Lake Formation 許可の概要 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation 許可の概要

AWS Lake Formationには、2 つの主な許可タイプがあります。

  • メタデータアクセス – Data Catalog リソースに対する許可 (Data Catalog 許可)。

    これらの許可は、プリンシパルが Data Catalog 内のメタデータデータベースとテーブルの作成、読み取り、更新、および削除を実行できるようにします。

  • 基盤となるデータアクセス – Amazon Simple Storage Service (Amazon S3) 内のロケーションに対するアクセス許可 (データアクセス許可データロケーション許可)。

    • データレイクのアクセス許可により、プリンシパルが基盤となる Amazon S3 ロケーション (データカタログリソースがポイントするデータ) に対するデータの読み取りと書き込みが実行できるようになります。

    • データロケーション許可は、プリンシパルが特定の Amazon S3 ロケーションをポイントするメタデータデータベースとテーブルの作成と変更を実行できるようにします。

どちらの領域でも、Lake Formation は Lake Formation 許可と AWS Identity and Access Management (IAM) 許可の組み合わせを使用します。IAM 許可モデルは、IAM ポリシーで構成されます。Lake Formation 許可モデルは、Grant SELECT on tableName to userName のような、DBMS 形式の GRANT/REVOKE コマンドとして実装されます。

プリンシパルが Data Catalog リソース、または基盤となるデータへのアクセスをリクエストするときにリクエストが成功するには、そのリクエストが IAM と Lake Formation の両方による許可チェックに合格する必要があります。

リクエスト元からのリクエストは、リソースに到達するために Lake Formation 許可と IAM 許可の 2 つの「ドア」を通過する必要があります。

Lake Formation 許可は Data Catalog リソース、Amazon S3 ロケーション、およびこれらのロケーションにある基盤となるデータへのアクセスを制御します。IAM 許可は、Lake Formation、および AWS Glue の API とリソースへのアクセスを制御します。このため、Data Catalog にメタデータテーブルを作成するための Lake Formation 許可 (CREATE_TABLE) を持っていても、glue:CreateTable API に対する IAM の許可を持っていなければ、操作が失敗します。(glue: 許可である理由は、Lake Formation が AWS Glue Data Catalog を使用するからです。)

注記

Lake Formation 許可は、それらが付与されたリージョンのみで適用されます。

AWS Lake Formation では、各プリンシパル (ユーザーまたはロール) が Lake Formation が管理するリソースに対してアクションを実行する権限を持っている必要があります。プリンシパルは、データレイク管理者、または Lake Formation 許可を付与する許可を持つ別のプリンシパルから必要な認可を付与されます。

Lake Formation 許可をプリンシパルに付与するときは、その許可を別のプリンシパルに渡す能力をオプションで付与できます。

Lake Formation API、 AWS Command Line Interface (AWS CLI)、または Lake Formation コンソールのデータ許可データロケーションページを使用して、Lake Formation 許可を付与および取り消すことができます。