AWS Lake Formation では、Amazon S3 に保存されているデータまたはフェデレーティッドデータソースを介してアクセスされるデータの読み込みに Athena のクエリを使用するときに、データベース、テーブル、および列レベルでのアクセスポリシーを定義し、実施することができます。Lake Formation は、Amazon S3 またはフェデレーティッドデータカタログに保存されているデータに対して、承認およびガバナンスレイヤーを提供します。Lake Formation の許可階層を使用して、データベース、テーブル、および列などのデータカタログオブジェクトを読み込む許可を付与または取り消すことができます。Lake Formation は許可の管理を簡素化し、データにきめ細かなアクセスコントロール (FGAC) を実装できるようにします。
Athena を使用して、Lake Formation に登録されているデータと、Lake Formation に登録されていないデータの両方をクエリできます。
Lake Formation のアクセス許可は、Lake Formation に登録された Amazon S3 の場所またはデータカタログからのソースデータのクエリに Athena を使用する場合に適用されます。Lake Formation のアクセス許可は、登録された Amazon S3 のデータの場所またはデータカタログをポイントするデータベースとテーブルを作成するときにも適用されます。
Lake Formation のアクセス許可は、オブジェクトを書き込むときには適用されず、Lake Formation に登録されていないデータやメタデータをクエリするときにも適用されません。Lake Formation に登録されていないソースデータとメタデータへのアクセス権は、IAM アクセス許可ポリシーおよび AWS Glue アクションによって決定されます。Amazon S3 にある Athena のクエリ結果の場所を Lake Formation に登録することはできず、Amazon S3 の IAM 許可ポリシーがアクセスを制御します。さらに、Lake Formation の許可は、Athena のクエリ履歴には適用されません。クエリ履歴へのアクセスは、Athena ワークグループを使用して制御できます。
Lake Formation の詳細については、「AWS Lake Formation デベロッパーガイド」の「Lake Formation のよくある質問
既存のデータベースとテーブルに Lake Formation アクセス許可を適用する
Athena を初めて使用しており、クエリデータへのアクセスを設定するために Lake Formation を使用する場合は、ユーザーがデータを読み込み、メタデータを作成できるように IAM ポリシーを設定する必要はありません。許可を管理には Lake Formation を使用できます。
Lake Formation へのデータの登録と IAM 許可ポリシーの更新は必須ではありません。データが Lake Formation に登録されていない場合、適切なアクセス許可を持つ Athena ユーザーは、Lake Formation に登録されていないデータを引き続きクエリできます。
Lake Formation に登録されていない Amazon S3 データをクエリする既存の Athena ユーザーがいる場合は、Amazon S3 (および、該当する場合、AWS Glue Data Catalog) の IAM アクセス許可を更新して、Lake Formation アクセス許可を使用してユーザーアクセスを一元的に管理できます。Amazon S3 の データの場所を読み込む許可については、リソースベースおよびアイデンティティベースのポリシーを更新して Amazon S3 許可を変更できます。メタデータへのアクセスについては、AWS Glue できめ細かなアクセスコントロールのためのリソースレベルのポリシーを設定した場合、その代わりに Lake Formation のアクセス許可を使用してアクセスを管理できます。
詳細については、「AWS Glue Data Catalog のデータベースとテーブルへのアクセスを構成する」と、「AWS Lake Formation デベロッパーガイド」の「AWS Glue データアクセス許可の AWS Lake Formation モデルへのアップグレード」を参照してください。
トピック
