Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

クロスアカウントデータ共有のベストプラクティスと考慮事項

PDF
フォーカスモード
クロスアカウントデータ共有のベストプラクティスと考慮事項 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation のクロスアカウント機能を使用すると、ユーザーは分散データレイクを複数の AWS 組織間で安全に共有したり AWS アカウント、別のアカウントの IAM プリンシパルと直接共有したりして、データカタログのメタデータと基盤となるデータにきめ細かなアクセスを提供したりできます。

Lake Formation のクロスアカウントデータ共有を使用するときは、以下のベストプラクティスを検討してください。

  • 自分の AWS アカウントのプリンシパルに対して実行できる Lake Formation アクセス許可の付与数に制限はありません。ただし、Lake Formation は、名前付きリソースメソッドを使用してアカウントが実行できるクロスアカウント許可に AWS Resource Access Manager (AWS RAM) 容量を使用します。 AWS RAM 容量を最大化するには、名前付きリソースメソッドの以下のベストプラクティスに従います。

    • 新しいクロスアカウント付与モード (クロスアカウントバージョン設定バージョン 3 以降) を使用して、リソースを外部と共有します AWS アカウント。詳細については、「クロスアカウントデータ共有のバージョン設定の更新」を参照してください。

    • AWS アカウントを組織に整理し、組織または組織単位にアクセス許可を付与します。組織または組織単位への付与は、1 つの付与として計上されます。

      組織または組織単位に付与すると、グラントの AWS Resource Access Manager (AWS RAM) リソース共有の招待を受け入れる必要もなくなります。詳細については、「共有 Data Catalog テーブルとデータベースへのアクセスと表示」を参照してください。

    • データベース内にある多数のテーブルそれぞれに対する許可を付与する代わりに、特別な [All tables] (すべてのテーブル) ワイルドカードを使用して、データベース内のすべてのテーブルに対する許可を付与します。[All tables] (すべてのテーブル) に対する付与は、単一の付与として計上されます。詳細については、「データカタログリソースに対するアクセス許可の付与」を参照してください。

    注記

    でのリソース共有数の上限のリクエストの詳細については AWS RAM、「」のAWS 「サービスクォータ」を参照してくださいAWS 全般のリファレンス

  • Amazon Athena および Amazon Redshift Spectrum クエリエディタに表示するには、そのデータベースの共有データベースへのリソースリンクを作成する必要があります。同様に、Athena と Redshift Spectrum を使用して共有テーブルをクエリできるようにするには、そのテーブルへのリソースリンクを作成する必要があります。そうすることで、リソースリンクがクエリエディタのテーブルリストに表示されます。

    クエリのために多数のテーブルそれぞれに対するリソースリンクを作成する代わりに、[All tables] (すべてのテーブル) ワイルドカードを使用して、データベース内のすべてのテーブルに対する許可を付与することができます。そうすることで、そのデータベースのリソースリンクを作成し、クエリエディタでそのデータベースリソースリンクを選択するときに、クエリのために、そのデータベース内のすべてのテーブルにアクセスできるようになります。詳細については、「リソースリンクの作成」を参照してください。

  • 別のアカウントのプリンシパルとリソースを直接共有する場合、受信者アカウントの IAM プリンシパルには、Athena と Amazon Redshift Spectrum を使用して共有テーブルをクエリするためのリソースリンクを作成するアクセス許可がないことがあります。データレイク管理者は、共有されているテーブルごとにリソースリンクを作成する代わりに、プレースホルダーデータベースを作成して ALLIAMPrincipal グループに CREATE_TABLE アクセス許可を付与できます。その後、受信者アカウントのすべての IAM プリンシパルがプレースホルダーデータベースにリソースリンクを作成し、共有テーブルのクエリを開始できます。

    名前付きリソース方式を使用したデータベースのアクセス権限の付与 でアクセス許可を ALLIAMPrincipals に付与する方法については、CLI コマンドの例を参照してください。

  • Athena と Redshift Spectrum は列レベルのアクセスコントロールをサポートしますが、これは包含のみで、除外にはサポート適用されません。AWS Glue ETLジョブでは、列レベルのアクセスコントロールはサポートされません。

  • リソースが AWS アカウントと共有されている場合、リソースに対するアクセス許可はアカウントのユーザーのみに付与できます。リソースに対するアクセス許可を、他の AWS アカウント、組織 (自分の組織でもない)、または IAMAllowedPrincipalsグループに付与することはできません。

  • データベースに対する DROP または Super を外部アカウントに付与することはできません。

  • データベースまたはテーブルを削除する前に、クロスアカウント許可を取り消します。それ以外の場合は、 で孤立したリソース共有を削除する必要があります AWS Resource Access Manager。

関連情報

Related resources

AWS Lake Formation API リファレンス
AWS CLI の コマンド AWS Lake Formation
SDK とツール 

Related resources

AWS Lake Formation API リファレンス
AWS CLI の コマンド AWS Lake Formation
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.