AWS Lake Formation のアクション、リソース、および条件キー
AWS Lake Formation (サービスプレフィックス: lakeformation
) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Lake Formation で定義されるアクション
IAM ポリシーステートメントの Action
エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource
要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource
要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition
要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
---|---|---|---|---|---|
AddLFTagsToResource | Lake Formation タグをカタログリソースにアタッチする許可を付与 | タグ付け | |||
BatchGrantPermissions | バッチ内の 1 つ以上のプリンシパルに対し、データレイクへのアクセス許可を付与する | 権限の管理 | |||
BatchRevokePermissions | バッチ内の 1 つ以上のプリンシパルにおいて、データレイクへのアクセス許可を取り消すためのアクセス許可を付与する | 権限の管理 | |||
CancelTransaction | 指定されたトランザクションをキャンセルする許可を付与 | 書き込み | |||
CommitTransaction | 指定されたトランザクションをコミットする許可を付与 | 書き込み | |||
CreateDataCellsFilter | Lake Formation データセルフィルターを作成する許可を付与 | 書き込み | |||
CreateLFTag | Lake Formation タグを作成する許可を付与 | 書き込み | |||
CreateLakeFormationIdentityCenterConfiguration | Lake Formation と IAM Identity Center 接続を作成して、IAM Identity Center ユーザーとグループが Data Catalog リソースにアクセスする許可を付与する | 書き込み | |||
CreateLakeFormationOptIn | 指定されたデータベース、テーブル、プリンシパルに対して Lake Formation の許可を適用する許可を付与する | 書き込み | |||
DeleteDataCellsFilter | Lake Formation データセルフィルターを削除する許可を付与 | 書き込み | |||
DeleteLFTag | Lake Formation タグを削除する許可を付与 | 書き込み | |||
DeleteLakeFormationIdentityCenterConfiguration | Lake Formation との IAM Identity Center 接続を削除する許可を付与する | 書き込み | |||
DeleteLakeFormationOptIn | 指定されたデータベース、テーブル、プリンシパルの Lake Formation の許可の適用を削除する許可を付与する | 書き込み | |||
DeleteObjectsOnCancel | トランザクションがキャンセルされた場合に、指定されたオブジェクトを削除する許可を付与 | 書き込み | |||
DeregisterResource | 登録された場所の登録を解除するためのアクセス許可を付与する | 書き込み | |||
DescribeLakeFormationIdentityCenterConfiguration | Lake Formation との IAM Identity Center 接続を記述する許可を付与する | 読み取り | |||
DescribeResource | 登録された場所について詳細表示するためのアクセス許可を付与する | 読み取り | |||
DescribeTransaction | 指定されたトランザクションのステータスを取得する許可を付与 | 読み取り | |||
ExtendTransaction | 指定されたトランザクションのタイムアウトを延長する許可を付与 | 書き込み | |||
GetDataAccess | 仮想データレイクへのアクセス許可を付与する | 書き込み | |||
GetDataCellsFilter | Lake Formation データセルフィルターを取得するための許可を付与します | 読み取り | |||
GetDataLakePrincipal | 呼び出し元プリンシパルのアイデンティティを取得する許可を付与する | 読み取り | |||
GetDataLakeSettings | データレイクの管理者や、データベースおよびテーブルでのデフォルトのアクセス許可のリストなど、データレイク設定を取得するためのアクセス許可を付与する | 読み取り | |||
GetEffectivePermissionsForPath | 指定されたパスのリソースにアタッチされた許可を取得する許可を付与 | 読み取り | |||
GetLFTag | Lake Formation タグを取得する許可を付与 | 読み取り | |||
GetQueryState | 指定されたクエリの状態を取得する許可を付与 | 読み取り |
lakeformation:StartQueryPlanning |
||
GetQueryStatistics | 指定されたクエリの統計を取得する許可を付与 | 読み取り |
lakeformation:StartQueryPlanning |
||
GetResourceLFTags | カタログリソースにおいて LakeFormation タグを取得するためのアクセス許可を付与する | 読み取り | |||
GetTableObjects | テーブルからオブジェクトを取得する許可を付与 | 読み取り | |||
GetWorkUnitResults | 指定されたワークユニットの結果を取得する許可を付与 | 読み取り |
lakeformation:GetWorkUnits lakeformation:StartQueryPlanning |
||
GetWorkUnits | 指定されたクエリのワークユニットを取得する許可を付与 | 読み取り |
lakeformation:StartQueryPlanning |
||
GrantPermissions | プリンシパルにデータレイクへのアクセス許可を付与する | 権限の管理 | |||
ListDataCellsFilter | セルのフィルターを一覧表示する許可を付与 | リスト | |||
ListLFTags | Lake Formation タグを一覧表示する許可を付与 | 読み取り | |||
ListLakeFormationOptIns | Lake Formation の許可を適用するようオプトインされているリソースとプリンシパルの現在のリストを取得する許可を付与する | リスト | |||
ListPermissions | プリンシパルまたはリソースによってフィルタリングされたアクセス許可をリストするための許可を付与する。 | リスト | |||
ListResources | 登録された場所をリストするためのアクセス許可を付与する | リスト | |||
ListTableStorageOptimizers | 管理テーブルのすべてのストレージオプティマイザーを一覧表示する許可を付与 | リスト | |||
ListTransactions | システム内のすべてのトランザクションを一覧表示する許可を付与 | リスト | |||
PutDataLakeSettings | データレイク管理者や、データベースおよびテーブルでのデフォルトのアクセス許可のリストなど、データレイク設定を上書きするためのアクセス許可を付与する | 権限の管理 | |||
RegisterResource | Lake Formation によって管理される新しい場所を登録するためのアクセス許可を付与する | 書き込み | |||
RemoveLFTagsFromResource | カタログリソースから LakeFormation タグを削除するためのアクセス許可を付与する | タグ付け | |||
RevokePermissions | プリンシパルにおいてデータレイクへのアクセス許可を取り消すためのアクセス許可を付与する | 権限の管理 | |||
SearchDatabasesByLFTags | Lake Formation タグが付いたカタログデータベースを一覧表示する許可を付与 | 読み取り | |||
SearchTablesByLFTags | Lake Formation タグが付いたカタログテーブルを一覧表示する許可を付与 | 読み取り | |||
StartQueryPlanning | 指定されたクエリの計画を開始する許可を付与 | 書き込み | |||
StartTransaction | 新しいトランザクションを開始する許可を付与 | 書き込み | |||
UpdateDataCellsFilter | Lake Formation データセルフィルターを更新するための許可を付与します | 書き込み | |||
UpdateLFTag | Lake Formation タグを更新する許可を付与 | 書き込み | |||
UpdateLakeFormationIdentityCenterConfiguration | IAM Identity Center 接続パラメータを更新する許可を付与する | 書き込み | |||
UpdateResource | 登録された場所を更新するためのアクセス許可を付与する | 書き込み | |||
UpdateTableObjects | 指定されたオブジェクトをテーブルに追加する、またはテーブルから削除する許可を付与 | 書き込み | |||
UpdateTableStorageOptimizer | 管理テーブルのストレージオプティマイザーの設定を更新する許可を付与 | 書き込み |
AWS Lake Formation で定義されるリソースタイプ
AWS Lake Formation では、IAM ポリシーステートメントの Resource
要素でのリソース ARN の指定はサポートされていません。AWS Lake Formation へのアクセスを許可するには、ポリシーで "Resource": "*"
を指定します。
AWS Lake Formation の条件キー
Lake Formation には、ポリシーステートメントの Condition
要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。