データレイクのデフォルト設定の変更 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データレイクのデフォルト設定の変更

との下位互換性を維持するためにAWS Glue、 AWS Lake Formation には以下の初期セキュリティ設定があります。

  • 既存の AWS Glue Data Catalog リソースのすべてに対する Super 許可がグループ IAMAllowedPrincipals に付与されます。

  • 新しい Data Catalog リソースには「Use only IAM access control」(IAM アクセス制御のみを使用する) 設定が有効になっています。

これらの設定により、Data Catalog リソースと Amazon S3 ロケーションへのアクセスは、 AWS Identity and Access Management (IAM) ポリシーによってのみ制御されます。個々の Lake Formation 許可は適用されません。

IAMAllowedPrincipals グループには、IAM ポリシーによって Data Catalog リソースへのアクセスを許可される IAM ユーザーとロールが含まれます。この Super 許可は、プリンシパルが、許可の対象であるデータベースまたはテーブルで、サポートされているすべての Lake Formation 操作を実行できるようにします。

Data Catalog リソース (データベースおよびテーブル) へのアクセスが Lake Formation 許可によって管理されるようにセキュリティ設定を変更するには、以下を実行します。

  1. 新しいリソースに対するデフォルトのセキュリティ設定を変更する。手順については、「デフォルトのアクセス許可モデルを変更するか、ハイブリッドアクセスモードを使用する」を参照してください。

  2. 既存の Data Catalog リソースに対する設定を変更する。手順については、「アップグレード AWS GlueAWS Lake Formation モデルへのデータアクセス許可」を参照してください。

Lake Formation の PutDataLakeSettings API 操作を使用したデフォルトセキュリティ設定の変更

Lake Formation PutDataLakeSettings API オペレーションを使用して、デフォルトのセキュリティ設定を変更することもできます。このアクションは、引数としてオプションのカタログ ID とDataLakeSettings構造を受け取ります。

Lake Formation によるメタデータと基盤となるデータのアクセス制御を新しいデータベースとテーブルに適用するには、DataLakeSettings 構造を以下のようにコード化します。

注記

<AccountID > を有効な AWS アカウント ID に、<Username> を有効な IAM ユーザー名に置き換えます。複数のユーザーをデータレイク管理者として指定できます。

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}

この構造は、以下のようにコード化することもできます。CreateDatabaseDefaultPermissions または CreateTableDefaultPermissions パラメータを省略することは、空のリストを渡すことに相当します。

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}

このアクションは実質的に、IAMAllowedPrincipals グループから新しいデータベースとテーブルに対するすべての Lake Formation 許可を取り消します。この設定は、データベースを作成するときに上書きすることができます。

IAM のみによるメタデータと基盤となるデータのアクセス制御を新しいデータベースとテーブルに適用するには、DataLakeSettings 構造を以下のようにコード化します。

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}

これは、新しいデータベースとテーブルに対する Super Lake Formation 許可を IAMAllowedPrincipals グループに付与します。この設定は、データベースを作成するときに上書きすることができます。

注記

前述の DataLakeSettings 構造では、DataLakePrincipalIdentifier に許可される値は IAM_ALLOWED_PRINCIPALS のみで、Permissions に許可される値は ALL のみです。