データロケーション許可の付与 (同じアカウント)

データロケーション許可の付与 (同じアカウント、コンソール)

1. で AWS Lake Formation コンソールを開きますhttps://console.aws.amazon.com/lakeformation/。データレイク管理者、または目的のデータロケーションに対する付与許可を持つプリンシパルとしてサインインします。

2. ナビゲーションペインの [Permissions] (許可) で [Data locations] (データのロケーション) を選択します。

3. [Grant] (付与) を選択します。

4. [Grant permissions] (許可の付与) ダイアログボックスで、[My account] (マイアカウント) タイルが選択されていることを確認します。その後、以下の情報を指定します。

   • IAM ユーザーとロール では、1 つ以上のプリンシパルを選択します。

   • SAML および Amazon QuickSight ユーザーおよびグループ には、 を通じてフェデレーションされたユーザーまたはグループSAML、または Amazon QuickSight ユーザーまたはグループARNsに対して 1 つ以上の Amazon リソースネーム (ARNs) を入力します。

     ARN 一度に 1 つを入力し、各 の後に Enter キーを押しますARN。の構築方法についてはARNs、「」を参照してくださいLake Formation の許可と取り消し AWS CLI コマンド。

   • [Storage locations] (ストレージのロケーション) では、[Browse] (参照) を選択して、Amazon Simple Storage Service (Amazon S3) ストレージロケーションを選択します。ロケーションは Lake Formation に登録されている必要があります。[Browse] (参照) をもう一度選択して、別のロケーションを追加します。ロケーションは入力することもできますが、ロケーションの前に s3:// を付けるようにしてください。

   • 登録済みアカウントの場所 には、その場所が登録されている AWS アカウント ID を入力します。これは、デフォルトでお使いのアカウント ID に設定されます。クロスアカウントのシナリオの場合、受領者アカウントのデータレイク管理者は、受領者アカウント内の他のプリンシパルにデータロケーション許可を付与するときに、ここで所有者アカウントを指定できます。

   • (オプション) 選択したプリンシパルが選択したロケーションに対するデータロケーションの許可を付与できるようにするには、[Grantable] (付与可能) を選択します。

   

5. [Grant] (付与) を選択します。

データロケーションのアクセス許可を付与するには (同じアカウント、 AWS CLI）

• Amazon S3 のパスをリソースとして指定して、grant-permissions コマンドを実行し、プリンシパルに DATA_LOCATION_ACCESS を付与します。

  以下の例は、s3://retail に対するデータロケーション許可をユーザー datalake_user1 に付与します。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

  以下の例は、s3://retail に対するデータロケーションのアクセス許可を ALLIAMPrincipals グループに付与します。

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'