ハイブリッドアクセスモードの設定の前提条件

ハイブリッドアクセスモードを設定するための前提条件は次のとおりです。

注記

Lake Formation 管理者が Amazon S3 ロケーションをハイブリッドアクセスモードで登録し、プリンシパルとリソースをオプトインすることをお勧めします。

1. データロケーション許可 (DATA_LOCATION_ACCESS) は、Amazon S3 ロケーションをポイントする Data Catalog リソースを作成する場合に付与します。データロケーションのアクセス許可は、特定の Amazon S3 ロケーションを指す Data Catalog カタログ、データベース、およびテーブルを作成する機能を制御します。

2. ハイブリッドアクセスモードで Data Catalog リソースを (リソースから IAMAllowedPrincipals グループアクセス許可を削除せずに) 別のアカウントと共有するには、[クロスアカウントバージョン設定] をバージョン 4 に更新する必要があります。Lake Formation コンソールを使用してバージョンを更新するには、[データカタログの設定] ページの [クロスアカウントバージョン設定] で [バージョン 4] を選択します。

   put-data-lake-settings AWS CLI コマンドを使用して、 CROSS_ACCOUNT_VERSIONパラメータをバージョン 4 に設定することもできます。

   aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
   {
   "DataLakeAdmins": [
           {
   "DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
           }
       ],
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "Parameters": {
   "CROSS_ACCOUNT_VERSION": "4"
       }
   } 
    

3. 
ハイブリッドアクセスモードでクロスアカウントアクセス許可を付与するには、付与者に AWS Glue および AWS RAM サービスに必要な IAM アクセス許可が必要です。 AWS 管理ポリシーは、必要なアクセス許可AWSLakeFormationCrossAccountManagerを付与します。
 ハイブリッドアクセスモードでクロスアカウントデータ共有を有効にするために、次の 2 つの新しい IAM アクセス許可を追加して AWSLakeFormationCrossAccountManager 管理ポリシーを更新しました。

   • ram:ListResourceSharePermissions

   • ram:AssociateResourceSharePermission

   注記

   付与者ロールに AWS 管理ポリシーを使用していない場合は、カスタムポリシーに上記のポリシーを追加します。

Amazon S3 バケットの場所とユーザーアクセス

でカタログ、データベース、またはテーブルを作成するときに AWS Glue Data Catalog、基盤となるデータの Amazon S3 バケットの場所を指定し、Lake Formation に登録できます。次の表は、テーブルまたはデータベースの Amazon S3 データの場所に基づいて、 AWS Glue および Lake Formation ユーザー (プリンシパル) のアクセス許可がどのように機能するかを示しています。

Lake Formation に登録された Amazon S3 ロケーション

データベースの Amazon S3 ロケーション	AWS Glue ユーザー	Lake Formation ユーザー
Lake Formation に登録 (ハイブリッドアクセスモードまたは Lake Formation モード)	IAMAllowedPrincipals グループ (スーパーアクセス) のアクセス許可を継承し、Amazon S3 データロケーションへの読み取り/書き込みアクセス権を持ちます。	付与された CREATE TABLE アクセス許可から、テーブルを作成するアクセス許可を継承します。
関連付けられた Amazon S3 ロケーションなし	CREATE TABLE および INSERT TABLE ステートメントを実行するには、明示的な DATA LOCATION アクセス許可が必要です。	CREATE TABLE および INSERT TABLE ステートメントを実行するには、明示的な DATA LOCATION アクセス許可が必要です。

IsRegisteredWithLakeFormation テーブルプロパティ

テーブルの IsRegisteredWithLakeFormation プロパティは、テーブルのデータロケーションがリクエスタの Lake Formation に登録されているかどうかを示します。ロケーションのアクセス許可モードが Lake Formation として登録されている場合は、すべてのユーザーがそのテーブルにオプトインされていると見なされるため、データロケーションにアクセスするすべてのユーザーに対して IsRegisteredWithLakeFormation プロパティが true になります。ロケーションがハイブリッドアクセスモードで登録されている場合は、そのテーブルにオプトインしたユーザーに対してのみ値が true に設定されます。

IsRegisteredWithLakeFormation の仕組み

アクセス許可モード	ユーザー/ロール	IsRegisteredWithLakeFormation	説明
Lake Formation	すべて	真	ロケーションが Lake Formation で登録されている場合、IsRegisteredWithLakeFormation プロパティはすべてのユーザーに対して true に設定されます。つまり、Lake Formation で定義されたアクセス許可が、登録されたロケーションに適用されます。認証情報供給は Lake Formation によって行われます。
ハイブリッドアクセスモード	オプトイン済み	真	テーブルのデータアクセスとガバナンスに Lake Formation を使用するようにオプトインしたユーザーでは、そのテーブルの IsRegisteredWithLakeFormation プロパティが true に設定されます。これらのユーザーには、登録されているロケーションに対して Lake Formation で定義されたアクセス許可ポリシーが適用されます。
ハイブリッドアクセスモード	オプトインなし	False	Lake Formation アクセス許可の使用にオプトインしていないユーザーの場合、IsRegisteredWithLakeFormation プロパティは false に設定されます。これらのユーザーには、登録されている場所に対して Lake Formation で定義されているアクセス許可ポリシーは適用されません。代わりに、ユーザーは Amazon S3 アクセス許可ポリシーに従います。