翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザーおよびグループへのアクセス許可の付与
データレイク管理者は、データカタログリソース (データベース、テーブル、ビュー) について IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与できます。これにより、データに簡単にアクセスできるようになります。データレイクのアクセス許可を付与または取り消すには、付与者に次の IAM アイデンティティセンターアクションに対するアクセス許可が必要です。
許可は、Lake Formation コンソール、API、または AWS CLIを使用して付与することができます。
許可の付与の詳細については、「Data Catalog リソースに対する許可の付与と取り消し」を参照してください。
アクセス許可は、アカウント内のリソースに対してのみ付与できます。共有されているリソースのユーザーとグループに許可をカスケードするには、 AWS RAM リソース共有を使用する必要があります。
- AWS Management Console
-
ユーザーおよびグループにアクセス許可を付与するには
にサインインし AWS Management Console、https://console.aws.amazon.com/lakeformation/ で Lake Formation コンソールを開きます。
Lake Formation コンソールの [許可] で [データレイクのアクセス許可] を選択します。
[付与] を選択します。
[データレイクのアクセス許可の付与] ページで、[SSM] ユーザーとグループを選択します。
[追加] を選択して、許可を付与するユーザーとグループを選択します。
-
[ユーザーとグループの割り当て] 画面で、許可を付与するユーザーやグループを選択します。
[割り当て] を選択します。
次に、許可を付与する方法を選択します。
名前付きリソース方式を使用して許可を付与する手順については、「名前付きリソース方式を使用したデータレイクのアクセス許可の付与」を参照してください。
LF タグを使用して許可を付与する手順については、「LF-TBAC 方式を使用したデータレイク許可の付与」を参照してください。
許可を付与するデータカタログリソースを選択します。
付与するデータカタログのアクセス許可を選択します。
[付与] を選択します。
- AWS CLI
-
次の例は、テーブルに対する SELECT 許可を IAM アイデンティティセンターユーザーに付与する方法を示しています。
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserId> \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
IAM Identity Center UserIdから を取得するには、「IAM Identity Center API リファレンス」の「 GetUserIdオペレーション」を参照してください。
![IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。](images/identity-center-grant-perm.png)
![IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。](images/identity-center-assign-users-groups.png)
