ハイブリッドアクセスモードの設定の前提条件 - AWS Lake Formation
Amazon S3 バケットの場所とユーザーアクセス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ハイブリッドアクセスモードの設定の前提条件

ハイブリッドアクセスモードを設定するための前提条件を次に示します。

注記

Lake Formation 管理者が Amazon S3 ロケーションをハイブリッドアクセスモードで登録し、プリンシパルとリソースをオプトインすることをお勧めします。

  1. データロケーション許可 (DATA_LOCATION_ACCESS) は、Amazon S3 ロケーションをポイントする Data Catalog リソースを作成する場合に付与します。データロケーション許可は、特定の Amazon S3 ロケーションをポイントする Data Catalog データベースとテーブルを作成する機能を制御します。

  2. ハイブリッドアクセスモードで Data Catalog リソースを (リソースから IAMAllowedPrincipals グループアクセス許可を削除せずに) 別のアカウントと共有するには、[クロスアカウントバージョン設定] をバージョン 4 に更新する必要があります。Lake Formation コンソールを使用してバージョンを更新するには、[データカタログの設定] ページの [クロスアカウントバージョン設定][バージョン 4] を選択します。

    put-data-lake-settings AWS CLI コマンドを使用して、 CROSS_ACCOUNT_VERSIONパラメータをバージョン 4 に設定することもできます。

    aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
"DataLakeAdmins": [
        {
"DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
"CROSS_ACCOUNT_VERSION": "4"
    }
}

  3. 
ハイブリッドアクセスモードでクロスアカウントアクセス許可を付与するには、付与者に AWS Glue および AWS RAM サービスに必要なIAMアクセス許可が必要です。 AWS 管理ポリシーは、必要なアクセス許可AWSLakeFormationCrossAccountManagerを付与します。
 ハイブリッドアクセスモードでクロスアカウントデータ共有を有効にするために、次の 2 つの新しいIAMアクセス許可を追加して、 AWSLakeFormationCrossAccountManager マネージドポリシーを更新しました。

    • ram:ListResourceSharePermissions

    • ram:AssociateResourceSharePermission

    注記

    付与者ロールに AWS マネージドポリシーを使用していない場合は、カスタムポリシーに上記のポリシーを追加します。

Amazon S3 バケットの場所とユーザーアクセス

でデータベースまたはテーブルを作成するときに AWS Glue Data Catalog、基盤となるデータの Amazon S3 バケットの場所を指定し、Lake Formation に登録できます。以下の表は、テーブルまたはデータベースの Amazon S3 データの場所に基づいて、 AWS Glue および Lake Formation ユーザー (プリンシパル) に対するアクセス許可の仕組みを示しています。

Lake Formation に登録されている Amazon S3 の場所
データベースの Amazon S3 の場所 AWS Glue ユーザー Lake Formation ユーザー

Lake Formation に登録済み (ハイブリッドアクセスモードまたは Lake Formation モード)

IAMAllowedPrincipals グループ (スーパーアクセス) アクセス許可からアクセス許可を継承することで、Amazon S3 データロケーションへの読み取り/書き込みアクセスを許可します。

 付与されたアクセス許可からテーブルを作成するCREATETABLEアクセス許可を継承します。
関連付けられた Amazon S3 の場所がありません

CREATE TABLE および INSERTTABLEステートメントを実行するには、明示的なDATALOCATIONアクセス許可が必要です。

CREATE TABLE および INSERTTABLEステートメントを実行するには、明示的なDATALOCATIONアクセス許可が必要です。
IsRegisteredWithLakeFormation テーブルプロパティ

テーブルのIsRegisteredWithLakeFormationプロパティは、テーブルのデータロケーションがリクエスタの Lake Formation に登録されているかどうかを示します。ロケーションのアクセス許可モードが Lake Formation として登録されている場合、すべてのユーザーがそのテーブルにオプトインされていると見なされるため、 IsRegisteredWithLakeFormationプロパティはデータロケーションにアクセスするすべてのユーザーtrue用です。ロケーションがハイブリッドアクセスモードに登録されている場合、そのテーブルにオプトインしたユーザーtrueに対してのみ、値は に設定されます。

IsRegisteredWithLakeFormation の働き
アクセス許可モード ユーザー/ロール IsRegisteredWithLakeFormation 説明

Lake Formation

 すべて True

ロケーションが Lake Formation に登録されると、IsRegisteredWithLakeFormationプロパティはすべてのユーザーに対して true に設定されます。つまり、Lake Formation で定義されたアクセス許可が、登録されたロケーションに適用されます。認証情報の自動販売は Lake Formation によって行われます。
ハイブリッドアクセスモード オプトイン True

テーブルのデータアクセスとガバナンスに Lake Formation の使用をオプトインしたユーザーの場合、そのテーブルtrueIsRegisteredWithLakeFormationプロパティは に設定されます。これらは、登録された場所の Lake Formation で定義されているアクセス許可ポリシーの対象となります。
ハイブリッドアクセスモード オプトインされていません False

Lake Formation アクセス許可の使用をオプトインしていないユーザーの場合、 IsRegisteredWithLakeFormationプロパティは に設定されますfalse。これらは、登録された場所の Lake Formation で定義されているアクセス許可ポリシーの対象ではありません。代わりに、ユーザーは Amazon S3 アクセス許可ポリシーに従います。