メタデータアクセスコントロールのための LF タグの管理 - AWS Lake Formation
LF タグのライフサイクルLake Formation タグベースのアクセスコントロールとIAM属性ベースのアクセスコントロールの比較

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

メタデータアクセスコントロールのための LF タグの管理

Lake Formation タグベースのアクセスコントロール (LF-TBAC) メソッドを使用して Data Catalog リソース (データベース、テーブル、列) を保護するには、LF タグを作成し、リソースに割り当て、プリンシパルに LF タグアクセス許可を付与します。

LF タグを Data Catalog リソースに割り当てたり、アクセス許可をプリンシパルに付与したりする前に、LF タグを定義する必要があります。LF タグを作成できるのは、データレイク管理者または LF タグ作成者アクセス許可を持つプリンシパルのみです。

LF タグ作成者

LF タグ作成者は、LF タグを作成および管理するアクセス許可を持つ非管理者プリンシパルです。データレイク管理者は、Lake Formation コンソールまたは を使用して LF タグ作成者を追加できますCLI。LF タグ作成者には、LF タグを更新および削除したり、LF タグをリソースに割り当てたり、他のプリンシパルに LF タグアクセス許可と LF タグ値アクセス許可を付与したりするための暗黙の Lake Formation アクセス許可があります。

LF タグ作成者のロールにより、データレイク管理者はタグキーや値の作成や更新などのタグ管理タスクを管理者以外のプリンシパルに委任できます。データレイク管理者は LF タグ作成者に付与可能な Create LF-Tag アクセス許可を付与することもできます。その後、LF タグ作成者は、LF タグを作成するアクセス許可を他のプリンシパルに付与できます。

LF タグに対する次の 2 種類のアクセス許可を付与できます。

  • LF タグアクセス許可 - Create LF-TagAlter、および Drop。これらのアクセス許可は、LF タグの作成、更新、および削除に必要です。

    データレイク管理者と LF タグ作成者は、作成した LF タグに対するこれらのアクセス許可を暗黙的に持ち、これらのアクセス許可をプリンシパルに明示的に付与し、データレイク内のタグを管理できます。

  • LF タグのキーと値のペアのアクセス許可 - AssignDescribe、および Grant with LF-Tag expressions。これらのアクセス許可は、LF タグをデータカタログデータベース、テーブル、列に割り当てたり、Lake Formation タグベースのアクセスコントロールを使用してリソースに対するアクセス許可をプリンシパルに付与したりするために必要です。LF タグ作成者は、LF タグを作成するときに、これらのアクセス許可を暗黙的に受け取ります。

Create LF-Tag アクセス許可を受け取り、LF タグの作成に成功すると、LF タグ作成者は、LF タグをリソースに割り当てて、LF タグアクセス許可 (Create LF-TagAlterDrop) を管理者以外の他のプリンシパルに付与して、データレイク内のタグを管理できます。Lake Formation コンソール、、APIまたは AWS Command Line Interface () を使用して、LF タグを管理できますAWS CLI。

注記

データレイク管理者は、LF タグの作成、更新、削除、LF タグのリソースへの割り当て、および LF タグアクセス許可のプリンシパルへの付与を行う暗黙的な Lake Formation アクセス許可を持っています。

ベストプラクティスと考慮事項については、「Lake Formation のタグベースのアクセスコントロールのベストプラクティスと考慮事項」を参照してください。

トピック
以下も参照してください。

LF タグのライフサイクル

  1. LFタグ作成者のマイケルが LF タグ module=Customers を作成します。

  2. マイケルは LF タグに対する Associate をデータエンジニアであるエデュアルドに付与します。Associate の付与は、Describe を黙示的に付与します。

  3. マイケルはテーブル Custs に対する grant オプション付きの Super をエデュアルドに付与して、エデュアルドがそのテーブルに LF タグを割り当てることができるようにします。詳細については、「Data Catalog リソースへの LF タグの割り当て」を参照してください。

  4. エデュアルドは LF タグ module=customers をテーブル Custs に割り当てます。

  5. マイケルがデータエンジニアであるサンドラに以下の付与を行います (疑似コードを使用)。

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

  6. サンドラがデータアナリストであるマリアに以下の付与を行います。

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    マリアが Custs テーブルにクエリを実行できるようになります。

