ロケーションの登録に使用されるロールの要件 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ロケーションの登録に使用されるロールの要件

Amazon Simple Storage Service AWS Identity and Access Management (Amazon S3) ロケーションを登録するときは、 (IAM) ロールを指定する必要があります。 はそのロケーションのデータにアクセスするときにそのロールを AWS Lake Formation 引き受けます。

ロケーションは、以下のロールタイプのいずれかを使用して登録できます。

  • Lake Formation サービスリンクロール。このロールは、ロケーションに対する必要な許可を付与します。このロールの使用は、ロケーションを登録する最もシンプルな方法です。詳細については、「Lake Formation のサービスリンクロールの使用」を参照してください。

  • ユーザー定義のロール。ユーザー定義のロールは、サービスリンクロールが提供する許可よりも多くの許可を付与する必要があるときに使用します。

    以下の状況では、ユーザー定義のロールを使用する必要があります。

以下は、ユーザー定義のロールの要件です。

  • 新しいロールを作成するときは、IAM コンソールの [ロールの作成] ページで [AWS のサービス] を選択してから、[ユースケースの選択][Lake Formation] を選択します。

    別のパスを使用してロールを作成する場合は、そのロールに lakeformation.amazonaws.com との信頼関係があることを確認します。詳細については、「ロールの信頼ポリシーの変更 (コンソール)」を参照してください。

  • ロールには、以下のエンティティとの信頼関係がある必要があります。

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    詳細については、「ロールの信頼ポリシーの変更 (コンソール)」を参照してください。

  • ロールには、ロケーションに対する Amazon S3 の読み取り/書き込み許可を付与するインラインポリシーが必要です。以下は典型的なポリシーです。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

  • 次の信頼ポリシーを IAM ロールに追加して、Lake Formation サービスがロールを引き受け、統合された分析エンジンに一時的な認証情報を提供できるようにします。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole"                          
            ]
        }
    ]
}

  • ロケーションを登録するデータレイク管理者は、ロールに対する iam:PassRole 許可を持っている必要があります。

    以下は、この許可を付与するインラインポリシーです。<account-id> を有効な AWS アカウント番号に置き換え、<role-name> をロールの名前に置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

  • Lake Formation が CloudWatch ログにログを追加し、メトリクスを発行できるようにするには、次のインラインポリシーを追加します。

    注記

    CloudWatch ログへの書き込みには料金が発生します。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}