AWS Lake Formation のアクション、リソース、および条件キー - サービス認可リファレンス

AWS Lake Formation のアクション、リソース、および条件キー

AWS Lake Formation (サービスプレフィックス: lakeformation) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS Lake Formation で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddLFTagsToResource Lake Formation タグをカタログリソースにアタッチする許可を付与 タグ付け
BatchGrantPermissions バッチ内の 1 つ以上のプリンシパルに対し、データレイクへのアクセス許可を付与する 権限の管理
BatchRevokePermissions バッチ内の 1 つ以上のプリンシパルにおいて、データレイクへのアクセス許可を取り消すためのアクセス許可を付与する 権限の管理
CancelTransaction 指定されたトランザクションをキャンセルする許可を付与 書き込み
CommitTransaction 指定されたトランザクションをコミットする許可を付与 書き込み
CreateDataCellsFilter Lake Formation データセルフィルターを作成する許可を付与 書き込み
CreateLFTag Lake Formation タグを作成する許可を付与 書き込み
CreateLakeFormationIdentityCenterConfiguration Lake Formation と IAM Identity Center 接続を作成して、IAM Identity Center ユーザーとグループが Data Catalog リソースにアクセスする許可を付与する 書き込み
CreateLakeFormationOptIn 指定されたデータベース、テーブル、プリンシパルに対して Lake Formation の許可を適用する許可を付与する 書き込み
DeleteDataCellsFilter Lake Formation データセルフィルターを削除する許可を付与 書き込み
DeleteLFTag Lake Formation タグを削除する許可を付与 書き込み
DeleteLakeFormationIdentityCenterConfiguration Lake Formation との IAM Identity Center 接続を削除する許可を付与する 書き込み
DeleteLakeFormationOptIn 指定されたデータベース、テーブル、プリンシパルの Lake Formation の許可の適用を削除する許可を付与する 書き込み
DeleteObjectsOnCancel トランザクションがキャンセルされた場合に、指定されたオブジェクトを削除する許可を付与 書き込み
DeregisterResource 登録された場所の登録を解除するためのアクセス許可を付与する 書き込み
DescribeLakeFormationIdentityCenterConfiguration Lake Formation との IAM Identity Center 接続を記述する許可を付与する 読み取り
DescribeResource 登録された場所について詳細表示するためのアクセス許可を付与する 読み取り
DescribeTransaction 指定されたトランザクションのステータスを取得する許可を付与 読み取り
ExtendTransaction 指定されたトランザクションのタイムアウトを延長する許可を付与 書き込み
GetDataAccess 仮想データレイクへのアクセス許可を付与する 書き込み
GetDataCellsFilter Lake Formation データセルフィルターを取得するための許可を付与します 読み取り
GetDataLakePrincipal 呼び出し元プリンシパルのアイデンティティを取得する許可を付与する 読み取り
GetDataLakeSettings データレイクの管理者や、データベースおよびテーブルでのデフォルトのアクセス許可のリストなど、データレイク設定を取得するためのアクセス許可を付与する 読み取り
GetEffectivePermissionsForPath 指定されたパスのリソースにアタッチされた許可を取得する許可を付与 読み取り
GetLFTag Lake Formation タグを取得する許可を付与 読み取り
GetQueryState 指定されたクエリの状態を取得する許可を付与 読み取り

lakeformation:StartQueryPlanning

GetQueryStatistics 指定されたクエリの統計を取得する許可を付与 読み取り

lakeformation:StartQueryPlanning

GetResourceLFTags カタログリソースにおいて LakeFormation タグを取得するためのアクセス許可を付与する 読み取り
GetTableObjects テーブルからオブジェクトを取得する許可を付与 読み取り
GetWorkUnitResults 指定されたワークユニットの結果を取得する許可を付与 読み取り

lakeformation:GetWorkUnits

lakeformation:StartQueryPlanning

GetWorkUnits 指定されたクエリのワークユニットを取得する許可を付与 読み取り

lakeformation:StartQueryPlanning

GrantPermissions プリンシパルにデータレイクへのアクセス許可を付与する 権限の管理
ListDataCellsFilter セルのフィルターを一覧表示する許可を付与 リスト
ListLFTags Lake Formation タグを一覧表示する許可を付与 読み取り
ListLakeFormationOptIns Lake Formation の許可を適用するようオプトインされているリソースとプリンシパルの現在のリストを取得する許可を付与する リスト
ListPermissions プリンシパルまたはリソースによってフィルタリングされたアクセス許可をリストするための許可を付与する。 リスト
ListResources 登録された場所をリストするためのアクセス許可を付与する リスト
ListTableStorageOptimizers 管理テーブルのすべてのストレージオプティマイザーを一覧表示する許可を付与 リスト
ListTransactions システム内のすべてのトランザクションを一覧表示する許可を付与 リスト
PutDataLakeSettings データレイク管理者や、データベースおよびテーブルでのデフォルトのアクセス許可のリストなど、データレイク設定を上書きするためのアクセス許可を付与する 権限の管理
RegisterResource Lake Formation によって管理される新しい場所を登録するためのアクセス許可を付与する 書き込み
RemoveLFTagsFromResource カタログリソースから LakeFormation タグを削除するためのアクセス許可を付与する タグ付け
RevokePermissions プリンシパルにおいてデータレイクへのアクセス許可を取り消すためのアクセス許可を付与する 権限の管理
SearchDatabasesByLFTags Lake Formation タグが付いたカタログデータベースを一覧表示する許可を付与 読み取り
SearchTablesByLFTags Lake Formation タグが付いたカタログテーブルを一覧表示する許可を付与 読み取り
StartQueryPlanning 指定されたクエリの計画を開始する許可を付与 書き込み
StartTransaction 新しいトランザクションを開始する許可を付与 書き込み
UpdateDataCellsFilter Lake Formation データセルフィルターを更新するための許可を付与します 書き込み
UpdateLFTag Lake Formation タグを更新する許可を付与 書き込み
UpdateLakeFormationIdentityCenterConfiguration IAM Identity Center 接続パラメータを更新する許可を付与する 書き込み
UpdateResource 登録された場所を更新するためのアクセス許可を付与する 書き込み
UpdateTableObjects 指定されたオブジェクトをテーブルに追加する、またはテーブルから削除する許可を付与 書き込み
UpdateTableStorageOptimizer 管理テーブルのストレージオプティマイザーの設定を更新する許可を付与 書き込み

AWS Lake Formation で定義されるリソースタイプ

AWS Lake Formation では、IAM ポリシーステートメントの Resource 要素でのリソース ARN の指定はサポートされていません。AWS Lake Formation へのアクセスを許可するには、ポリシーで "Resource": "*" を指定します。

AWS Lake Formation の条件キー

Lake Formation には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルなコンテキストキーのリストについては、条件に利用可能なキーを参照してください。