翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 1: ユーザーとロールの既存の許可をリストする
既存のAWS Glueデータベースとテーブルで AWS Lake Formation アクセス許可の使用を開始するには、まずユーザーの既存のアクセス許可を決定する必要があります。
重要
開始する前に、「Lake Formation の使用の開始」のタスクを確実に完了してください。
API 操作の使用
AWS Identity and Access Management (IAM) ListPoliciesGrantingServiceAccess API オペレーションを使用して、各プリンシパル (ユーザーまたはロール) にアタッチされた IAM ポリシーを決定します。結果で返されたポリシーから、プリンシパルに付与されている IAM 許可を確認できます。API は、プリンシパルごとに個別に呼び出す必要があります。
次の AWS CLI 例では、ユーザー にアタッチされたポリシーを返しますglue_user1。
aws iam list-policies-granting-service-access --arn arn:aws:iam::111122223333:user/glue_user1 --service-namespaces glue
このコマンドは、以下のような結果を返します。
{ "PoliciesGrantingServiceAccess": [ { "ServiceNamespace": "glue", "Policies": [ { "PolicyType": "INLINE", "PolicyName": "GlueUserBasic", "EntityName": "glue_user1", "EntityType": "USER" }, { "PolicyType": "MANAGED", "PolicyArn": "arn:aws:iam::aws:policy/AmazonAthenaFullAccess", "PolicyName": "AmazonAthenaFullAccess" } ] } ], "IsTruncated": false }
の使用 AWS Management Console
この情報は、 AWS Identity and Access Management (IAM) コンソールのユーザーまたはロールの概要ページの Access Advisor タブでも確認できます。
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
IAM ナビゲーションペインで、[Users] (ユーザー) または [Roles] (ロール) を選択します。
-
リスト内の名前を選択すると、その [Summary] (概要) ページが表示されるので、[Access Advisor] (アクセスアドバイザー) タブを選択します。
-
各ポリシーを調べて、各ユーザーが許可を持っているデータベース、テーブル、およびアクションの組み合わせを特定します。
データ処理ジョブがデータにアクセスするためのロールを引き受けている可能性があるため、このプロセスでは、ユーザーに加えてロールも調べるようにしてください。
の使用 AWS CloudTrail
既存のアクセス許可を決定するもう 1 つの方法は、ログの additionaleventdataフィールドにinsufficientLakeFormationPermissionsエントリが含まれている AWS CloudTrail AWS Glue API コールを探すことです。このエントリは、ユーザーが同じアクションを実行するために Lake Formation 許可を必要とするデータベースとテーブルをリストします。
これらはデータアクセスログであるため、ユーザーとその許可の包括的なリストを生成することは限りません。ユーザーのデータアクセスパターンを取得するには、幅広い時間範囲 (数週間または数か月など) を選択することをお勧めします。
詳細については、「 AWS CloudTrail ユーザーガイド」の「イベント履歴を含む CloudTrail イベントの表示」を参照してください。
次は、AWS Glue 許可に相当する Lake Formation 許可をセットアップできます。「ステップ 2: 同等の Lake Formation 許可をセットアップする」を参照してください。
