オンボーディングとアクセス権の付与 - AWS 規範ガイダンス
データプロデューサーのオンボーディングデータコンシューマーのオンボーディングデータコンシューマーアカウントで Select アクセスを付与する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オンボーディングとアクセス権の付与

このガイドのデータレイクリファレンスアーキテクチャは、データプロデューサーとデータコンシューマーを個別にスケールするだけでなく、それらのデータコンシューマーをオンボーディングしてアクセス権を付与するための一貫したプロセスを定義および確立するのに役立ちます。

以下のセクションでは、データプロデューサーとデータコンシューマーのオンボーディングプロセスと、データコンシューマーアカウントでアクセス権を付与する方法について説明します。このガイドでは、一元化されたカタログとデータコンシューマーの間で名前付きリソース方式を使用します。LF-TBAC メソッドのプロセスは似ていますが、少し異なります。組織のデータガバナンスのプラクティスとポリシーを満たすために、これらのアプローチを評価して設定することをお勧めします。

これら 2 つの方法の詳細については、このガイドの一元化されたカタログ「」セクションを参照してください。

データプロデューサーのオンボーディング

次の図は、新しいデータプロデューサーをデータレイクにオンボードする方法を示しています。

新しいデータプロデューサーをデータレイクにオンボーディングするプロセス。

この図は、次のオンボーディングプロセスを示しています。

  1. データプロデューサーは、一元化されたカタログにデータへのアクセス (Amazon Simple Storage Service (Amazon S3) バケットや など) を選択的に提供します AWS KMS key。アクセスは、一元化されたカタログの AWS Identity and Access Management (IAM) プリンシパルに提供され、データプロデューサーのデータレイクロケーションを に登録 AWS Lake Formation し、データプロデューサーのカタログを維持するために使用される IAM プリンシパルに提供されます。

  2. 一元化されたカタログの Lake Formation を使用するデータプロデューサーのデータレイクの場所 (S3 バケットなど) を登録します。

  3. AWS Glue Data Catalog のデータプロデューサーから新しいデータのデータベース、テーブル、テーブルスキーマを作成します。

データコンシューマーのオンボーディング

次の図は、新しいデータコンシューマーをデータレイクにオンボードする方法を示しています。

新しいデータコンシューマーをデータレイクにオンボードするプロセス。

この図は、次のオンボーディングプロセスを示しています。

  1. データコンシューマーは、データプロデューサーのデータを表示する承認をリクエストし、アクセスする必要があるデータを指定します。

  2. データプロデューサーのデータスチュワードは、データコンシューマーからのリクエストを確認し、以下を行うかどうかを評価します。

    • リクエストされたデータベースの一部またはすべてのテーブルを共有します。すべてのテーブルをデータコンシューマーと共有してもデータセキュリティへの影響がない場合は、データベースレベルの共有をお勧めします。これにより、テーブルレベルの共有の管理オーバーヘッドを回避できます。

    • データコンシューマーの組織、OU、またはアカウントレベルで共有します。

  3. データプロデューサーによって承認されると、必要なデータカタログリソースは、一元化されたカタログのデータコンシューマーと共有されます。

  4. リソースリンクは、Lake Formation を使用してデータコンシューマーのアカウントで作成し、一元化されたカタログ内の共有データカタログリソースを指すことができます。

オンボーディングプロセスが完了すると、データコンシューマーの Lake Formation 管理者は、一元化されたカタログからデータベースカタログリソースとリソースリンクを表示できます。この段階では、データコンシューマーのアカウント内の他のユーザーはデータプロデューサーのデータにアクセスできません。

データコンシューマーアカウントで Select アクセスを付与する

次の図は、データコンシューマーアカウントのローカル IAM プリンシパルと共有データリソースSelectへのアクセスを許可するプロセスを示しています。ローカル IAM プリンシパルは、個々のユーザーの IAM ロール、または特定の AWS サービスによって消費される IAM ロールにすることができます。

注記

共有されるデータの機密性が低い場合は、データプロデューサーからの承認を必要とせずに、データコンシューマー自体にアクセス許可を委任できます。これは、信頼と共有がすでに確立されているためです。

データコンシューマーアカウントで Select アクセスを付与するプロセス。

図表に示す内容は以下のステップです。

  1. データコンシューマーアカウントの個々の IAM プリンシパルは、データコンシューマーアカウントの IAM プリンシパルからリソースリンクSelectへのアクセスをリクエストします。

  2. データプロデューサーのデータスチュワードは、データコンシューマーからのリクエストを確認し、すべての要件が満たされた場合に承認を提供します。

  3. Select アクセスが許可され、IAM プリンシパルがリクエストされたデータを消費できるようになります。