AWS Lake Formation で Redshift Spectrum を使用する - Amazon Redshift

AWS Lake Formation で Redshift Spectrum を使用する

AWS Lake Formation を使用して、Amazon S3 に格納されているデータに対しデータベース、テーブル、および列レベルのアクセスポリシーを一元的に定義および執行することができます。Lake Formation で有効になっている AWS Glue Data Catalog にデータを登録したら、Redshift Spectrum などの複数のサービスを使用したクエリができるようになります。

Lake Formation は、データカタログのセキュリティとガバナンスを提供します。Lake Formation 内では、データカタログオブジェクト (例: データベース、テーブル、列、基本の Amazon S3 ストレージ) へのアクセス許可の付与または取り消しを行うことができます。

重要

Redshift Spectrum は、Lake Formation が利用可能な AWS リージョンにおいて、Lake Formation が有効になっているデータカタログでのみ使用が可能です。利用可能なリージョンの一覧については、AWS 全般のリファレンスの「AWS Lake Formation エンドポイントとクオータ」を参照してください。

Lake Formation で Redshift Spectrum を使用すると、次のことができます。

  • データレイク内のすべてのデータに対するアクセス許可とアクセス制御ポリシーを付与および取り消しする、一元化された場所として Lake Formation を使用します。Lake Formation には、データカタログ内のデータベースとテーブルへのアクセスを制御するためのアクセス許可の階層があります。詳細については、「Lake Formation のアクセス許可」を参照してください。

  • 外部テーブルを作成し、データレイク内のデータに対してクエリを実行します。アカウントのユーザーがクエリを実行する前に、データレイクのアカウント管理者は、ソースデータを含む既存の Amazon S3 パスを Lake Formation に登録します。また、管理者はテーブルを作成し、アクセス許可をユーザーに付与します。データベース、テーブル、または列に対するアクセス権を付与できます。

    データがデータカタログに登録された後、ユーザーがクエリを実行しようとする度に、Lake Formation はその特定のプリンシパルのテーブルへのアクセスを確認します。Lake Formation は Redshift Spectrum に一時的な認証情報を引き渡し、クエリを実行します。

Lake Formation に対してデータカタログを有効にして Redshift Spectrum を使用する場合、クラスターに関連付けられている IAM ロールにはデータカタログへのアクセス許可が必要です。

重要

Lake Formation でデータカタログを有効にして Redshift Spectrum を使用する場合は、IAM ロールを連鎖することはできません。

Redshift Spectrum で使用するように AWS Lake Formation を設定するために必要なステップの詳細については、AWS Lake Formation デベロッパーガイドの「チュートリアル: Lake Formation での JDBC ソースからのデータレイクの作成」を参照してください。具体的な Redshift Spectrum との統合については、Amazon Redshift Spectrum を使用してデータレイク内のデータをクエリするを参照してください。このトピックで使用されるデータと AWS リソースは、これ以前のチュートリアルで実行したステップによって異なります。