Lake Formation のタグベースのアクセスコントロールを使用したデータレイクの管理 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation のタグベースのアクセスコントロールを使用したデータレイクの管理

何千ものお客様が、ペタバイト規模のデータレイクを で構築しています AWS。これらの顧客の多くは AWS Lake Formation 、 を使用して、組織全体でデータレイクを簡単に構築して共有します。テーブルとユーザーの数が増えるに従って、データスチュワードや管理者は、大規模なデータレイクに対する許可を容易に管理する方法を模索しています。Lake Formation のタグベースのアクセスコントロール (LF-TBAC) は、データスチュワードが (データの分類とオントロジーに基づいて) LF タグを作成し、これをリソースにアタッチできるようにすることで、この問題を解決します。

LF-TBAC は、属性に基づいて許可を定義する認可戦略です。これらの属性は、Lake Formation で LF タグと呼ばれています。LF タグは、Data Catalog リソースと Lake Formation プリンシパルにアタッチできます。データレイク管理者は、LF タグを使用して、Lake Formation リソースに対する許可を割り当てたり取り消したりできます。詳細については、「Lake Formation のタグベースのアクセス制御」を参照してください。。

このチュートリアルでは、 AWS パブリックデータセットを使用して Lake Formation のタグベースのアクセスコントロールポリシーを作成する方法を示します。さらに、Lake Formation のタグベースのアクセスポリシーが関連付けられているテーブル、データベース、列に対してクエリを実行する方法も示します。

LF-TBAC は、以下のユースケースに使用できます。

  • データレイク管理者がアクセス権を付与する必要があるテーブルやプリンシパルが多数ある

  • オントロジーに基づいてデータを分類し、分類に基づいて許可を付与したい

  • データレイク管理者が、疎結合方式で許可を動的に割り当てることを希望している

LF-TBAC を使用して許可を設定するための高レベルのステップを以下に示します。

  1. データスチュワードが、Confidential および Sensitive の 2 つの LF タグを使用してタグオントロジーを定義します。Confidential=True のデータは、アクセスコントロールが厳しくなります。Sensitive=True のデータは、アナリストによる特定の分析を必要とします。

  2. データスチュワードは、複数の異なる許可レベルをデータエンジニアに割り当てることで、LF タグが異なる複数のテーブルを構築します。

  3. データエンジニアは、tag_database および col_tag_database の 2 つのデータベースを構築します。tag_database 内のすべてのテーブルには Confidential=True が設定されます。col_tag_database 内のすべてのテーブルには Confidential=False が設定されます。col_tag_database 内のテーブルにある一部の列には、特定の分析ニーズに応じて Sensitive=True がタグ付けされます。

  4. データエンジニアは、特定の式条件 (Confidential=TrueConfidential=FalseSensitive=True) を持つテーブルに対する読み取り許可をアナリストに付与します。

  5. この設定により、データアナリストは適切なデータを使用した分析の実行に集中できます。

トピック