AWS Lake Formation 経由での接続の認可 - Amazon QuickSight

AWS Lake Formation 経由での接続の認可

 適用先: Enterprise Edition 
   対象者: システム管理者 

Amazon Athena を使用してデータをクエリする場合は、AWS Lake Formation を使用して、Amazon QuickSight のデータのセキュリティ保護および接続方法を簡素化します。Lake Formation は、AWS 分析および機械学習サービスに適用される独自のアクセス許可モデルを提供することにより、AWS Identity and Access Management (IAM) にアクセス許可モデルを追加します。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。

Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalog とシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。

次の図に、AWS サービス間にある関係性を示します。

Lake Formation を設定したら、Amazon QuickSight を使用して、名前または SQL クエリによりデータベースとテーブルにアクセスできます。Amazon QuickSight には、SQL クエリを書き込めるフル機能のエディタが用意されています。または、Athena コンソール、AWS CLI、任意のクエリエディタを使用できます。詳細については、Amazon Athena ユーザーガイドAthena へのアクセスを参照してください。

Lake Formation からの接続の有効化

Amazon QuickSight でこのソリューションの使用を開始する前に、Athena と Lake Formation を使用してデータにアクセスできることを確認してください。接続が Athena を介して機能していることを確認したら、Amazon QuickSight のみが Athena に接続できることを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、Athena クエリコンソールを使用して、SELECT 1 FROM table などの単純な SQL コマンドを実行する方法です。

Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation の設定」を参照してください。

  • Lake Formation のデータにアクセスする必要がある Amazon QuickSight ユーザーおよびグループの Amazon リソースネーム (ARN) を収集します。これらのユーザーは、Amazon QuickSight の作成者または管理者である必要があります。

    Amazon QuickSight のユーザーおよびグループの ARN を検索するには

    1. AWS CLIを使用して、Amazon QuickSight の作成者と管理者のユーザー ARN を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で list-users コマンドを実行します。

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468 Status: 200 UserList: - Active: true Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar Email: SaanviSarkar@example.com PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA Role: ADMIN UserName: SaanviSarkar

      AWS CLIの使用を避けるために、各ユーザーの ARN を手動で構築できます。

    2. (オプション) AWS CLI を使用して Amazon QuickSight グループの ARN を検索するには、ターミナル (Linux または Mac) またはコマンドプロント (Windows) で次の list-group コマンドを実行します。

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。

      GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard Description: Data Lake for CXO Balanced Scorecard GroupName: DataLake-Scorecard PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db RequestId: c1000198-18fa-4277-a1e2-02163288caf6 Status: 200

      Amazon QuickSight グループがない場合は、AWS CLI を使用して create-groupコマンドを実行し、グループを追加します。現時点では、Amazon QuickSight コンソールからこれを実行するオプションはありません。詳細については、「」を参照してくださいAmazon QuickSight でのグループの作成と管理

      AWS CLI の使用を避けるために、各グループの ARN を手動で構築できます。

Amazon QuickSight からの接続の有効化

Lake Formation と Athena を操作するには、Amazon QuickSight で AWS リソースに対するアクセス許可が設定されていることを確認します。

  • Amazon Athenaへのアクセスを有効にします。

  • Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。

Amazon QuickSight で AWS リソースに対するアクセス許可を確認または変更する方法については、「AWS リソースの自動検出の許可」および「データソースへのアクセス」を参照してください。