以下も参照してください。

Lake Formation タグベースのアクセスコントロールとIAM属性ベースのアクセスコントロールの比較

属性ベースのアクセスコントロール (ABAC) は、属性に基づいてアクセス許可を定義する認証戦略です。では AWS、これらの属性はタグ と呼ばれます。IAM エンティティ (ユーザーまたはロール) を含むIAMリソースと AWS リソースにタグをアタッチできます。IAM プリンシパル用に 1 つのABACポリシーまたは小さなポリシーセットを作成できます。これらのABACポリシーは、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように設計されています。ABAC は、急速に成長している環境で役立ち、ポリシー管理が面倒になる状況に役立ちます。

クラウドセキュリティおよびガバナンスチームはIAM、 を使用して、Amazon S3 バケット、Amazon EC2インスタンス、 で参照できるすべてのリソースのアクセスポリシーとセキュリティアクセス許可を定義しますARN。IAM ポリシーは、Amazon S3 バケット、プレフィックスレベル、データベースレベルでのアクセスを許可または拒否するなど、データレイクリソースへの広範な (粗粒度の) アクセス許可を定義します。の詳細についてはABAC、IAM「 ユーザーガイドIAM」の「 ABACとは AWS」を参照してください。

例えば、project-access タグキーを使用して 3 つのロールを作成できます。最初のロールのタグ値を Dev、2 番目を Marketing、3 番目を Support に設定します。適切な値を持つタグをリソースに割り当てます。そうすることで、project-access に関してロールとリソースが同じ値でタグ付けされているときにアクセスを許可する単一のポリシーを使用できます。

データガバナンスチームは、特定のデータレイクリソースに対するきめ細かな許可を定義するために Lake Formation を使用します。LF タグはデータカタログリソース (データベース、テーブル、および列) に割り当てられ、プリンシパルに付与されます。リソースの LF タグと一致する LF タグを持つプリンシパルは、そのリソースにアクセスできます。Lake Formation のアクセス許可は、アクセスIAM許可のセカンダリです。例えば、アクセスIAM許可がユーザーにデータレイクへのアクセスを許可しない場合、Lake Formation は、プリンシパルとリソースに一致する LF タグがある場合でも、そのデータレイク内のリソースへのアクセスをそのユーザーに許可しません。

Lake Formation タグベースのアクセスコントロール (LF-TBAC) は と連携IAMABACし、Lake Formation データおよびリソースに対する追加のレベルのアクセス許可を提供します。

  • Lake Formation のTBACアクセス許可は、イノベーションとともにスケーリングされます。新しいリソースへのアクセスを許可するために、管理者が既存のポリシーを更新する必要はありません。例えば、Lake Formation 内の特定のデータベースへのアクセスを提供するために、 project-access タグでIAMABAC戦略を使用すると仮定します。LF- を使用するとTBAC、LF タグProject=SuperAppは特定のテーブルまたは列に割り当てられ、そのプロジェクトの開発者に同じ LF タグが付与されます。を通じてIAM、デベロッパーはデータベースにアクセスでき、LF-TBAC アクセス許可により、デベロッパーはテーブル内の特定のテーブルまたは列にさらにアクセスできます。新しいテーブルがプロジェクトに追加される場合、Lake Formation 管理者は、新しいテーブルにタグを割り当てて、デベロッパーにそのテーブルへのアクセス権が付与されるようするだけで済みます。

  • Lake Formation TBACでは、必要なIAMポリシーが少なくなります。IAM ポリシーを使用して Lake Formation リソースへの高レベルのアクセスを許可し、Lake Formation TBACを使用してより正確なデータアクセスを管理するため、作成するIAMポリシーが少なくなります。

  • Lake Formation を使用するとTBAC、チームは迅速に変更および成長できます。これは、新しいリソースの許可が属性に基づいて自動的に付与されるためです。例えば、新しいデベロッパーがプロジェクトに参加する場合、ユーザーにIAMロールを関連付けてから、必要な LF タグをユーザーに割り当てることで、このデベロッパーにアクセス権を簡単に付与できます。新しいプロジェクトをサポートしたり、新しい LF タグを作成したりするために、IAMポリシーを変更する必要はありません。

  • Lake Formation を使用して、きめ細かなアクセス許可が可能ですTBAC。IAM ポリシーは、Data Catalog データベースやテーブルなどの最上位のリソースへのアクセスを許可します。Lake Formation TBACを使用すると、特定のデータ値を含む特定のテーブルまたは列へのアクセスを許可できます。

注記

IAM タグは LF タグとは異なります。これらのタグは置き換え可能ではありません。LF タグは Lake Formation に許可を付与するために使用されます。IAMタグはIAMポリシーの定義に使用されます。