ハイブリッドアクセスモード

AWS Lake Formationハイブリッドアクセスモードでは、同じ AWS Glue Data Catalog オブジェクトへのアクセス許可パスがサポートされます。  最初のパスでは、特定のプリンシパルを選択し、そのプリンシパルに、オプトインすることでカタログ、データベース、テーブル、ビューへのアクセスが可能になる Lake Formation アクセス許可を付与できます。2 つ目のパスでは、他のすべてのプリンシパルが、Amazon S3 のデフォルトの IAM プリンシパルポリシーと AWS Glue アクションを通じて、これらのリソースにアクセスできるようになります。

Amazon S3 ロケーションを Lake Formation に登録する場合、そのロケーションのすべてのリソースに Lake Formation 許可を適用するか、ハイブリッドアクセスモードを使用するかを選択できます。ハイブリッドアクセスモードは、デフォルトで、CREATE_TABLE、CREATE_PARTITION、およびUPDATE_TABLE 許可のみが適用されます。Amazon S3 の場所がハイブリッドモードの場合、その場所のデータカタログオブジェクトのプリンシパルをオプトインすることで、Lake Formation アクセス許可を有効にできます。 これは、Lake Formation アクセス許可と IAM アクセス許可の両方が、そのデータへのアクセスを制御できることを意味します。つまり、オプトインされたプリンシパルはデータにアクセスするために Lake Formation アクセス許可と IAM アクセス許可の両方を必要とし、オプトインされていないプリンシパルは引き続き IAM アクセス許可のみを使用してデータにアクセスします。

したがって、ハイブリッドアクセスモードでは、他の既存のユーザーやワークロードへのアクセスを中断することなく、特定のユーザーセットに対してデータカタログ内のカタログ、データベース、テーブルで Lake Formation を選択的に有効化できる柔軟性が得られます。

AWS アカウント architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

考慮事項と制限事項については、「ハイブリッドアクセスモードには次の考慮事項と制限事項が適用されます。」を参照してください。

用語と定義

アクセス許可の設定方法に基づく Data Catalog リソースの定義は次のとおりです。

Lake Formation のリソース

Lake Formation に登録されているリソース。ユーザーがリソースにアクセスするには、Lake Formation 許可が必要です。

AWS Glue リソース:

Lake Formation に登録されていないリソース。リソースにIAMAllowedPrincipals グループのアクセス許可があるため、リソースにアクセスするには IAM 許可のみが必要です。Lake Formation 許可は適用されません。

IAMAllowedPrincipals グループのアクセス許可の詳細については、「メタデータアクセス許可」を参照してください。

ハイブリッドリソース

ハイブリッドアクセスモードで登録されたリソース。リソースにアクセスするユーザーに基づいて、リソースは Lake Formation リソースと AWS Glue リソースの間で動的に切り替わります。

一般的なハイブリッドアクセスモードのユースケース

ハイブリッドアクセスモードを使用すると、単一アカウントおよびクロスアカウントのデータ共有シナリオでアクセスを許可できます。

単一アカウントのシナリオ

AWS Glue リソースをハイブリッドリソースに変換する - このシナリオでは、現在 Lake Formation を使用していないユーザーが、データカタログオブジェクトへの Lake Formation アクセス許可を取得したいと考えています。Amazon S3 ロケーションをハイブリッドアクセスモードで登録すると、そのロケーションを指す特定のデータベースとテーブルをオプトインするユーザーに、Lake Formation 許可を付与できます。
Lake Formation リソースをハイブリッドリソースに変換する - 現在、Lake Formation アクセス許可を使用してデータカタログデータベースへのアクセスを制御していますが、既存の Lake Formation アクセス許可を中断せずに、Amazon S3 と AWS Glue の IAM アクセス許可を使用して新しいプリンシパルにアクセスを許可したいと考えています。
データロケーション登録をハイブリッドアクセスモードに更新すると、新しいプリンシパルは、既存のユーザーの Lake Formation 許可を中断することなく、IAM 許可ポリシーを使用して Amazon S3 ロケーションを指す Data Catalog データベースにアクセスできます。
データロケーション登録を更新してハイブリッドアクセスモードを有効にする前に、まず、現在 Lake Formation 許可でリソースにアクセスしているプリンシパルをオプトインする必要があります。  これは、現在のワークフローが中断される可能性を防ぐためです。  また、データベース内のテーブルに対するSuper 許可をIAMAllowedPrincipal グループに付与する必要があります。

クロスアカウントデータ共有のシナリオ

ハイブリッドアクセスモードを使用して AWS Glue リソースを共有する – このシナリオでは、プロデューサーアカウントのデータベース内のテーブルは、現在 Amazon S3 と AWS Glue アクションの IAM 許可ポリシーを使用してコンシューマーアカウントと共有されています。データベースのデータロケーションは、Lake Formation に登録されていません。
ハイブリッドアクセスモードでデータロケーションを登録する前に、[クロスアカウントバージョン設定] をバージョン 4 に更新する必要があります。バージョン 4 では、IAMAllowedPrincipal グループがリソースに対するSuper 許可を有している場合、クロスアカウント共有に必要な新しい AWS RAM 許可ポリシーが提供されます。IAMAllowedPrincipal グループアクセス許可のあるリソースについては、外部アカウントに Lake Formation 許可を付与し、そのアカウントが Lake Formation 許可を使用するようにオプトインできます。受信者アカウントのデータレイク管理者は、アカウント内のプリンシパルに Lake Formation 許可を付与し、プリンシパルをオプトインして Lake Formation 許可を適用できます。
ハイブリッドアクセスモードを使用して Lake Formation リソースを共有する – 現在、プロデューサーアカウントのデータベース内のテーブルは、Lake Formation 許可を適用するコンシューマーアカウントと共有されています。データベースのデータロケーションは、Lake Formation に登録されています。
この場合、Amazon S3 ロケーションの登録をハイブリッドアクセスモードに更新し、Amazon S3 バケットポリシーと Data Catalog リソースポリシーを使用して Amazon S3 のデータと Data Catalog のメタデータをコンシューマーアカウントのプリンシパルと共有できます。Amazon S3 ロケーションの登録を更新する前に、既存の Lake Formation 許可を再度付与し、プリンシパルをオプトインする必要があります。また、データベース内のテーブルに対するSuper 許可をIAMAllowedPrincipals グループに付与する必要があります。

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon S3 ロケーションの登録解除

ハイブリッドアクセスモードの仕組み

このページは役に立ちましたか? - はい

ページが役に立ったことをお知らせいただき、ありがとうございます。

お時間がある場合は、何が良かったかお知らせください。今後の参考にさせていただきます。

このページは役に立ちましたか? - いいえ

このページは修正が必要なことをお知らせいただき、ありがとうございます。ご期待に沿うことができず申し訳ありません。