データフィルタリングの概要

Lake Formation のデータフィルタリング機能により、以下のレベルのデータセキュリティを実装することができます。

列レベルのセキュリティ

列レベルのセキュリティ (列フィルタリング) を使用して Data Catalog テーブルに対するアクセス許可を付与すると、ユーザーはそのテーブル内でアクセスが許可されている特定の列とネストされた列のみを表示できます。大規模な多地域通信会社向けの複数のアプリケーションで使用される persons テーブルについて考えてみましょう。Data Catalog テーブルに対する列フィルタリングを伴う許可の付与は、人事部門に属さないユーザーによる社会保障番号や生年月日などの個人を特定できる情報 (PII) の表示を制限することができます。セキュリティポリシーを定義して、ネストされた列の一部のサブ構造のみへのアクセスを許可することもできます。

行レベルのセキュリティ

Data Catalog テーブルに対する行レベルのセキュリティ (行フィルタリング) を伴う許可の付与は、ユーザーがそのテーブル内でアクセス権を持っている特定のデータの行のみを表示できるようにします。フィルタリングは、1 つ、または複数の列の値に基づいて行われます。行フィルター式を定義するときに、ネストされた列構造を含めることができます。例えば、この通信会社の異なる地域支社にそれぞれ独自の人事部門がある場合、人事部門の従業員が表示できる個人情報記録を、その地域の従業員の記録のみに制限することができます。

セルレベルのセキュリティ

セルレベルのセキュリティは、柔軟性に優れた許可モデルのために、行フィルタリングと列フィルタリングを組み合わせます。テーブルの行と列をグリッドとして考えると、セルレベルのセキュリティを使用することによって、行と列の二次元上にあれば、どこでもグリッドの個々の要素 (セル) へのアクセスを制限することができます。つまり、行に応じて異なる列へのアクセスを制限することができます。これは、制限された列に色が付けられた以下の図に表されています。

5つの行と 6 つの列で構成されたグリッドが表示されています。行と列には、Col1、Col2、Row1、Row2 などのヘッダーがあります。R3 と C1、R3 と C2、R3 と C3、R5 と C1、R5 と C2、R5 と C5、R5 と C6 の座標のグリッドセルに色が付けられています。

個人情報テーブルの例を引き続き使用すると、国の列が「英国」に設定されている行の住所列へのアクセスを制限するが、国の列が「米国」に設定されている行の住所列へのアクセスは許可するというデータフィルターをセルレベルで作成することができます。

フィルターは読み取り操作のみに適用されます。このため、付与できるのはフィルターを伴う SELECT Lake Formation 許可のみになります。

ネストされた列のセルレベルのセキュリティ

Lake Formationでは、ネストされた列のセルレベルのセキュリティを使用してデータフィルターを定義して適用できます。ただし、Amazon Athena、Amazon EMR、Amazon Redshift Spectrum などの統合分析エンジンは、行レベルと列レベルのセキュリティを使用した Lake Formation マネージドのネストされたテーブルに対するクエリ実行をサポートしています。

制限事項については、「データフィルタリングの制限事項」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

データフィルタリングとセルレベルのセキュリティ

データフィルター