Slide 1
Slide 1 text
2025/02/10
データ事業本部 渡部晃季
Lake Formationへの恐怖⼼を解消!
肝の3つを理解する
Slide 2
Slide 2 text
AWS Lake Formationを理解するために
Slide 3
Slide 3 text
Lake Formationをおさえるならコレ! 3
● 以下の3つをおさえると、Lake Formationは理解できます。
○ IAMAllowedPrincipals
○ Data permissions
○ Data lake locations
Slide 4
Slide 4 text
Lake Formationの仕組みをざっくり理解する 4
Slide 5
Slide 5 text
Lake Formationの仕組みをざっくり理解する 5
Slide 6
Slide 6 text
Lake Formationの仕組みをざっくり理解する 6
Data permissionsで設
定する
Data lake locations
で設定されているS3パスに対して
Slide 7
Slide 7 text
IAMAllowedPrincipals
Slide 8
Slide 8 text
「Lake Formationが有効になって、
データにアクセスできない」
まわりでよく聞くワード 8
Slide 9
Slide 9 text
「Lake Formationによるアクセス制御が有効になって、
データにアクセスできない」
まわりでよく聞くワード、補⾜すると‧‧‧ 9
Slide 10
Slide 10 text
Lake Formation⾃体はハナから有効です。
知ってた?実は‧‧‧ 10
Slide 11
Slide 11 text
初期状態:新しく作成するDB/テーブルはIAMによるアクセス制御強制 11
Slide 12
Slide 12 text
初期状態:IAMAllowedPrincipalsにカタログ‧DBを作成する権限 12
Slide 13
Slide 13 text
IAMAllowedPrincipals
初期状態からいるコイツはなんなの? 13
Slide 14
Slide 14 text
IAM ポリシーによってGlue Data Catalog リソースへ
のアクセスを許可されている、
IAM ユーザーとロールをまとめたグループのこと。
IAMAllowedPrincipalsとは 14
Slide 15
Slide 15 text
この初期設定があるから、これまで権限を気にせずこれた 15
新しく作成されたDB‧テーブルに
対して、IAMAllowedPrincipalsは
SUPER権限が付与される
新しくカタログ‧DBを作成する権
限が、IAMAllowedPrincipalsに付
与される
Slide 16
Slide 16 text
Data permissions
Slide 17
Slide 17 text
(再掲)Lake Formationの仕組みをざっくり理解する 17
Data permissionsで設
定される
Data lake locations
で設定されているS3パスに対して
Slide 18
Slide 18 text
Data permissionsでは何をやる 18
プリンシパル(データにアクセスする主体)に対して、データへの権限設定をする。
Slide 19
Slide 19 text
Data permissionsでアクセス制御⼿順 19
1. (前準備)新しいDB/テーブルに対してIAMAllowedPrincipalsにSUPER権限を
付与する設定の解除
2. プリンシパルを選択
3. LFタグ⽅式もしくは名前付きリソース⽅式で、アクセス対象の設定
4. 操作権限の設定
1
2
3,
4
Slide 20
Slide 20 text
Data lake locations
Slide 21
Slide 21 text
(再掲)Lake Formationの仕組みをざっくり理解する 21
Data permissionsで設
定される
Data lake locations
で設定されているS3パスに対して
Slide 22
Slide 22 text
Data lake locationsでは何をやる 22
Lake Formationで権限制御したいデータのありかを登録する。
ここで登録したロケーションこそが、Lake Formationで管理する対象の宣⾔となる。
Slide 23
Slide 23 text
Data lake locationsにデータのありかを登録すると‧‧‧ 23
サービスリンクロールの許可ポリシーにData lake locationsに登録したパスへのアクセス許可が追加される。
Slide 24
Slide 24 text
Lake Formationの評価論理
Slide 25
Slide 25 text
Lake Formationのキホンの評価論理はコレだ! 25
Slide 26
Slide 26 text
参考 26
● Black Belt
○ https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS-
Lake-Formation_1010_v1.pdf