Lake Formation でのクロスアカウントデータ共有

Lake Formation では、名前付きリソース方式や LF タグを使った簡単な設定で、 AWS アカウント内やアカウント間で Data Catalog リソース (データベースやテーブル) を共有することができます。データベース全体を共有したり、データベースからテーブルをアカウント内の任意のIAMプリンシパル (IAMロールとユーザー）、アカウントレベルの他の AWS アカウント、または別のアカウントのIAMプリンシパルに直接選択したりできます。

Data Catalog テーブルをデータフィルターと共有して、行レベルとセルレベルの詳細へのアクセスを制限することもできます。Lake Formation は AWS Resource Access Manager （AWS RAM) を使用して、アカウント間のアクセス許可の付与を容易にします。リソースを 2 つのアカウントで共有すると、 AWS RAM は受信者アカウントに招待状を送信します。ユーザーが AWS RAM 共有招待を受け入れると、 は、データカタログリソースを使用可能にし、ストレージレベルの強制を有効にするために必要なアクセス許可を Lake Formation AWS RAM に提供します。詳細については、「Lake Formation でのクロスアカウントデータ共有」を参照してください。

受信者アカウントのデータレイク管理者が AWS RAM 共有を受け入れると、共有リソースは受信者アカウントで使用できます。データレイク管理者は、管理者が共有リソースに対するアクセス許可を持っている場合、受信者アカウントの追加のIAMプリンシパルに、共有リソースに対する追加の Lake Formation アクセスGRANTABLE許可を付与します。

ただし、プリンシパルは、リソースリンクがないと Athena または Redshift Spectrum を使用して共有リソースをクエリすることはできません。リソースリンクは Data Catalog 内のエンティティであり、Linux-Symlink の概念に似ています。

受信者アカウントのデータレイク管理者が、共有リソースにリソースリンクを作成します。管理者は、元の共有リソースに必要な許可とともに、リソースリンクの Describe 許可を追加のユーザーに付与します。受信者アカウントのユーザーは、リソースリンクを使用して Athena と Redshift Spectrum を使用して共有リソースをクエリできます。リソースリンクの詳細については、「リソースリンクの作成」を参照してください。