による接続の認可 AWS Lake Formation

適用先: Enterprise Edition

対象者: システム管理者

でデータをクエリする場合は Amazon Athena、 AWS Lake Formation を使用して、Amazon からデータを保護して接続する方法を簡素化できます QuickSight。Lake Formation は、 AWS 分析および機械学習サービスに適用される独自のアクセス許可モデルを提供することで、 AWS Identity and Access Management (IAM) アクセス許可モデルに追加します。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。

Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalogとシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。

次の図は、関係する AWS サービスの関係を示しています。

Lake Formation を設定したら、Amazon QuickSight を使用して名前または SQL クエリでデータベースとテーブルにアクセスできます。Amazon QuickSight には、SQL クエリを記述できるフル機能のエディタが用意されています。または、Athena コンソール、 AWS CLI、または任意のクエリエディタを使用できます。詳細については、Amazon Athena ユーザーガイド の Athena へのアクセスを参照してください。

Lake Formation からの接続の有効化

Amazon でこのソリューションを使用する前に QuickSight、Lake Formation で Athena を使用してデータにアクセスできることを確認してください。接続が Athena で動作していることを確認したら、Amazon が Athena に接続 QuickSight できることのみを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、Athena クエリコンソールを使用して、SELECT 1 FROM table などの単純な SQL コマンドを実行する方法です。

Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation の設定」を参照してください。

• Lake Formation のデータにアクセスする必要がある Amazon QuickSight ユーザーおよびグループの Amazon リソースネーム (ARNs) を収集します。これらのユーザーは Amazon QuickSight の作成者または管理者である必要があります。

  Amazon QuickSight ユーザーおよびグループ ARNsを検索するには

  1. を使用して AWS CLI 、Amazon の QuickSight 作成者と管理者のユーザー ARNs を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で list-users コマンドを実行します。

     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

     レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。

     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar

     を使用しないようにするには AWS CLI、各ユーザーの ARNs を手動で作成できます。

  2. （オプション) ターミナル (Linux または Mac) またはlist-groupコマンドプロンプト (Windows) で次のコマンドを実行して、 を使用して Amazon QuickSight グループの ARNs AWS CLI を検索します。

     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

     レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。

     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200

     Amazon QuickSight グループがない場合は、 を使用してcreate-groupコマンド AWS CLI を実行してグループを追加します。現在、Amazon QuickSight コンソールからこれを行うオプションはありません。詳細については、「Amazon でのグループの作成と管理 QuickSight」を参照してください。

     を使用しないようにするには AWS CLI、各グループの ARNs を手動で作成できます。

Amazon からの接続の有効化 QuickSight

Lake Formation と Athena を使用するには、Amazon で AWS リソース許可が設定されていることを確認してください QuickSight。

• Amazon Athenaへのアクセスを有効にします。

• Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。

Amazon で AWS リソースのアクセス許可を確認または変更する方法については QuickSight、AWS リソースの自動検出の許可「」および「」を参照してくださいデータソースへのアクセス。