クロスアカウントデータ共有のベストプラクティスと考慮事項

独自の AWS アカウント内のプリンシパルに対して実行できる Lake Formation 許可付与の数に制限はありません。ただし、Lake Formation は、名前付きリソース方式を使用してアカウントで作成できるクロスアカウント付与に AWS Resource Access Manager (AWS RAM) 容量を使用します。AWS RAM 容量を最大化するには、名前付きリソース方式に関する次のベストプラクティスに従います。

データベースを Amazon Athena および Amazon Redshift Spectrum クエリエディタで表示するには、そのデータベースの共有データベースへのリソースリンクを作成する必要があります。同様に、Athena と Redshift Spectrum を使用して共有テーブルをクエリできるようにするには、そのテーブルへのリソースリンクを作成する必要があります。そうすることで、リソースリンクがクエリエディタのテーブルリストに表示されます。

クエリのために多数のテーブルそれぞれに対するリソースリンクを作成する代わりに、[All tables] (すべてのテーブル) ワイルドカードを使用して、データベース内のすべてのテーブルに対する許可を付与することができます。そうすることで、そのデータベースのリソースリンクを作成し、クエリエディタでそのデータベースリソースリンクを選択するときに、クエリのために、そのデータベース内のすべてのテーブルにアクセスできるようになります。詳細については、「リソースリンクの作成」を参照してください。

別のアカウントのプリンシパルとリソースを直接共有する場合、受信者アカウントの IAM プリンシパルには、Athena と Amazon Redshift Spectrum を使用して共有テーブルをクエリするためのリソースリンクを作成するアクセス許可がないことがあります。データレイク管理者は、共有されているテーブルごとにリソースリンクを作成する代わりに、プレースホルダーデータベースを作成して ALLIAMPrincipal グループに CREATE_TABLE アクセス許可を付与できます。その後、受信者アカウントのすべての IAM プリンシパルがプレースホルダーデータベースにリソースリンクを作成し、共有テーブルのクエリを開始できます。

名前付きリソース方式を使用したデータベースのアクセス権限の付与 でアクセス許可を ALLIAMPrincipals に付与する方法については、CLI コマンドの例を参照してください。

Athena と Redshift Spectrum は列レベルのアクセスコントロールをサポートしますが、これは包含のみで、除外にはサポート適用されません。AWS Glue ETLジョブでは、列レベルのアクセスコントロールはサポートされません。

リソースが AWS アカウントと共有される場合、そのリソースに対する許可を付与できるのは、そのアカウント内のユーザーのみになります。リソースに対する許可を、他の AWS アカウント、組織 (アカウント所有者の組織も含まれます)、または IAMAllowedPrincipals グループに付与することはできません。

データベースに対する DROP または Super を外部アカウントに付与することはできません。

データベースまたはテーブルを削除する前に、クロスアカウント許可を取り消します。これを行わない場合は、AWS Resource Access Manager で孤立したリソース共有を削除する必要があります。