Athena を使用して AWS Lake Formation に登録されたデータをクエリする
AWS Lake Formation では、Amazon S3 に保存されているデータの読み込みに Athena のクエリを使用するときに、データベース、テーブル、および列レベルでのアクセスポリシーを定義し、実施することができます。Lake Formation は、Amazon S3 に保存されているデータに対して、承認およびガバナンスレイヤーを提供します。Lake Formation の許可階層を使用して、データベース、テーブル、および列などのデータカタログオブジェクトを読み込む許可を付与または取り消すことができます。Lake Formation は許可の管理を簡素化し、データにきめ細かなアクセスコントロール (FGAC) を実装できるようにします。
Athena を使用して、Lake Formation に登録されているデータと、Lake Formation に登録されていないデータの両方をクエリできます。
Lake Formation の許可は、Lake Formation に登録された Amazon S3 の場所からのソースデータのクエリに Athena を使用する場合に適用されます。Lake Formation の許可は、登録された Amazon S3 のデータの場所をポイントするデータベースとテーブルを作成するときにも適用されます。Lake Formation を使用して登録されたデータで Athena を使用するには、Athena が AWS Glue Data Catalog を使用するように設定されている必要があります。
Lake Formation の許可は、Amazon S3 にオブジェクトを書き込むときには適用されず、Amazon S3 に保存されているデータや、Lake Formation に登録されていないメタデータをクエリするときにも適用されません。Amazon S3 のソースデータと、Lake Formation に登録されていないメタデータへのアクセスは、Amazon S3 および AWS Glue アクションの IAM アクセス許可ポリシーによって決定されます。Amazon S3 にある Athena のクエリ結果の場所を Lake Formation に登録することはできず、Amazon S3 の IAM 許可ポリシーがアクセスを制御します。さらに、Lake Formation の許可は、Athena のクエリ履歴には適用されません。クエリ履歴へのアクセスは、Athena ワークグループを使用して制御できます。
Lake Formation の詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation のよくある質問