タグベースのアクセスコントロールを使用したデータ共有 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

タグベースのアクセスコントロールを使用したデータ共有

AWS Lake Formation タグベースのアクセスコントロール (LF-TBAC) は、属性に基づいてアクセス許可を定義する認可戦略です。以下の手順では、LF タグを使用してクロスアカウント許可を付与する方法を説明します。

プロデューサー/付与者アカウントで必要なセットアップ

  1. LF タグを追加します。

    1. データレイク管理者または LF タグ作成者として Lake Formation コンソールにサインインします。

    2. 左側のナビゲーションバーで、アクセス許可LF タグ、アクセス許可を選択します。

    3. [Add LF-Tag] (LF タグを追加) を選択します。

      LF タグを作成する詳細な手順については、「」を参照してくださいLF タグの作成

  2. アカウントまたは外部アカウントの IAM プリンシパルに、LF タグのキーと値のペアを記述および/または関連付けるアクセス許可を付与します。

    LF タグのキーと値のペアに対するアクセス許可を付与すると、プリンシパルは LF タグを表示し、それらを Data Catalog リソース (データベース、テーブル、列) に割り当てることができます。

  3. 次に、データレイク管理者または関連付け権限を持つ IAM プリンシパルは、データベース、テーブル、または列に LF タグを割り当てることができます。詳細については、「Data Catalog リソースへの LF タグの割り当て」を参照してください。

  4. 次に、LF タグ式を使用して外部アカウントにデータアクセス許可を付与します。これにより、アクセス許可の被付与者または受信者は、同じキー (複数可) と値 (複数可) でタグ付けされた Data Catalog リソース (複数可) にアクセスできます。

    1. ナビゲーションペインで、アクセス許可データアクセス許可を選択します。

    2. [Grant] (付与) を選択します。

    3. アクセス許可を付与するページのプリンシパルで、外部アカウントを選択し、外部プリンシパルに直接クロスアカウント付与を行う場合は、プリンシパルの被付与者 AWS アカウント ID または IAM ロール、またはプリンシパルの Amazon リソースネーム (ARN) (プリンシパル ARN) を入力します。アカウント ID を入力した後、Enter キーを押します。

      外部アカウントと LF タグのキーと値のペアが指定されたアクセス許可の付与画面。

    4. LF タグまたはカタログリソースの場合は、LF タグに一致するリソース (推奨) を選択します。

      1. オプションの LF タグキーと値のペアまたは保存された LF タグ式 を選択します。

      2. LF タグのキーと値のペアを選択した場合は、被付与者アカウントと共有されている Data Catalog リソースに関連付けられている LF タグのキーと値 (複数可) を入力します

        被付与者には、LF タグ式で一致する LF タグが割り当てられたデータカタログリソースに対するアクセス許可が付与されます。LF タグ式がタグキーごとに複数の値を指定する場合、タグ値のいずれかを一致させることができます。

    5. LF タグ式に一致するリソースに付与するデータベースレベルまたはテーブルレベルのアクセス許可を選択します。

      重要

      データレイク管理者は、被付与者アカウントのプリンシパルに共有リソースに対するアクセス許可を付与する必要があるため、常に付与オプションを使用してクロスアカウントアクセス許可を付与する必要があります。

      詳細については、「コンソールを使用した LF-Tag アクセス許可の付与」を参照してください。

      注記

      クロスアカウント付与を直接受け取るプリンシパルには、[Grantable permissions] (付与可能なアクセス許可) オプションがありません。

受信者側/被付与者アカウントで必要なセットアップ

  1. コンシューマーアカウントのデータレイク管理者として Lake Formation コンソールにサインインします。

  2. 次に、コンシューマーアカウントでリソース共有を受け取ります。

    1. AWS RAM コンソールを開きます。

    2. ナビゲーションペインの「自分と共有」で、「リソース共有」を選択します。

    3. リソース共有を選択し、リソース共有を受け入れるを選択します。

  3. 別のアカウントとリソースを共有しても、そのリソースは引き続きプロデューサーアカウントに属し、Athena コンソール内には表示されません。リソースを Athena コンソールで表示するには、共有リソースを指すリソースリンクを作成する必要があります。リソースリンクの作成手順については、「共有 Data Catalog テーブルへのリソースリンクの作成」および「共有 Data Catalog データベースへのリソースリンクの作成」を参照してください。

    1. データカタログでデータベースまたはテーブルを選択します。

    2. データベース/テーブルページで、作成リソースリンク を選択します。

    3. データベースリソースリンクに次の情報を入力します。

      • リソースリンク名 – リソースリンクの一意の名前。

      • 送信先カタログ – リソースリンクを作成するカタログ。

      • 共有データベースリージョン – 別のリージョンでリソースリンクを作成する場合、共有されているデータベースのリージョン。

      • 共有データベース – 共有データベースを選択します。

      • 共有データベースのカタログ ID – 共有データベースのカタログ ID を入力します。

    4. [作成] を選択します。新しく作成されたリソースリンクは、データベースリストに表示されます。

    同様に、共有テーブルへのリソースリンクを作成できます。

  4. ここで、リソースを共有している IAM プリンシパルへのリソースリンクに対する Describe アクセス許可を付与します。

    1. データベース/テーブルページでリソースリンクを選択し、アクションメニューで付与を選択します。

    2. アクセス許可を付与セクションで、IAM ユーザーとロールを選択します。

    3. リソースリンクへのアクセスを許可する IAM ロールを選択します。

    4. リソースリンクのアクセス許可セクションで、説明を選択します。

    5. [Grant] (付与) を選択します。

  5. 次に、コンシューマーアカウントのプリンシパルに LF タグのキーと値のアクセス許可を付与します。

    共有されている LF タグは、Lake Formation コンソールのコンシューマーアカウント、アクセス許可LF タグ、アクセス許可で確認できます。グランターから共有されたタグを、データベース、テーブル、列を含むグランターアカウントから共有されたリソースに関連付けることができます。さらに、リソースに対するアクセス許可を他のプリンシパルに付与できます。

    画面には、アカウントの LF タグのアクセス許可が表示されます。

    1. ナビゲーションペインの「アクセス許可」、「データアクセス許可」で、「付与」を選択します。

    2. アクセス許可の付与ページで、IAM ユーザーとロールを選択します。

    3. 次に、アカウントの IAM ユーザーとロールを選択して、共有データベース/テーブルへのアクセスを許可します。

    4. 次に、LF タグまたはカタログリソースで、LF タグに一致するリソースを選択します。

    5. 次に、共有されている LF タグのキーと値を選択します。

    6. 次に、IAM ユーザーとロールに付与するデータベースとテーブルのアクセス許可を選択します。また、IAM ユーザーとロールが他のユーザー/ロールにアクセス許可を付与できるようにする付与可能なアクセス許可を選択することもできます。

    7. [Grant] (付与) を選択します。

    8. Lake Formation コンソールの Data permissions でアクセス許可の付与を表示できます。