Lake Formation でのリソースリンクの仕組み

Data Catalog 内のデータベースまたはテーブルに異なる名前を割り当てる。これは、異なる AWS アカウントが同じ名前のデータベースまたはテーブルを共有する場合、またはアカウント内の複数のデータベースが同じ名前のテーブルを持つ場合に特に便利です。

別の AWS リージョンのデータベースとテーブルを指すリソースリンクをそれらのリージョンに作成して、任意のリージョンから Data Catalog データベースとテーブルにアクセスします。Glue Data Catalog のソースデータやメタデータをコピーすることなく、Athena、Amazon、EMRSpark AWS Glue ETL ジョブを使用して、これらのリソースリンクを使用して任意のリージョンでクエリを実行できます。

Amazon Athena や Amazon Redshift Spectrum などの統合 AWS サービスを使用して、共有データベースやテーブルにアクセスするクエリを実行します。統合サービスには、アカウントをまたいでデータベースやテーブルに直接アクセスできないものがありますが、アカウントにある他のアカウントのデータベースやテーブルへのリソースリンクにアクセスすることは可能です。

リソースリンクでは、共有テーブルの基盤となるデータをクエリするために、Athena および Redshift Spectrum などの統合サービスを有効にすることが必要になります。これらの統合サービスでのクエリは、リソースリンク名に対して作成されます。

「このデータベース内の新しいテーブルのIAMアクセスコントロールのみを使用する」の設定が、含まれるデータベースに対して無効になっていると仮定すると、リソースリンクを作成したプリンシパルのみがそのテーブルを表示およびアクセスできます。アカウント内の他のプリンシパルがリソースリンクにアクセスできるようにするには、それに対する DESCRIBE 許可を付与します。他のユーザーがリソースリンクをドロップできるようにするには、それに対する DROP 許可を付与します。データレイク管理者は、アカウント内のすべてのリソースリンクにアクセスできます。別のプリンシパルが作成したリソースリンクをドロップするには、まずデータレイク管理者がリソースリンクに対する DROP 許可を管理者自身に付与する必要があります。詳細については、「Lake Formation 許可のリファレンス」を参照してください。

リソースリンクを作成するには、Lake Formation CREATE_TABLEまたは アクセスCREATE_DATABASE許可と、 glue:CreateTable または glue:CreateDatabase AWS Identity and Access Management （IAM) アクセス許可が必要です。

リソースリンクは、ローカル (所有) Data Catalog リソースと、 AWS アカウントと共有されているリソースにリンクできます。

リソースリンクを作成するときに、ターゲット共有リソースが存在するかどうか、またはそのリソースに対するクロスアカウント許可があるかどうかを確認するためのチェックは実行されません。これは、リソースリンクと共有リソースを任意の順序で作成できるようにします。

リソースリンクを削除しても、リンクされた共有リソースはドロップされません。共有リソースをドロップしても、そのリソースへのリソースリンクは削除されません。

リソースリンクチェーンを作成することが可能ですが、ただし、 は最初のリソースリンクのみAPIsに従うため、その値はありません。