クロスアカウントデータ共有のベストプラクティスと考慮事項 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスアカウントデータ共有のベストプラクティスと考慮事項

Lake Formation のクロスアカウント機能により、ユーザーは複数の AWS 組織間で分散データレイクを安全に共有したり AWS アカウント、別のアカウントの IAM プリンシパルと直接共有したりして、データカタログのメタデータと基盤となるデータにきめ細かなアクセスを提供したりできます。

Lake Formation のクロスアカウントデータ共有を使用するときは、以下のベストプラクティスを検討してください。

  • 自分の AWS アカウントのプリンシパルに対して実行できる Lake Formation 許可の付与の数に制限はありません。ただし、Lake Formation は、アカウントが名前付きリソース方式で実行できるクロスアカウント付与に AWS Resource Access Manager (AWS RAM) 容量を使用します。 AWS RAM 容量を最大化するには、名前付きリソース方式のベストプラクティスに従います。

    • 新しいクロスアカウント付与モード (クロスアカウントバージョン設定バージョン 3 以降) を使用して、リソースを外部と共有します AWS アカウント。詳細については、「クロスアカウントデータ共有のバージョン設定の更新」を参照してください。

    • AWS アカウントを組織に整理し、組織または組織単位にアクセス許可を付与します。組織または組織単位への付与は、1 つの付与として計上されます。

      組織または組織単位に付与すると、 AWS Resource Access Manager (AWS RAM) リソース共有の招待をグラントに承諾する必要もなくなります。詳細については、「共有 Data Catalog テーブルとデータベースへのアクセスと表示」を参照してください。

    • データベース内にある多数のテーブルそれぞれに対する許可を付与する代わりに、特別な [All tables] (すべてのテーブル) ワイルドカードを使用して、データベース内のすべてのテーブルに対する許可を付与します。[All tables] (すべてのテーブル) に対する付与は、単一の付与として計上されます。詳細については、「データカタログリソースに対するアクセス許可の付与」を参照してください。

    注記

    のリソース共有数の上限のリクエストの詳細については AWS RAM、「」のAWS 「 サービスクォータ」を参照してくださいAWS 全般のリファレンス

  • Amazon Athena および Amazon Redshift Spectrum クエリエディタに表示するには、そのデータベースの共有データベースへのリソースリンクを作成する必要があります。同様に、Athena と Redshift Spectrum を使用して共有テーブルをクエリできるようにするには、そのテーブルへのリソースリンクを作成する必要があります。そうすることで、リソースリンクがクエリエディタのテーブルリストに表示されます。

    クエリのために多数のテーブルそれぞれに対するリソースリンクを作成する代わりに、[All tables] (すべてのテーブル) ワイルドカードを使用して、データベース内のすべてのテーブルに対する許可を付与することができます。そうすることで、そのデータベースのリソースリンクを作成し、クエリエディタでそのデータベースリソースリンクを選択するときに、クエリのために、そのデータベース内のすべてのテーブルにアクセスできるようになります。詳細については、「リソースリンクの作成」を参照してください。

  • 別のアカウントのプリンシパルとリソースを直接共有する場合、受信者アカウントの IAM プリンシパルには、Athena と Amazon Redshift Spectrum を使用して共有テーブルをクエリするためのリソースリンクを作成するアクセス許可がないことがあります。データレイク管理者は、共有されているテーブルごとにリソースリンクを作成する代わりに、プレースホルダーデータベースを作成して ALLIAMPrincipal グループに CREATE_TABLE アクセス許可を付与できます。その後、受信者アカウントのすべての IAM プリンシパルがプレースホルダーデータベースにリソースリンクを作成し、共有テーブルのクエリを開始できます。

    名前付きリソース方式を使用したデータベースのアクセス権限の付与 でアクセス許可を ALLIAMPrincipals に付与する方法については、CLI コマンドの例を参照してください。

  • Athena と Redshift Spectrum は列レベルのアクセスコントロールをサポートしますが、これは包含のみで、除外にはサポート適用されません。AWS Glue ETLジョブでは、列レベルのアクセスコントロールはサポートされません。

  • リソースが AWS アカウントと共有されている場合、リソースに対するアクセス許可は、アカウントのユーザーのみに付与できます。リソースに対するアクセス許可を他の AWS アカウント、組織 (自分の組織ではない)、または IAMAllowedPrincipalsグループに付与することはできません。

  • データベースに対する DROP または Super を外部アカウントに付与することはできません。

  • データベースまたはテーブルを削除する前に、クロスアカウント許可を取り消します。それ以外の場合は、 で孤立したリソース共有を削除する必要があります AWS Resource Access Manager。

関連情報