翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
による接続の認可 AWS Lake Formation
適用先: Enterprise Edition |
対象者: システム管理者 |
でデータをクエリする場合は Amazon Athena、 AWS Lake Formation を使用して、Amazon からデータを保護して接続する方法を簡素化できます QuickSight。Lake Formation は、 AWS 分析および機械学習サービスに適用される独自のアクセス許可モデルを提供することで、 AWS Identity and Access Management (IAM) アクセス許可モデルに追加します。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。
Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalogとシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。
次の図は、関係する AWS サービスの関係を示しています。
![](images/lake-formation-architecture-drawing-1.png)
Lake Formation を設定したら、Amazon QuickSight を使用して名前または SQL クエリでデータベースとテーブルにアクセスできます。Amazon QuickSight には、SQL クエリを記述できるフル機能のエディタが用意されています。または、Athena コンソール、 AWS CLI、または任意のクエリエディタを使用できます。詳細については、Amazon Athena ユーザーガイド の Athena へのアクセスを参照してください。
Lake Formation からの接続の有効化
Amazon でこのソリューションを使用する前に QuickSight、Lake Formation で Athena を使用してデータにアクセスできることを確認してください。接続が Athena で動作していることを確認したら、Amazon が Athena に接続 QuickSight できることのみを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、Athena クエリコンソールSELECT 1 FROM table
などの単純な SQL コマンドを実行する方法です。
Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation の設定」を参照してください。
-
Lake Formation のデータにアクセスする必要がある Amazon QuickSight ユーザーおよびグループの Amazon リソースネーム (ARNs) を収集します。これらのユーザーは Amazon QuickSight の作成者または管理者である必要があります。
Amazon QuickSight ユーザーおよびグループ ARNsを検索するには
-
を使用して AWS CLI 、Amazon の QuickSight 作成者と管理者のユーザー ARNs を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で
list-users
コマンドを実行します。aws quicksight list-users --aws-account-id
111122223333
--namespace default --regionus-east-1
レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。
RequestId:
a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200 UserList: - Active:true
Arn: arn:aws:quicksight:us-east-1
:111122223333
:user/default/SaanviSarkar
Email:SaanviSarkar@example.com
PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
Role:ADMIN
UserName:SaanviSarkar
を使用しないようにするには AWS CLI、各ユーザーの ARNs を手動で作成できます。
-
(オプション) ターミナル (Linux または Mac) または
list-group
コマンドプロンプト (Windows) で次のコマンドを実行して、 を使用して Amazon QuickSight グループの ARNs AWS CLI を検索します。aws quicksight list-groups --aws-account-id
111122223333
--namespace default --region us-east-1レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。
GroupList: - Arn: arn:aws:quicksight:us-east-1:
111122223333
:group/default/DataLake-Scorecard
Description:Data Lake for CXO Balanced Scorecard
GroupName:DataLake-Scorecard
PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId:c1000198-18fa-4277-a1e2-02163288caf6
Status: 200Amazon QuickSight グループがない場合は、 を使用して
create-group
コマンド AWS CLI を実行してグループを追加します。現在、Amazon QuickSight コンソールからこれを行うオプションはありません。詳細については、「Amazon でのグループの作成と管理 QuickSight」を参照してください。を使用しないようにするには AWS CLI、各グループの ARNs を手動で作成できます。
-
Amazon からの接続の有効化 QuickSight
Lake Formation と Athena を使用するには、Amazon で AWS リソース許可が設定されていることを確認してください QuickSight。
-
Amazon Athenaへのアクセスを有効にします。
-
Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。
Amazon で AWS リソースのアクセス許可を確認または変更する方法については QuickSight、AWS リソースの自動検出の許可「」および「」を参照してくださいデータソースへのアクセス。