Lake Formation でのリソースリンクの仕組み

Data Catalog 内のデータベースまたはテーブルに異なる名前を割り当てる。これは、異なる AWS アカウントが同じ名前のデータベースまたはテーブルを共有する場合、またはアカウント内の複数のデータベースに同じ名前のテーブルがある場合に特に便利です。

任意の AWS リージョンの Data Catalog データベースとテーブルにアクセスするには、別のリージョンのデータベースとテーブルを指すリソースリンクをそれらのリージョンに作成します。ソースデータやメタデータを Glue データカタログにコピーしなくても、これらのリソースリンクを Athena や Amazon EMR で使用してどのリージョンでもクエリを実行し、 AWS Glue ETL Spark ジョブを実行できます。

Amazon Athena や Amazon Redshift Spectrum などの統合 AWS サービスを使用して、共有データベースやテーブルにアクセスするクエリを実行します。統合サービスには、アカウントをまたいでデータベースやテーブルに直接アクセスできないものがありますが、アカウントにある他のアカウントのデータベースやテーブルへのリソースリンクにアクセスすることは可能です。

リソースリンクでは、共有テーブルの基盤となるデータをクエリするために、Athena および Redshift Spectrum などの統合サービスを有効にすることが必要になります。これらの統合サービスでのクエリは、リソースリンク名に対して作成されます。

テーブルが含まれるデータベースの [Use only IAM access control for new tables in this database] (このデータベースの新しいテーブルには IAM アクセス制御のみを使用する) 設定がオフになっていることを前提とすると、データベースを表示してそれにアクセスできるのは、リソースリンクを作成したプリンシパルのみになります。アカウント内の他のプリンシパルがリソースリンクにアクセスできるようにするには、それに対する DESCRIBE 許可を付与します。他のユーザーがリソースリンクをドロップできるようにするには、それに対する DROP 許可を付与します。データレイク管理者は、アカウント内のすべてのリソースリンクにアクセスできます。別のプリンシパルが作成したリソースリンクをドロップするには、まずデータレイク管理者がリソースリンクに対する DROP 許可を管理者自身に付与する必要があります。詳細については、「Lake Formation 許可のリファレンス」を参照してください。

リソースリンクを作成するには、Lake Formation CREATE_TABLEまたは アクセスCREATE_DATABASE許可と、 glue:CreateTableまたは glue:CreateDatabase AWS Identity and Access Management (IAM) アクセス許可が必要です。

リソースリンクは、ローカル (所有) Data Catalog リソースと、 AWS アカウントと共有されているリソースにリンクできます。

リソースリンクを作成するときに、ターゲット共有リソースが存在するかどうか、またはそのリソースに対するクロスアカウント許可があるかどうかを確認するためのチェックは実行されません。これは、リソースリンクと共有リソースを任意の順序で作成できるようにします。

リソースリンクを削除しても、リンクされた共有リソースはドロップされません。共有リソースをドロップしても、そのリソースへのリソースリンクは削除されません。

リソースリンクチェーンを作成することが可能ですが、API は最初のリソースリンクのみを使用するので、作成する価値はありません。