ハイブリッドアクセスモードの設定 - 一般的なシナリオ
Lake Formation 許可と同様に、ハイブリッドアクセスモードを使用してデータアクセスを管理できるシナリオには通常 2 種類があります。1 つの AWS アカウント内のプリンシパルへのアクセスを許可するシナリオと、外部の AWS アカウントまたはプリンシパルへのアクセスを許可するシナリオです。
このセクションでは、以下のシナリオでハイブリッドアクセスモードを設定する方法について説明します。
ハイブリッドアクセスモードのアクセス許可を 1 つの AWS アカウント で管理する
AWS Glue リソースをハイブリッドリソースに変換する - 現在、Amazon S3 と AWS Glue の IAM 許可を使用してアカウント内のすべてのプリンシパルにデータベース内のテーブルへのアクセスを許可しているが、Lake Formation を採用してアクセス許可を段階的に管理したいと考えている。
Lake Formation リソースをハイブリッドリソースに変換する - 現在、アカウント内のすべてのプリンシパルについて、Lake Formation を使用してデータベース内のテーブルへのアクセスを管理しているが、特定のプリンシパルにのみ Lake Formation を使用したいと考えている。同じデータベースとテーブルの AWS Glue および Amazon S3 の IAM 許可を使用して、新しいプリンシパルへのアクセスを許可したいと考えている。
AWS アカウント間のアクセス許可をハイブリッドアクセスモードで管理する
ハイブリッドアクセスモードを使用して AWS Glue リソースを共有する - 現在、テーブルのアクセス許可管理に Lake Formation を使用していないが、Lake Formation アクセス許可を適用して別のアカウント内のプリンシパルにアクセスを許可したいと考えている。
ハイブリッドアクセスモードを使用して Lake Formation リソースを共有する - Lake Formation を使用してテーブルのアクセスを管理しているが、同じデータベースとテーブルに対する AWS Glue と Amazon S3 の IAM アクセス許可を使用して、別のアカウントのプリンシパルにアクセスを許可したいと考えている。
ハイブリッドアクセスモードの設定 – 概要ステップ
-
[ハイブリッドアクセスモード] を選択して、Amazon S3 データロケーションを Lake Formation に登録します。
-
プリンシパルは、Data Catalog のテーブルまたはデータベースのポイント先となるデータレイクのロケーションに対する
DATA_LOCATION許可を持っている必要があります。 -
[クロスアカウントバージョン設定] をバージョン 4 に設定します。
データベースやテーブル上の特定の IAM ユーザーまたはロールにきめ細かいアクセス許可を付与します。同時に、データベース上の
IAMAllowedPrincipalsグループとデータベース内のすべてまたは選択したテーブルに、必ずSuperまたはAll許可を設定します。-
プリンシパルとリソースをオプトインします。アカウント内の他のプリンシパルは、AWS Glue および Amazon S3 アクションの IAM 許可ポリシーを使用してデータベースとテーブルに引き続きアクセスできます。
-
オプションで、Lake Formation 許可を使用するようオプトインしているプリンシパルの Amazon S3 の IAM 許可ポリシーをクリーンアップします。
