翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation でのクロスアカウントデータ共有

Lake Formation のクロスアカウント機能を使用すると、ユーザーは分散データレイクを複数の AWS 、組織間で安全に共有したり AWS アカウント、別のアカウントのIAMプリンシパルと直接共有して、データカタログのメタデータと基盤となるデータにきめ細かなアクセスを提供したりできます。大企業は通常、複数の を使用します。これらのアカウントの多くは AWS アカウント、単一の によって管理されるデータレイクにアクセスする必要がある場合があります AWS アカウント。ユーザーおよび AWS Glue 抽出、変換、ロード (ETL) ジョブは、複数のアカウントでテーブルをクエリおよび結合でき、Lake Formation のテーブルレベルおよび列レベルのデータ保護を活用できます。

Data Catalog リソースに対する Lake Formation アクセス許可を外部アカウントまたは別のアカウントのIAMプリンシパルに直接付与すると、Lake Formation は AWS Resource Access Manager （AWS RAM) サービスを使用してリソースを共有します。付与対象アカウントが付与する側のアカウントと同じ組織内にある場合、付与対象アカウントはその共有リソースをただちに使用できるようになります。被付与者アカウントが同じ組織内にない場合、 は被付与者アカウントにリソース付与を承諾または拒否するための招待 AWS RAM を送信します。次に、共有リソースを使用できるようにするには、被付与者アカウントのデータレイク管理者が AWS RAM コンソールまたは AWS CLI を使用して招待を受け入れる必要があります。

Lake Formation は、ハイブリッドアクセスモードでの外部アカウントとの Data Catalog リソースの共有をサポートしています。ハイブリッドアクセスモードでは、 AWS Glue Data Catalog内のデータベースとテーブルの Lake Formation 許可を柔軟かつ選択的に有効にできます。
 ハイブリッドアクセスモードでは、他の既存のユーザーやワークロードのアクセス許可ポリシーを中断することなく、特定のユーザーのセットに Lake Formation 許可を設定できる増分パスが導入されました。

詳細については、「ハイブリッドアクセスモード」を参照してください。

直接的なクロスアカウント共有

承認されたプリンシパルは、外部アカウントのIAMプリンシパルとリソースを明示的に共有できます。この機能は、外部アカウントの誰がリソースにアクセスできるかをアカウント所有者が制御する場合に便利です。IAM プリンシパルが受け取るアクセス許可は、プリンシパルにカスケードされる直接付与とアカウントレベルの付与の結合です。受信者アカウントのデータレイク管理者は、直接のクロスアカウントの付与を確認できますが、アクセス許可を取り消すことはできません。リソース共有を受け取るプリンシパルが、他のプリンシパルとリソースを共有することはできません。

データカタログリソースを共有する方法

単一の Lake Formation 付与操作で、以下の Data Catalog リソースに対するクロスアカウント許可を付与できます。

データベースとテーブルを別の アカウント内の別の AWS アカウント またはIAMプリンシパルと共有するには、2 つのオプションがあります。

Athena や Amazon Redshift Spectrum などの統合されたサービスでは、クエリに共有リソースを含めることができるように、リソースリンクが必要になります。リソースリンクの詳細については、「Lake Formation でのリソースリンクの仕組み」を参照してください。

考慮事項と制限事項については、「クロスアカウントデータ共有のベストプラクティスと考慮事項」を参照してください。