LF タグ作成者の追加 - AWS Lake Formation
IAM LF タグの作成に必要なアクセス許可LF タグ作成者の追加

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

LF タグ作成者の追加

デフォルトでは、データレイク管理者は、LF タグの作成、更新、削除、データカタログリソースへのタグの割り当て、プリンシパルへのタグアクセス許可の付与を行うことができます。タグの作成および管理操作を管理者以外のプリンシパルに委任する場合、データレイク管理者は LF タグ作成者ロールを作成して、Lake Formation Create LF-Tag アクセス許可をロールに付与することができます。付与可能な Create LF-Tag アクセス許可がある場合、LF タグ作成者は、タグの作成およびメンテナンスタスクを管理者以外の他のプリンシパルに委任できます。

データレイク管理者が Data Catalog リソースに LF タグを割り当てるには、自身が作成していない LF タグに対するアクセス許可を関連付ける必要があります。

注記

クロスアカウントアクセス許可の付与には、Describe および Associate アクセス許可のみを含めることができます。Create LF-TagDropAlter、および Grant with LFTag expressions アクセス許可を別のアカウントのプリンシパルに付与することはできません。

以下も参照してください。

IAM LF タグの作成に必要なアクセス許可

Lake Formation のプリンシパルが LF タグを作成できるようにアクセス許可を設定する必要があります。LF タグ作成者になる必要があるプリンシパルのアクセス許可ポリシーに、以下のステートメントを追加します。

注記

データレイク管理者には、LF タグを作成、更新、削除するための暗黙的な Lake Formation アクセス許可、リソースへの LF タグの割り当て、プリンシパルへの LF タグの付与がありますが、データレイク管理者には以下のIAMアクセス許可も必要です。

詳細については、「Lake Formation ペルソナとIAMアクセス許可リファレンス」を参照してください。

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

リソースに LF タグを付与し、プリンシパルに LF タグを付与するプリンシパルは、CreateLFTagUpdateLFTag、および DeleteLFTag 許可を除き、同じ許可を持っている必要があります。

LF タグ作成者の追加

LF タグ作成者は、LF タグの作成、タグキーと値の更新、タグの削除、Data Catalog リソースへのタグの関連付け、LF TBACメソッドを使用したプリンシパルへの Data Catalog リソースに対するアクセス許可の付与を行うことができます。LF タグ作成者は、これらのアクセス許可をプリンシパルに付与することもできます。

AWS Lake Formation コンソール、、APIまたは AWS Command Line Interface () を使用して、LF タグ作成者ロールを作成できますAWS CLI。

console
LF タグ作成者を追加するには

  1. で Lake Formation コンソールを開きますhttps://console.aws.amazon.com/lakeformation/

    データレイク管理者としてサインインします。

  2. ナビゲーションペインで、[アクセス許可] の [LF タグとアクセス許可] を選択します。

    [LF タグとアクセス許可] ページで、[LF タグ作成者] セクションを選択し、[LF タグ作成者の追加] を選択します。

    LF-Tag creator details form with IAM ユーザー selection and permission options.

  3. LF タグ作成者の追加ページで、LF タグの作成に必要なアクセス許可を持つIAMロールまたはユーザーを選択します。

  4. [Create LF-Tag アクセス許可] チェックボックスをオンにします。

  5. (オプション) 選択したプリンシパルが Create LF-Tag アクセス許可をプリンシパルに付与できるようにするには、[付与可能な Create LF-Tag アクセス許可] を選択します。

  6. [追加] を選択します。

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

LF タグ作成者ロールで利用できるアクセス許可は次のとおりです。

アクセス許可 説明
Drop LF タグに対するこのアクセス許可を持つプリンシパルは、データレイクから LF タグを削除できます。プリンシパルは、LF タグリソースのすべてのタグ値に対する暗黙的な Describe アクセス許可を取得します。
Alter LF タグに対するこのアクセス許可を持つプリンシパルは、LF タグにタグ値を追加したり、LF タグからタグ値を削除したりできます。プリンシパルは、LF タグリソースのすべてのタグ値に対する暗黙的な Alter アクセス許可を取得します。
Describe LF タグに対するこのアクセス許可を持つプリンシパルは、LF タグをリソースに割り当てるとき、または LF タグに対するアクセス許可を付与するときに、LF タグとその値を表示できます。すべてのキーの値、または特定のキーの値に対する Describe を付与することができます。
Associate LF タグに対してこの許可を持つプリンシパルは、LF タグを Data Catalog リソースに割り当てることができます。Associate の付与は、Describe を黙示的に付与します。
Grant with LF-Tag expression LF タグに対するこのアクセス許可を持つプリンシパルは、LF タグのキーと値を使用して、データカタログリソースに対するアクセス許可を付与できます。Grant with LF-Tag expression の付与は、Describe を黙示的に付与します。

これらの許可は付与可能です。これらの許可を grant オプションと共に付与されたプリンシパルは、これらを他のプリンシパルに付与できます。