翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ストレージアクセス管理
Lake Formation では、認証情報の供給を使用して Amazon S3 データへの一時的なアクセスを提供します。認証情報の供給、またはトークンの供給は、リソースへの短期アクセスを許可する目的で、ユーザー、サービス、またはその他のエンティティに一時的な認証情報を提供する一般的なパターンです。
Lake Formation はこのパターンを活用して、呼び出し元プリンシパルに代わってデータにアクセスするための Athena などの AWS 分析サービスへの短期アクセスを提供します。アクセス許可を付与する場合、ユーザーは Amazon S3 バケットポリシーを更新する必要はありません。またIAM、Amazon S3 への直接アクセスも必要ありません。
次の図は、Lake Formation が登録された場所への一時的なアクセスを提供する方法を示しています。
-
プリンシパル (ユーザー) は、Athena、Amazon、EMRRedshift Spectrum、 などの信頼できる統合サービスを通じて、テーブルのデータのクエリまたはリクエストを入力します AWS Glue。
-
統合サービスは、テーブルと要求された列についてLake Formation からの承認を確認し、承認の決定を行います。ユーザーに権限がない場合、Lake Formation はデータへのアクセスを拒否し、クエリは失敗します。
認可が成功し、テーブルとユーザーのストレージ認可が有効になると、統合サービスは Lake Formation から一時的な認証情報を取得してデータにアクセスします。
-
統合サービスは、Lake Formation の一時的な認証情報を使用して Amazon S3 にオブジェクトを要求します。
Amazon S3 は、統合されたサービスに Amazon S3 オブジェクトを提供します。Amazon S3 オブジェクトには、テーブルのすべてのデータが含まれています。
統合サービスは、列レベル、行レベル、セルレベルのフィルタリングなど、必要な Lake Formation ポリシーの適用を行います。統合サービスがクエリを処理し、ユーザーに結果を返します。
Data Catalog テーブルに対してストレージレベルの許可の適用を有効にする
デフォルトでは、Data Catalog 内のテーブルではストレージレベルの適用は有効になっていません。ストレージレベルの強制を有効にするには、ソースデータの Amazon S3 の場所を Lake Formation に登録し、IAMロールを指定する必要があります。ストレージレベルのアクセス許可は、Amazon S3 ロケーションの同じテーブルロケーションのパスまたはプレフィックスを持つすべてのテーブルに対して有効になります。
統合サービスがユーザーに代わってデータロケーションへのアクセスを要求すると、Lake Formation サービスがこの役割を引き受け、要求されたサービスにリソースへのスコープダウンされたアクセス許可を持つ認証情報を返し、データアクセスができるようにします。登録されたIAMロールには、 AWS KMS キーを含む Amazon S3 の場所への必要なアクセスがすべて必要です。
詳細については、「Amazon S3 ロケーションの登録」を参照してください。
サポートされている AWS サービス
AWS Athena、Redshift Spectrum、Amazon EMRなどの分析サービス AWS Glue Amazon QuickSight。 AWS Lake Formation 認証情報販売APIオペレーションを使用して Lake Formation と Amazon SageMaker 統合します。Lake Formation と統合される AWS サービスの完全なリスト、およびそれらがサポートする粒度とテーブル形式については、「」を参照してください他の AWS サービスの使用。
