翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon と AWS Lake Formation ハイブリッドモード DataZone の統合
Amazon DataZone は AWS Lake Formation ハイブリッドモードと統合されています。この統合により、まず AWS Lake Formation に登録することなく、Amazon DataZone 経由で AWS Glue テーブルを簡単に発行および共有できます。ハイブリッドモードでは、これらのテーブルに対する既存のアクセス許可を維持したまま、 AWS Lake Formation を通じて AWS Glue テーブルに対するIAMアクセス許可の管理を開始できます。
開始するには、Amazon DataZone 管理コンソールのDefaultDataLakeブループリントでデータロケーション登録設定を有効にします。
AWS Lake Formation ハイブリッドモードとの統合を有効にする
-
https://console.aws.amazon.com/datazone
の Amazon DataZone コンソールに移動し、アカウントの認証情報でサインインします。 -
ドメインを表示を選択し、 AWS Lake Formation ハイブリッドモードとの統合を有効にするドメインを選択します。
-
ドメインの詳細ページで、ブループリントタブに移動します。
-
ブループリントリストから、DefaultDataLakeブループリントを選択します。
-
DefaultDataLake ブループリントが有効になっていることを確認します。有効になっていない場合は、で組み込みブループリントを有効にする AWS Amazon DataZone ドメインを所有する アカウント「」の手順に従ってアカウントで有効にします AWS 。
-
DefaultDataLake 詳細ページで、プロビジョニングタブを開き、ページの右上隅にある編集ボタンを選択します。
-
「データロケーション登録」の「チェックボックスをオンにして、データロケーション登録を有効にします。
-
データロケーション管理ロールでは、新しいIAMロールを作成するか、既存のIAMロールを選択できます。Amazon DataZone はこのロールを使用して、 AWS Lake Formation ハイブリッドアクセスモードを使用して、Data Lake 用に選択した Amazon S3 バケット (複数可) への読み取り/書き込みアクセスを管理します。詳細については、「AmazonDataZoneS3Manage -<region>-<domainId>」を参照してください。
-
オプションで、Amazon がハイブリッドモードで自動的に登録しない場合は DataZone 、特定の Amazon S3 ロケーションを除外できます。これを行うには、次の手順を実行します。
-
トグルボタンを選択して、指定された Amazon S3 の場所を除外します。
-
除外する Amazon S3 バケットURIの を指定します。
-
追加のバケットを追加するには、S3 ロケーションの追加を選択します。
注記
Amazon では、ルート S3 の場所 DataZone のみを除外できます。ルート S3 ロケーションのパス内の S3 ロケーションは自動的に登録から除外されます。
-
[Save changes] (変更の保存) をクリックします。
-
アカウントで AWS データロケーション登録設定を有効にすると、データコンシューマーがIAMアクセス許可で管理されている AWS Glue テーブルをサブスクライブすると、Amazon DataZone はまずこのテーブルの Amazon S3 ロケーションをハイブリッドモードで登録し、 AWS Lake Formation を介してテーブルのアクセス許可を管理することでデータコンシューマーへのアクセスを許可します。これにより、既存のワークフローを中断することなく、新しく付与された AWS Lake Formation IAM のアクセス許可でテーブルに対するアクセス許可が引き続き存在するようになります。
Amazon で AWS Lake Formation ハイブリッドモード統合を有効にするときに暗号化された Amazon S3 の場所を処理する方法 DataZone
カスタマーマネージドキーまたは AWS マネージドKMSキーで暗号化された Amazon S3 ロケーションを使用している場合、AmazonDataZoneS3Manage ロールにはKMSキーでデータを暗号化および復号するアクセス許可が必要です。または、KMSキーポリシーは、キーに対するアクセス許可をロールに付与する必要があります。
Amazon S3 の場所が AWS マネージドキーで暗号化されている場合は、次のインラインポリシーをAmazonDataZoneDataLocationManagementロールに追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS managed key ARN>" } ]
Amazon S3 の場所がカスタマーマネージドキーで暗号化されている場合は、以下を実行します。
-
コンソールを AWS KMS https://console.aws.amazon.com/kms
で開き、Identity and Access Management (IAM) 管理ユーザーとして AWS 、またはロケーションの暗号化に使用されるKMSキーのキーポリシーを変更できるユーザーとしてログインします。 -
ナビゲーションペインで、カスタマーマネージドキー を選択し、目的のKMSキーの名前を選択します。
-
KMS キーの詳細ページで、キーポリシータブを選択し、次のいずれかを実行してカスタムロールまたは Lake Formation サービスにリンクされたロールをKMSキーユーザーとして追加します。
-
デフォルトのビューが (キー管理者、キー削除、キーユーザー、その他の AWS アカウントセクションとともに) 表示されている場合は、キーユーザーセクションにAmazonDataZoneDataLocationManagementロールを追加します。
-
キーポリシー (JSON) が表示されている場合 – 次の例に示すように、ポリシーを編集してオブジェクトにAmazonDataZoneDataLocationManagementロールを追加します「キーの使用を許可」
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
注記
KMS キーまたは Amazon S3 の場所がデータカタログと同じ AWS アカウント内にない場合は、アカウント間で AWS 暗号化された Amazon S3 の場所を登録する の手順に従います。
