2025/02/05 データ事業本部 渡部晃季 AWS LakeFormationをざっくり解説 

AWS Lake Formation 

基本的には左のアクセス制御にLake Formationを使⽤します 3 

Lake Formationのアクセス制御 4 ● アクセス制御対象は構造化データです。 ● ⾮構造データのアクセス制御は他の機能を使⽤します。 ○ 例えばIAMやバケットポリシー、S3 Access Grants 

アクセス制御 

アクセス制御⽅法はタグ⽅式とリソース⽅式の2つ 6 

より簡潔にアクセス制御が可能なタグ⽅式が推奨です 7 PII=True PII=True PII=false PII=false PII=false 

参考 8 

LFタグ⽅式の３ステップ 9 

1.LFタグを設定 10 タグ作成者がタグを作成します。 ● タグはKey-Value⽅式 ○ 例：Confidential=True ● 値は複数設定可能 ○ 例：Confidential=True,False ○ 例：Classification=Marine,Robotics,xxxx 

2.LFタグをリソース（DB/Table）に付与 11 DB/Tableに対してタグを付与します。 ● 作成したタグの中から複数割り当てが可能 ○ Confidential=True ○ Classification=Marine 

3.各LFタグが付与されているリソースに対する権限をプリンシパルに付与 12 LFタグをプリンシパルに対して付与します。 ● プリンシパルの対象 ○ IAM User and roles ○ IAM Identity Center User and Groups ○ SAML users and groups ○ 外部アカウント ● IAMプリンシパルに対してタグを付与してDB/Table に対しての権限を設定する ○ 操作権限（CreateTableやSelectといったSQL句） ○ 操作権限を付与する権限 

LFタグの列（Column）アクセス制御は以下のように 13 

Lake Formationのアクセス制御の全体感 14 参考：https://aws.amazon.com/jp/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/ 

AWS Lake Formationの仕組み 

Glue Data Catalogのメタデータへのアクセス制御を介してデータアクセス制御 16 Lake FormationはGlue Data Catalogで管理されているデータのアクセス制御が可能ということです。 

IAM制御にあとにLake Formationの制御がかかる 17 

AWS Lake Formationのペルソナ 

3つのペルソナ 19 より細かいロールや、そのポリシーについてはこちら（ https://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html） 

Lake Formationペルソナと、具体的なIAMポリシーについてAWS推奨 20 参考：https://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html IAM管理者についてはLake Formationに登場するIAMを管理する、さらに上位の存在となります。 推奨のペルソナを使⽤して、どうしても実現できないことがある場合に追加でペルソナを⽤意するの が良いと思います。 

参考 21 ● Black Belt ○ https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2023_AWS- Lake-Formation_1010_v1.pdf