翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アカウントと共有されたデータロケーションに対する許可の付与
Data Catalog リソースが AWS アカウントと共有されると、データレイク管理者として、アカウントの他のプリンシパルにリソースに対するアクセス許可を付与できます。共有テーブルに対する ALTER
許可が付与されており、そのテーブルが登録された Amazon S3 ロケーションをポイントする場合は、そのロケーションに対するデータロケーション許可も付与する必要があります。同様に、共有データベースに対する CREATE_TABLE
または ALTER
許可が付与されており、そのデータベースに登録されたロケーションをポイントするロケーションプロパティがある場合は、そのロケーションに対しするデータロケーション許可も付与する必要があります。
共有ロケーションに対するデータロケーション許可をアカウント内のプリンシパルに付与するには、そのロケーションに対する grant オプション付きの DATA_LOCATION_ACCESS
許可がアカウントに付与されている必要があります。その後、アカウントの別のプリンシパルDATA_LOCATION_ACCESS
に を付与するときは、所有者アカウントの Data Catalog ID (AWS アカウント ID) を含める必要があります。所有者アカウントは、ロケーションを登録したアカウントです。
AWS Lake Formation コンソール、API、または AWS Command Line Interface (データロケーションのアクセス許可を付与AWS CLI するために) を使用できます。
アカウントと共有されたデータロケーションに対する許可を付与する (コンソール)
-
「データロケーション許可の付与 (同じアカウント)」の手順を実行します。
[Storage locations] (ストレージのロケーション) には、ロケーションを入力する必要があります。登録済みアカウントの場所 には、所有者 AWS アカウントのアカウント ID を入力します。
アカウントと共有されたデータロケーションに対する許可を付与する (AWS CLI)
-
以下のコマンドのいずれかを入力して、ユーザーまたはロールに許可を付与します。
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/<user-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}' aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>
:role/<role-name>
--permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>
","ResourceArn":"arn:aws:s3:::<s3-location>
"}}'