共有テーブルの基盤となるデータへのアクセス - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有テーブルの基盤となるデータへのアクセス

AWS アカウント A がデータカタログテーブルをアカウント B と共有しているとします。例えば、 にテーブルの付与オプションSELECTをアカウント B に付与します。アカウント B のプリンシパルが共有テーブルの基になるデータを読み取れるようにするには、次の条件を満たす必要があります。

  • アカウント B のデータレイク管理者が共有を承諾すること。(これは、アカウント A と B が同じ組織内にある場合、またはこの付与が Lake Formation のタグベースのアクセスコントロール方式で行われた場合は必要ありません。)

  • アカウント A が付与した共有テーブルに対する Lake Formation SELECT 許可を、データレイク管理者がプリンシパルに再度付与すること。

  • プリンシパルには、テーブル、それを含むデータベース、およびアカウント A データカタログに対する次のIAMアクセス許可が必要です。

    注記

    次のIAMポリシーでは、

    • 置換 <account-id-A> AWS アカウント A のアカウント ID。

    • 置換 <region> 有効なリージョンを持つ。

    • 置換 <database> 共有テーブルを含むアカウント A のデータベースの名前。

    • 置換 <table> 共有テーブルの名前。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:BatchGetPartition",
            "glue:GetDatabase",
            "glue:GetDatabases"
           ],
           "Resource": [
            "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>",
            "arn:aws:glue:<region>:<account-id-A>:database/<database>",
            "arn:aws:glue:<region>:<account-id-A>:catalog"
           ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "lakeformation:GetDataAccess"
           ],
          "Resource": [
            "*"
           ],
          "Condition": {
            "StringEquals": {
              "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>"
            }
        }
    }
   ]
}
以下も参照してください。