Lake Formation でのリソースリンクの仕組み

Data Catalog 内のデータベースまたはテーブルに異なる名前を割り当てる。これは、異なる AWS アカウントが同じ名前のデータベースやテーブルを共有する場合や、アカウント内の複数のデータベースに同じ名前のテーブルがある場合は特に便利です。

他のリージョンのデータベースやテーブルを指すリソースリンクをこれらのリージョンに作成することで、どの AWS リージョンからでも Data Catalog のデータベースやテーブルにアクセスできます。ソースデータやメタデータを Glue データカタログにコピーしなくても、これらのリソースリンクを Athena や Amazon EMR で使用してどのリージョンでもクエリを実行し、AWS Glue ETL Spark ジョブを実行できます。

共有データベースやテーブルにアクセスするクエリを実行するには、Amazon Athena や Amazon Redshift Spectrum などの AWS の統合サービスを使用します。統合サービスには、アカウントをまたいでデータベースやテーブルに直接アクセスできないものがありますが、アカウントにある他のアカウントのデータベースやテーブルへのリソースリンクにアクセスすることは可能です。

リソースリンクでは、共有テーブルの基盤となるデータをクエリするために、Athena および Redshift Spectrum などの統合サービスを有効にすることが必要になります。これらの統合サービスでのクエリは、リソースリンク名に対して作成されます。

テーブルが含まれるデータベースの [Use only IAM access control for new tables in this database] (このデータベースの新しいテーブルには IAM アクセス制御のみを使用する) 設定がオフになっていることを前提とすると、データベースを表示してそれにアクセスできるのは、リソースリンクを作成したプリンシパルのみになります。アカウント内の他のプリンシパルがリソースリンクにアクセスできるようにするには、それに対する DESCRIBE 許可を付与します。他のユーザーがリソースリンクをドロップできるようにするには、それに対する DROP 許可を付与します。データレイク管理者は、アカウント内のすべてのリソースリンクにアクセスできます。別のプリンシパルが作成したリソースリンクをドロップするには、まずデータレイク管理者がリソースリンクに対する DROP 許可を管理者自身に付与する必要があります。詳細については、「Lake Formation 許可のリファレンス」を参照してください。

リソースリンクを作成するには、Lake Formation の CREATE_TABLE または CREATE_DATABASE 許可と、glue:CreateTable または glue:CreateDatabase AWS Identity and Access Management (IAM) 許可が必要です。

ローカル (所有する) Data Catalog リソースと、AWS アカウントと共有されているリソースへのリソースリンクを作成することができます。

リソースリンクを作成するときに、ターゲット共有リソースが存在するかどうか、またはそのリソースに対するクロスアカウント許可があるかどうかを確認するためのチェックは実行されません。これは、リソースリンクと共有リソースを任意の順序で作成できるようにします。

リソースリンクを削除しても、リンクされた共有リソースはドロップされません。共有リソースをドロップしても、そのリソースへのリソースリンクは削除されません。

リソースリンクチェーンを作成することが可能ですが、API は最初のリソースリンクのみを使用するので、作成する価値はありません。