ハイブリッドアクセスモード

AWS Lake Formation ハイブリッドアクセスモードは、同じ AWS Glue Data Catalog データベース、テーブル、ビューへの 2 つのアクセス許可パスをサポートします。  最初のパスでは、特定のプリンシパルを選択し、そのプリンシパルに、オプトインすることでデータベースとテーブルへのアクセスが可能になるアクセス許可を付与できます。2 番目のパスでは、他のすべてのプリンシパルが Amazon S3 のデフォルトの IAM プリンシパルポリシーおよび AWS Glue アクションを通じてこれらのリソースにアクセスできます。

Amazon S3 ロケーションを Lake Formation に登録する場合、そのロケーションのすべてのリソースに Lake Formation 許可を適用するか、ハイブリッドアクセスモードを使用するかを選択できます。ハイブリッドアクセスモードは、デフォルトで、CREATE_TABLE、CREATE_PARTITION、および UPDATE_TABLE 許可のみが適用されます。Amazon S3 ロケーションがハイブリッドモードの場合、そのロケーションにあるデータベースとテーブルのプリンシパルをオプトインすることで、Lake Formation 許可を有効にできます。 

したがって、ハイブリッドアクセスモードでは、他の既存のユーザーやワークロードへのアクセスを中断することなく、特定のユーザーセットに対して Data Catalog 内のデータベースとテーブルで Lake Formation を選択的に有効にできる柔軟性が得られます。

AWS アカウント architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

考慮事項と制限事項については、「ハイブリッドアクセスモードには次の考慮事項と制限事項が適用されます。」を参照してください。

用語と定義

アクセス許可の設定方法に基づく Data Catalog リソースの定義は次のとおりです。

Lake Formation のリソース

Lake Formation に登録されているリソース。ユーザーがリソースにアクセスするには、Lake Formation 許可が必要です。

AWS Glue リソース

Lake Formation に登録されていないリソース。リソースに IAMAllowedPrincipals グループのアクセス許可があるため、リソースにアクセスするには IAM 許可のみが必要です。Lake Formation 許可は適用されません。

IAMAllowedPrincipals グループのアクセス許可の詳細については、「メタデータアクセス許可」を参照してください。

ハイブリッドリソース

ハイブリッドアクセスモードで登録されたリソース。リソースにアクセスするユーザーに基づいて、リソースは Lake Formation リソースと AWS Glue リソースの間で動的に切り替わります。

一般的なハイブリッドアクセスモードのユースケース

ハイブリッドアクセスモードを使用すると、単一アカウントおよびクロスアカウントのデータ共有シナリオでアクセスを許可できます。

単一アカウントのシナリオ

AWS Glue リソースをハイブリッドリソースに変換する – このシナリオでは、現在 Lake Formation を使用していませんが、Data Catalog データベースとテーブルに Lake Formation アクセス許可を適用したいと考えています。Amazon S3 ロケーションをハイブリッドアクセスモードで登録すると、そのロケーションを指す特定のデータベースとテーブルをオプトインするユーザーに、Lake Formation 許可を付与できます。
Lake Formation リソースをハイブリッドリソースに変換する - 現在、Lake Formation アクセス許可を使用してデータカタログデータベースへのアクセスを制御していますが、既存の Lake Formation アクセス許可を中断せずに、Amazon S3 と AWS Glue の IAM アクセス許可を使用して新しいプリンシパルにアクセスを許可したいと考えています。

データロケーション登録をハイブリッドアクセスモードに更新すると、新しいプリンシパルは、既存のユーザーの Lake Formation 許可を中断することなく、IAM 許可ポリシーを使用して Amazon S3 ロケーションを指す Data Catalog データベースにアクセスできます。

データロケーション登録を更新してハイブリッドアクセスモードを有効にする前に、まず、現在 Lake Formation 許可でリソースにアクセスしているプリンシパルをオプトインする必要があります。  これは、現在のワークフローが中断される可能性を防ぐためです。  また、データベース内のテーブルに対する Super 許可を IAMAllowedPrincipal グループに付与する必要があります。

クロスアカウントデータ共有のシナリオ

ハイブリッドアクセスモードを使用して AWS Glue リソースを共有する – このシナリオでは、プロデューサーアカウントには、Amazon S3 の AWS Glue IAM アクセス許可ポリシーとアクションを使用して、コンシューマーアカウントと現在共有されているデータベースにテーブルがあります。データベースのデータロケーションは、Lake Formation に登録されていません。

ハイブリッドアクセスモードでデータロケーションを登録する前に、[クロスアカウントバージョン設定] をバージョン 4 に更新する必要があります。バージョン 4 では、IAMAllowedPrincipalグループにリソースに対する AWS RAM アクセス許可がある場合に、クロスアカウント共有に必要な新しいSuperアクセス許可ポリシーが提供されます。IAMAllowedPrincipal グループアクセス許可のあるリソースについては、外部アカウントに Lake Formation 許可を付与し、そのアカウントが Lake Formation 許可を使用するようにオプトインできます。受信者アカウントのデータレイク管理者は、アカウント内のプリンシパルに Lake Formation 許可を付与し、プリンシパルをオプトインして Lake Formation 許可を適用できます。
ハイブリッドアクセスモードを使用して Lake Formation リソースを共有する – 現在、プロデューサーアカウントのデータベース内のテーブルは、Lake Formation 許可を適用するコンシューマーアカウントと共有されています。データベースのデータロケーションは、Lake Formation に登録されています。

この場合、Amazon S3 ロケーションの登録をハイブリッドアクセスモードに更新し、Amazon S3 バケットポリシーと Data Catalog リソースポリシーを使用して Amazon S3 のデータと Data Catalog のメタデータをコンシューマーアカウントのプリンシパルと共有できます。Amazon S3 ロケーションの登録を更新する前に、既存の Lake Formation 許可を再度付与し、プリンシパルをオプトインする必要があります。また、データベース内のテーブルに対する Super 許可を IAMAllowedPrincipals グループに付与する必要があります。

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon S3 ロケーションの登録解除

ハイブリッドアクセスモードの仕組み