Lake Formation のサービスリンクロールの使用 - AWS Lake Formation
Lake Formation のサービスリンクロールの許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation のサービスリンクロールの使用

AWS Lake Formation は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスリンクロールは、Lake Formation に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは Lake Formation によって事前定義されており、ユーザーに代わって他の AWS のサービスを呼び出すためにこのサービスが必要とするすべての許可が含まれています。

ロールを作成して必要な許可を手動で追加する必要がないため、サービスリンクロールは Lake Formation のセットアップを容易にします。サービスリンクロールの許可は Lake Formation が定義し、別途定義されている場合を除いて、Lake Formation のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

このサービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • lakeformation.amazonaws.com

Lake Formation のサービスリンクロールの許可

Lake Formation は、AWSServiceRoleForLakeFormationDataAccess という名前のサービスリンクロールを使用します。このロールは、Lake Formation 統合サービス (Amazon Athena など) が登録されたロケーションにアクセスすることを可能にする一連の Amazon Simple Storage Service (Amazon S3) 許可を提供します。データレイクロケーションを登録するときは、そのロケーションに対する必要な Amazon S3 読み取り/書き込み許可を持つロールを指定する必要があります。ユーザーは、必要な Amazon S3 許可を持つロールを作成する代わりに、このサービスリンクロールを使用することができます。

パスを登録するためのロールとしてサービスリンクロールを初めて指定すると、ユーザーに代わってサービスリンクロールと新しい IAM ポリシーが作成されます。Lake Formation がインラインポリシーにそのパスを追加し、ポリシーをサービスリンクロールにアタッチします。サービスリンクロールに後続のパスを登録すると、Lake Formation がそのパスを既存のポリシーに追加します。

データレイク管理者としてサインインしているときに、データレイクロケーションを登録します。次に、IAM コンソールで AWSServiceRoleForLakeFormationDataAccess ロールを検索し、アタッチされたポリシーを確認します。

例えば、s3://my-kinesis-test/logs のロケーションを登録すると、Lake Formation が以下のインラインポリシーを作成し、AWSServiceRoleForLakeFormationDataAccess にアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

このサービスリンクロールにロケーションを登録できるようにするには、以下の許可が必要です。

  • iam:CreateServiceLinkedRole

  • iam:PutRolePolicy

通常、データレイク管理者がこれらの許可を持っています。