LF-TBAC メソッドを使用したデータレイクアクセス許可の付与

1. [データレイクのアクセス許可を付与] ページを開きます。

   で AWS Lake Formation コンソールを開きhttps://console.aws.amazon.com/lakeformation/、データレイク管理者として、または 許可オプションを使用して LF TBACを介して Data Catalog リソースに対する Lake Formation アクセス許可を付与されたユーザーとしてサインインします。

   ナビゲーションペインの [Permissions] (許可) で [Data lake permissions] (データレイクの許可) を選択します。次に、[Grant] (付与) を選択します。

2. プリンシパルを指定します。

   [Principals] (プリンシパル) セクションでプリンシパルタイプを選択してから、許可の付与先となるプリンシパルを指定します。

   

   IAM ユーザーとロール

   ユーザーとロールリストから 1 つ以上のIAMユーザーまたはロールを選択します。

   IAM アイデンティティセンター

   [ユーザーとグループ] リストから、1 人、または複数のユーザーを選択します。

   SAML ユーザーとグループ

   SAML および Amazon QuickSight ユーザーおよびグループ には、 を介してフェデレーションされたユーザーまたはグループ、または Amazon QuickSight ユーザーまたはグループに対して SAML1 つ以上の ARNs Amazon リソースネーム (ARNs) を入力します。各 の後に Enter を押しますARN。

   の構築方法についてはARNs、「」を参照してくださいLake Formation の許可と取り消し AWS CLI コマンド。

   注記

   Lake Formation と Amazon の統合 QuickSight は、Amazon QuickSight Enterprise Edition でのみサポートされています。

   外部アカウント

   AWS アカウント、 AWS 組織 、またはIAMプリンシパルには、IAMユーザーまたはロールARNに 1 つ以上の有効な AWS アカウント IDs、組織 IDs、組織単位 IDs、または を入力します。各 ID の後で [Enter] キーを押します。

   組織 ID は、最初の「o-」と、その後に続く 10～32 個の小文字または数字で構成されています。

   組織単位 ID は「ou-」で始まり、その後に 4～32 個の小文字または数字 (OU が含まれるルートの ID) が続きます。この文字列の後には、2 番目の「-」ダッシュと 8～32 個の追加の小文字または数字が続きます。

3. LF タグを指定します。

   [LF タグに一致するリソース] オプションが選択されていることを確認します。[Add LF-Tag] (LF タグを追加) を選択します。

   1. LF タグのキーと値を選択します。

      複数の値を選択する場合は、OR 演算子で LF タグ式を作成することになります。これは、LF タグの値のいずれかが Data Catalog リソースに割り当てられた LF タグと一致する場合、そのリソースに対する許可が付与されることを意味します。

      

   2. (オプション) [LF タグを追加] を再度選択して、別の LF タグを指定します。

      複数の LF タグを指定する場合は、AND 演算子で LF タグ式を作成することになります。プリンシパルには、LF タグ式内の各 LF タグに一致する LF タグが Data Catalog リソースに割り当てられている場合にのみ、その Data Catalog リソースに対する許可が付与されます。

4. 許可を指定します。

   一致するデータカタログリソースに対してプリンシパルに付与する許可を指定します。一致するリソースとは、プリンシパルに付与された LF タグ式の 1 つに一致する LF タグが割り当てられたリソースです。

   一致するデータベース、一致するテーブル、および一致するビューについて付与する許可を指定できます。

   

   [Database permissions] (データベースの許可) で、プリンシパルに付与される、一致するデータベースに対するデータベース許可を選択します。

   [テーブルの許可] で、プリンシパルに付与される、一致するテーブルとビューに対するテーブルまたはビューのアクセス許可を選択します。

   [テーブルの許可] から Select、Describe、Drop 許可を選択してビューに適用することもできます。

5. [Grant] (付与) を選択します。

AWS CLI および LF-TBAC メソッドを使用したデータレイクアクセス許可の付与

• grant-permissions コマンドを実行します。

  以下の例は、LF タグ式「module=*」(LF タグのキー module のすべての値) をユーザー datalake_user1 に付与します。このユーザーは、一致するすべてのデータベース、つまり、module キーと任意の値を持つ LF タグが割り当てられているデータベースに対する CREATE_TABLE 許可を持つようになります。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 

  以下の例では、LF タグ式「(level=director) AND (region=west OR region=south)」をユーザー datalake_user1 に付与します。このユーザーは、一致するテーブル、つまり level=director と (region=west または region=south) の両方が割り当てられているテーブルに対する grant オプション付きの SELECT、ALTER、および DROP 許可を持つようになります。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

  次の例では、LF タグ式module=orders「」を AWS アカウント 1234-5678-9012 に付与します。付与後、このアカウント内のデータレイク管理者は、そのアカウント内のプリンシパルに「module=orders」式を付与できるようになります。その後、これらのプリンシパルは、名前付きリソースメソッドまたは LF-TBAC メソッドを使用して、アカウント 1111-2222-3333 が所有するデータベースとアカウント 1234-5678-9012 と共有されているデータベースを照合するCREATE_TABLEアクセス許可を持ちます。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'