AWS Lake Formationへの恐怖心はこれで解消！肝の3つを理解する

Transcript

1. 2025/02/10 データ事業本部 渡部晃季 Lake Formationへの恐怖⼼を解消！ 肝の3つを理解する

2. AWS Lake Formationを理解するために

3. Lake Formationをおさえるならコレ！ 3 • 以下の3つをおさえると、Lake Formationは理解できます。 ◦ IAMAllowedPrincipals ◦ Data

   permissions ◦ Data lake locations

4. Lake Formationの仕組みをざっくり理解する 4

5. Lake Formationの仕組みをざっくり理解する 5

6. Lake Formationの仕組みをざっくり理解する 6 Data permissionsで設 定する Data lake locations で設定されているS3パスに対して

7. IAMAllowedPrincipals

8. 「Lake Formationが有効になって、 データにアクセスできない」 まわりでよく聞くワード 8

9. 「Lake Formationによるアクセス制御が有効になって、 データにアクセスできない」 まわりでよく聞くワード、補⾜すると‧‧‧ 9

10. Lake Formation⾃体はハナから有効です。 知ってた？実は‧‧‧ 10

11. 初期状態：新しく作成するDB/テーブルはIAMによるアクセス制御強制 11

12. 初期状態：IAMAllowedPrincipalsにカタログ‧DBを作成する権限 12

13. IAMAllowedPrincipals 初期状態からいるコイツはなんなの？ 13

14. IAM ポリシーによってGlue Data Catalog リソースへ のアクセスを許可されている、 IAM ユーザーとロールをまとめたグループのこと。 IAMAllowedPrincipalsとは 14

15. この初期設定があるから、これまで権限を気にせずこれた 15 新しく作成されたDB‧テーブルに 対して、IAMAllowedPrincipalsは SUPER権限が付与される 新しくカタログ‧DBを作成する権 限が、IAMAllowedPrincipalsに付 与される

16. Data permissions

17. (再掲)Lake Formationの仕組みをざっくり理解する 17 Data permissionsで設 定される Data lake locations で設定されているS3パスに対して

18. Data permissionsでは何をやる 18 プリンシパル（データにアクセスする主体）に対して、データへの権限設定をする。

19. Data permissionsでアクセス制御⼿順 19 1. （前準備）新しいDB/テーブルに対してIAMAllowedPrincipalsにSUPER権限を 付与する設定の解除 2. プリンシパルを選択 3. LFタグ⽅式もしくは名前付きリソース⽅式で、アクセス対象の設定

    4. 操作権限の設定 1 2 3, 4

20. Data lake locations

21. (再掲)Lake Formationの仕組みをざっくり理解する 21 Data permissionsで設 定される Data lake locations で設定されているS3パスに対して

22. Data lake locationsでは何をやる 22 Lake Formationで権限制御したいデータのありかを登録する。 ここで登録したロケーションこそが、Lake Formationで管理する対象の宣⾔となる。

23. Data lake locationsにデータのありかを登録すると‧‧‧ 23 サービスリンクロールの許可ポリシーにData lake locationsに登録したパスへのアクセス許可が追加される。

24. Lake Formationの評価論理

25. Lake Formationのキホンの評価論理はコレだ！ 25

26. 参考 26 • Black Belt ◦ https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS- Lake-Formation_1010_v1.pdf