リソースリンク許可の付与 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リソースリンク許可の付与

AWS アカウントのプリンシパルに 1 つ以上のリソースリンクに対する AWS Lake Formation アクセス許可を付与するには、次の手順に従います。

リソースリンクの作成後は、作成したユーザーのみがそのリンクを表示してアクセスすることができます。(これは、データベースに [Use only IAM access control for new tables in this database] (このデータベース内の新しいテーブルには IAM アクセスコントロールのみを使用する) が有効化されていないことを前提としています。) アカウント内の他のプリンシパルがリソースリンクにアクセスすることを許可するには、少なくとも DESCRIBE 許可を付与してください。

重要

リソースリンクに対する許可を付与しても、ターゲットの (リンクされた) データベースまたはテーブルに対する許可は付与されません。ターゲットに対する許可は、別途付与する必要があります。

Lake Formation コンソール、 API、または AWS Command Line Interface () を使用して許可を付与できますAWS CLI。

console
Lake Formation コンソールを使用してリソースリンク許可の付与するには

  1. 次のいずれかを行います。

    • データベースリソースリンクの場合は、「名前付きリソース方式を使用したデータベースのアクセス権限の付与」の手順に従って以下を実行します。

      1. [データレイクのアクセス許可を付与] ページを開きます。

      2. データベースを指定します。1 つ、または複数のデータベースリソースリンクを指定します。

      3. プリンシパルを指定します。

    • テーブルリソースリンクの場合は、「名前付きリソース方式を使用したテーブル許可の付与」の手順に従って以下を実行します。

      1. [データレイクのアクセス許可を付与] ページを開きます。

      2. テーブルを指定します。1 つ、または複数のテーブルリソースリンクを指定します。

      3. プリンシパルを指定します。

  2. [Permissions] (許可) で、付与する許可を選択します。オプションで、[Grantable Permissions] (付与可能な許可) を選択します。

    [Permissions] (許可) セクションには 2 つのタイルがあります。各タイルには、オプションボタンとテキストがあります。[Resource link permissions] (リソースリンクの許可) タイルが選択されています。もう一方のタイルは、テーブル許可に関連するものであることから、無効になっています。タイルの下には、付与するリソースリンク許可に対するチェックボックスのグループがあります。チェックボックスには、[Drop] (ドロップ)、[Describe] (記述)、および [Super] (スーパー) があります。そのグループの下には、付与可能な許可に対する同じチェックボックスのグループがもう 1 つあります。

  3. [Grant] (付与) を選択します。

AWS CLI
を使用してリソースリンクのアクセス許可を付与するには AWS CLI

  • リソースリンクをリソースとして指定して、grant-permissions コマンドを実行します。

    この例ではDESCRIBE、 AWS アカウント 1111-2222-3333 datalake_user1の データベースincidents-linkのテーブルリソースリンクissuesに対する をユーザーに付与します。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
以下も参照してください。