Lake Formation と IAM Identity Center の接続 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation と IAM Identity Center の接続

IAM Identity Center を使用して ID を管理し、Lake Formation を使用して Data Catalog リソースへのアクセスを許可する前に、次のステップを完了する必要があります。Lake Formation コンソールまたは を使用して IAM Identity Center 統合を作成できます AWS CLI。

AWS Management Console
Lake Formation を IAM Identity Center に接続するには

  1. にサインインし AWS Management Console、 で Lake Formation コンソールを開きますhttps://console.aws.amazon.com/lakeformation/

  2. 左側のナビゲーションペインで、IAMIdentity Center 統合 を選択します。

    IAM Identity Center と Identity Center の統合画面ARN。

  3. (オプション) 1 つ以上の有効な AWS アカウント IDs、組織 、および/または組織単位IDsを入力してIDs、外部アカウントが Data Catalog リソースにアクセスできるようにします。IAM Identity Center のユーザーまたはグループが Lake Formation マネージド Data Catalog リソースにアクセスしようとすると、Lake Formation はメタデータアクセスを許可する IAMロールを引き受けます。IAM ロールが AWS Glue リソースポリシーと AWS RAM リソース共有を持たない外部アカウントに属している場合、IAMIdentity Center のユーザーとグループは、Lake Formation 許可があってもリソースにアクセスできません。

    Lake Formation は AWS Resource Access Manager 、 (AWS RAM) サービスを使用してリソースを外部アカウントおよび組織と共有します。 は、リソース共有を承諾または拒否するための招待を被付与者アカウント AWS RAM に送信します。

    詳細については、「からのリソース共有の招待の承諾 AWS RAM」を参照してください。

    注記

    Lake Formation は、外部アカウントのIAMロールが IAM Identity Center ユーザーおよびグループに代わってキャリアロールとして機能し、Data Catalog リソースにアクセスすることを許可しますが、アクセス許可は所有アカウント内の Data Catalog リソースに対してのみ付与できます。外部アカウントの Data Catalog リソースに対するアクセス許可を IAM Identity Center ユーザーおよびグループに付与しようとすると、Lake Formation は次のエラーをスローします。「クロスアカウント付与はプリンシパルではサポートされていません」。

  4. (オプション) Lake Formation 統合の作成画面で、Lake Formation ARNs に登録されている Amazon S3 ロケーションのデータにアクセスできるサードパーティーアプリケーションの を指定します。Lake Formation は、有効なアクセス許可に基づいて、スコープダウンされた一時的な認証情報を AWS STS トークンの形式で登録された Amazon S3 ロケーションに供給し、承認されたアプリケーションがユーザーに代わってデータにアクセスできるようにします。

  5. [Submit] (送信) を選択します。

    Lake Formation 管理者がステップを終了して統合を作成すると、IAMアイデンティティセンターのプロパティが Lake Formation コンソールに表示されます。これらのタスクを完了すると、Lake Formation は IAM Identity Center 対応アプリケーションになります。コンソールのプロパティには統合ステータスが含まれます。統合が完了すると、統合ステータスに Success と表示されます。このステータスは、IAMIdentity Center の設定が完了したかどうかを示します。

AWS CLI

  • 次の例は、Lake Formation と IAM Identity Center の統合を作成する方法を示しています。アプリケーションの Status (ENABLEDDISABLED) を指定することもできます。

    aws lakeformation create-lake-formation-identity-center-configuration \
    --catalog-id <123456789012> \
    --instance-arn <arn:aws:sso:::instance/ssoins-112111f12ca1122p> \
    --share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
                        {"DataLakePrincipalIdentifier": "<555555555555>"}]' \
    --external-filtering '{"AuthorizedTargets": ["<app arn1>", "<app arn2>"], "Status": "ENABLED"}'

  • 次の例は、Lake Formation と IAM Identity Center の統合を表示する方法を示しています。

    aws lakeformation describe-lake-formation-identity-center-configuration
 --catalog-id <123456789012>