Lake Formation 許可の概要

AWS Lake Formation には、2 つの主な許可タイプがあります。

• メタデータアクセス – Data Catalog リソースに対する許可 (Data Catalog 許可)。

  これらの許可は、プリンシパルが Data Catalog 内のメタデータデータベースとテーブルの作成、読み取り、更新、および削除を実行できるようにします。

• 基盤となるデータのアクセス – Amazon Simple Storage Service (Amazon S3) 内のロケーションに対する許可 (データアクセス許可とデータロケーション許可)。

  • データレイクのアクセス許可により、プリンシパルが基盤となる Amazon S3 ロケーション (データカタログリソースがポイントするデータ) に対するデータの読み取りと書き込みが実行できるようになります。

  • データロケーション許可は、プリンシパルが特定の Amazon S3 ロケーションをポイントするメタデータデータベースとテーブルの作成と変更を実行できるようにします。

どちらの分野でも、Lake Formation は Lake Formation 許可と AWS Identity and Access Management (IAM) 許可の組み合わせを使用します。IAM 許可モデルは、IAM ポリシーで構成されます。Lake Formation 許可モデルは、Grant SELECT on tableName to userName のような、DBMS 形式の GRANT/REVOKE コマンドとして実装されます。

プリンシパルが Data Catalog リソース、または基盤となるデータへのアクセスをリクエストするときにリクエストが成功するには、そのリクエストが IAM と Lake Formation の両方による許可チェックに合格する必要があります。

Lake Formation 許可は Data Catalog リソース、Amazon S3 ロケーション、およびこれらのロケーションにある基盤となるデータへのアクセスを制御します。IAM 許可は、Lake Formation、および AWS Glue の API とリソースへのアクセスを制御します。このため、Data Catalog にメタデータテーブルを作成するための Lake Formation 許可 (CREATE_TABLE) を持っていても、glue:CreateTable API に対する IAM の許可を持っていなければ、操作が失敗します。(glue: 許可である理由は、Lake Formation が AWS Glue Data Catalog を使用するからです。)

注記

Lake Formation 許可は、それらが付与されたリージョンのみで適用されます。

AWS Lake Formation は、各プリンシパル (ユーザーまたはロール) に、Lake Formation が管理するリソースに対してアクションを実行する権限があることを必要とします。プリンシパルは、データレイク管理者、または Lake Formation 許可を付与する許可を持つ別のプリンシパルから必要な認可を付与されます。

Lake Formation 許可をプリンシパルに付与するときは、その許可を別のプリンシパルに渡す能力をオプションで付与できます。

Lake Formation 許可は、Lake Formation API、AWS Command Line Interface (AWS CLI)、または Lake Formation コンソールの [Data permissions](データの許可) および [Data locations] (データのロケーション) ページを使用して付与または取り消すことができます。