。詳細については、「What is AWS Lake Formation?」を参照してください。

Amazon EMR リリース 6.7.0 以降では、Amazon EMR クラスターに送信する Spark、Hive、Presto のジョブに Lake Formation ベースのアクセスコントロールを適用できます。Lake Formation と統合するには、ランタイムロールを使用する EMR クラスターを作成する必要があります。ランタイムロールは、Amazon EMR のジョブまたはクエリに関連付ける AWS Identity and Access Management (IAM) ロールです。その後、Amazon EMR はこのロールを使用して AWS リソースにアクセスします。詳細については、「Amazon EMR ステップのランタイムロール」を参照してください。

Amazon EMR と Lake Formation の連携の仕組み

Amazon EMR を Lake Formation と統合したら、 Step API または SageMaker AI Studio を使用して Amazon EMR クラスターにクエリを実行できます。その後、Lake Formation は Amazon EMR 用の一時的な認証情報を使用してデータへのアクセスを提供します。このプロセスは、認証情報の供給と呼ばれます。詳細については、「What is AWS Lake Formation?」を参照してください。

以下は、Amazon EMR が Lake Formation セキュリティポリシーで保護されたデータにアクセスする方法の概要を示します。

1. ユーザーが Lake Formation 内のデータに対して Amazon EMR クエリを送信します。

2. Amazon EMR は、ユーザーにデータアクセス権を付与するために、Lake Formation に一時的な認証情報をリクエストします。

3. Lake Formation が一時的な認証情報を返します。

4. Amazon EMR は、Amazon S3 からデータを取り出すためのクエリリクエストを送信します。

5. Amazon EMR は Amazon S3 からデータを受信し、ユーザーが Lake Formation で定義したユーザーアクセス許可に基づいてフィルタリングし、結果を返します。

Lake Formation ポリシーへのユーザーおよびグループの追加については、「Granting Data Catalog permissions」を参照してください。

前提条件

Amazon EMR と Lake Formation を統合する前に、次の要件を満たす必要があります。

• Amazon EMR クラスターでランタイムロール認可を有効にします。

• AWS Glue データカタログをメタデータストアとして使用します。

• Glue Data Catalog のデータベース、テーブル、列にアクセスするためのアクセス許可を Lake Formation AWS で定義および管理します。詳細については、「What is AWS Lake Formation?」を参照してください。

トピック

• Amazon EMR での Lake Formation の有効化

• Amazon EMR での Apache Hudi と Lake Formation

• Amazon EMR での Apache Iceberg と Lake Formation

• Amazon EMR での Delta Lake と Lake Formation

• Amazon EMR での Lake Formation の使用に関する考慮事項

• フルテーブルアクセスでの Lake Formation ジョブランタイムロールの使用