による接続の承認 AWS Lake Formation - Amazon QuickSight

重要:Amazon QuickSight 分析ワークスペースを再設計しました。コンソールの新しい外観を反映していないスクリーンショットや手順のテキストが表示される場合があります。 QuickSight 現在、スクリーンショットと手順のテキストを更新しています。

機能または項目を検索するには、クイック検索バーを使用します。

QuickSightの新しい外観について詳しくは、「Amazon での新しい分析機能の紹介」を参照してください QuickSight。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

による接続の承認 AWS Lake Formation

 適用先: Enterprise Edition 
   対象者: システム管理者 

でデータをクエリする場合は Amazon Athena、を使用して Amazon AWS Lake Formation QuickSight からのデータを保護して接続する方法を簡略化できます。Lake Formation mationは、 AWS 分析および機械学習サービスに適用される独自の権限モデルを提供することにより、 AWS Identity and Access Management (IAM)権限モデルに追加されています。この一元的に定義されたアクセス許可モデルは、単純な許可および取り消しメカニズムを使用して、詳細なレベルでデータアクセスを管理します。IAM でスコープダウンポリシーを使用する代わりに、または追加で Lake Formation を使用できます。

Lake Formation を設定するときは、データソースを登録して、データを Amazon S3 の新しいデータレイクに移動できるようにします。Lake Formation と Athena はどちらも AWS Glue Data Catalogとシームレスに連携するため、簡単に使用できます。Athena データベースとテーブルは、メタデータコンテナです。これらのコンテナは、データの基礎となるスキーマ、データ定義言語 (DDL) ステートメント、Amazon S3 内のデータの場所を記述します。

次の図は、 AWS 関連するサービスの関係を示しています。

Lake Formation を設定すると、Amazon QuickSight を使用して名前または SQL クエリを使用してデータベースとテーブルにアクセスできます。Amazon QuickSight では、SQL クエリを記述できるフル機能のエディタを提供しています。または、Athena コンソール、 AWS CLI、またはお気に入りのクエリエディタを使用することもできます。詳細については、Amazon Athena ユーザーガイドAthena へのアクセスを参照してください。

Lake Formation からの接続の有効化

Amazon でこのソリューションを使用する前に QuickSight、Lake Formation で Athena を使用してデータにアクセスできることを確認してください。接続が Athena 経由で機能していることを確認したら、Amazon が Athena QuickSight に接続できることだけを確認する必要があります。これにより、3 つの製品すべてを経由した接続を一度にトラブルシューティングする必要がなくなります。接続をテストする簡単な方法の 1 つは、Athena クエリコンソールを使用して、SELECT 1 FROM table などの単純な SQL コマンドを実行する方法です。

Lake Formation を設定するには、Lake Formation を操作する人員またはチームが新しい IAM ロールを作成し、Lake Formation にアクセスする必要があります。さらに、次のリストに示されている情報が必要です。詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation の設定」を参照してください。

  • Lake Formation のデータにアクセスする必要がある Amazon QuickSight ユーザーとグループの Amazon リソースネーム (ARN) を収集します。これらのユーザーは Amazon QuickSight の著者または管理者である必要があります。

    Amazon QuickSight ユーザー ARN とグループ ARN を検索するには
    1. AWS CLI を使用して、Amazon QuickSight の著者および管理者のユーザー ARN を検索します。これを行うには、次を実行します。ターミナル (Linux または Mac) またはコマンドプロント (Windows) で list-users コマンドを実行します。

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各ユーザーの情報を返します。以下の例では、Amazon リソースネーム (ARN) を太字で示しています。

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468 Status: 200 UserList: - Active: true Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar Email: SaanviSarkar@example.com PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA Role: ADMIN UserName: SaanviSarkar

      を使用しないように AWS CLI、各ユーザーの ARN を手動で作成できます。

    2. (オプション) ターミナル (Linux または Mac) list-group またはコマンドプロンプト (Windows) で次のコマンドを実行して、を使用して Amazon QuickSight グループの ARN を検索します。 AWS CLI

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      レスポンスは、各グループの情報を返します。次の例では、ARN が太字で表示されています。

      GroupList: - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard Description: Data Lake for CXO Balanced Scorecard GroupName: DataLake-Scorecard PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db RequestId: c1000198-18fa-4277-a1e2-02163288caf6 Status: 200

      Amazon QuickSight グループがない場合は、 AWS CLI create-groupを使用してコマンドを実行してグループを追加します。現在、Amazon QuickSight コンソールからこれを行うオプションはありません。詳細については、「Amazon でのグループの作成と管理 QuickSight」を参照してください。

      を使用しないように AWS CLI、各グループの ARN を手動で作成できます。

Amazon からの接続を有効にする QuickSight

Lake Formation と Athena を使用するには、Amazon AWS QuickSight でリソース権限が設定されていることを確認してください。

  • Amazon Athenaへのアクセスを有効にします。

  • Amazon S3 の正しいバケットへのアクセスを有効にします。通常、S3 アクセスは、Athena を有効化すると有効になります。ただし、そのプロセスの外部で S3 アクセス許可を変更できるため、それらを個別に確認することをお勧めします。

Amazon AWS でリソースのアクセス権限を確認または変更する方法については QuickSight、「」AWS リソースの自動検出の許可 と「」を参照してくださいデータソースへのアクセス