アカウントと共有されたデータロケーションに対する許可の付与 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウントと共有されたデータロケーションに対する許可の付与

Data Catalog リソースが AWS アカウントと共有されると、データレイク管理者として、アカウントの他のプリンシパルにリソースに対するアクセス許可を付与できます。共有テーブルに対する ALTER 許可が付与されており、そのテーブルが登録された Amazon S3 ロケーションをポイントする場合は、そのロケーションに対するデータロケーション許可も付与する必要があります。同様に、共有データベースに対する CREATE_TABLE または ALTER 許可が付与されており、そのデータベースに登録されたロケーションをポイントするロケーションプロパティがある場合は、そのロケーションに対しするデータロケーション許可も付与する必要があります。

共有ロケーションに対するデータロケーション許可をアカウント内のプリンシパルに付与するには、そのロケーションに対する grant オプション付きの DATA_LOCATION_ACCESS 許可がアカウントに付与されている必要があります。その後、アカウントの別のプリンシパルDATA_LOCATION_ACCESSに を付与するときは、所有者アカウントの Data Catalog ID (AWS アカウント ID) を含める必要があります。所有者アカウントは、ロケーションを登録したアカウントです。

AWS Lake Formation コンソール、API、または AWS Command Line Interface (データロケーションのアクセス許可を付与AWS CLI するために) を使用できます。

アカウントと共有されたデータロケーションに対する許可を付与する (コンソール)
  • データロケーション許可の付与 (同じアカウント)」の手順を実行します。

    [Storage locations] (ストレージのロケーション) には、ロケーションを入力する必要があります。登録済みアカウントの場所 には、所有者 AWS アカウントのアカウント ID を入力します。

アカウントと共有されたデータロケーションに対する許可を付与する (AWS CLI)
  • 以下のコマンドのいずれかを入力して、ユーザーまたはロールに許可を付与します。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'