AWS Lake Formation のよくある質問

全般

AWS Lake Formation を使用すると、分析や機械学習 (ML) 用のデータを一元管理、保護、およびグローバルに共有することが容易になります。Lake Formation では、AWS Glue データカタログを使用してデータのセキュリティとガバナンスを一元化できます。これにより、使い慣れたデータベーススタイルの機能を使用して、メタデータとデータ権限を 1 か所で管理できます。また、きめ細かなデータアクセス制御が可能なため、ユーザーが行レベルや列レベルに至るまで、適切なデータにアクセスできるようにすることができます。その後、ユーザー全体に権限をスケールできます。また、Lake Formation を使用すると、組織内、リージョン間、および外部で AWS Data Exchange を使用してデータを簡単に共有できるため、データメッシュを作成したり、データを移動することなく他のデータ共有ニーズに対応したりできます。また、Lake Formation はデータのやりとりを役割やユーザーごとに追跡するため、包括的なデータアクセス監査が可能になり、適切なユーザーが適切なデータに適切なタイミングでアクセスしたことを確認できます。

レイクフォーメーションは、コンソールコントロールと AWS Glue データカタログを AWS Glue と共有しています。AWS Glue はデータ統合と ETL に重点を置いています。

詳細については、「AWS Lake Formation 機能」を参照してください。

レイクフォーメーションと AWS Glue データカタログは Amazon データゾーンの不可欠な部分です。Amazon DataZone は、AWS Lake Formation で管理されているデータカタログテーブルへのアクセスの許可をサポートしています。Amazon DataZone では、レイクフォーメーションを使用して権限を管理し、データ製品の共有を促進しています。たとえば、Amazon DataZone では、プロデューサーがデータをサブスクリプションで利用できるようにする場合、そのデータはデータカタログに含まれている必要があります。サブスクリプションが付与されると、Amazon DataZone がレイクフォーメーションの助成金の作成をオーケストレーションします。

はい。Tableau や Looker などのサードパーティー製ビジネスアプリケーションを使用して、Amazon Athena、または Amazon Redshift などのサービスを通して AWS データソースに接続できます。データへのアクセスは基礎となる AWS Glue データカタログによって管理されるため、どのアプリケーションを使用する場合でも、データへのアクセスは確実に管理され、コントロールされます。

Ahana、Dremio、Privacera、Collibra、Starburst など、レイクフォーメーションと統合できるサードパーティツールがいくつかあります。

一元的な権限管理

Lake Formation は、データベースやテーブルを含む AWS Glue データカタログのリソースの権限管理を一元化し、データとメタデータのアクセス権限を 1 か所で管理できるようにします。使い慣れたデータベースのような権限を使用して、データカタログの Lake Formation でユーザーとアプリケーションのアクセスを役割ごとに定義および管理できます。これにより、データレイクにデータウェアハウスとデータベースがシンプルになります。

AWS アイデンティティおよびアクセス管理 (IAM) との統合により、ユーザーとロールを認証し、Amazon Athena、Amazon QuickSight、Amazon Redshift、Amazon SageMaker などの AWS 分析サービスと ML サービス全体にわたって権限を適用できます。Lake Formation は、わかりやすい付与と取り消しのメカニズムに基づいた権限モデルを提供します。Lake Formation 権限と IAM 権限を組み合わせて、データレイクに保存されているデータとそのデータを説明するメタデータへのアクセスを制御します。プリンシパルが AWS Glue データカタログのリソースまたは基になるデータへのアクセスをリクエストする場合、リクエストが成功するには IAM と Lake Formation の両方による権限チェックに合格する必要があります。IAM とレイクフォーメーションは互いに補完し合っており、レイクフォーメーションは既存の IAM 権限には影響しません。

組織内のユーザーによって、データへのアクセスレベルは異なります。ユーザーが業務を遂行するために適切なデータにアクセスできること、そしてそれ以上はアクセスできないことが重要です。Lake Formation のきめ細かなアクセス制御 (FGAC) により、列、行、およびセルレベルへの権限を管理できます。FGAC を使用すると、増えつつあるビジネス規制への対応、より優れたデータガバナンスの適用、消費者の機密データの巧妙な保護と管理が容易になります。

セキュリティ管理とガバナンス

Lake Formation を使用すると、ユーザー全体で権限を簡単にスケールできます。データに属性を設定し、その属性に対する権限を適用してスケールできます。Lake Formation のタグベースのアクセス制御 (LF-TBAC) は、データの属性を使用して、データが変更されても権限を最新の状態に保つのに役立ちます。LF-TBAC では、管理者がデータに適切なタグを設定すると、既存のポリシーが新しいデータリソースへの必要なアクセスを強制します。これにより、多数の AWS Glue データカタログリソースにわたって権限管理を拡張でき、管理時間と労力を削減できます。

安全なデータ共有

AWS Lake Formation はアカウント間のデータ共有を簡素化し、データメッシュの作成やその他のデータ共有ニーズへの対応を最小限のデータ移動で可能にします。Lake Formation のクロスアカウント機能により、ユーザーは分散したデータを複数の AWS アカウント、AWS Organizations、AWS リージョンで安心して共有したり、別のアカウントの IAM プリンシパルと直接共有したりできます。また、適切なデータガバナンスを確保できるため、データ所有者は誰がデータにアクセスできるかを制御できます。

AWS Glue データカタログは、データを管理および共有するためのハブとして機能します。これは、Glue データカタログ内のネイティブデータでも、Hive Metastore などの他のカタログへのコネクタとしても機能します。Data Catalog を通じて表示されるデータセットに権限を設定して適用できるため、データがどこにあってもデータへのアクセスを簡単に制御できます。

Lake Formation は AWS Data Exchange と統合されているため、データを移動したりコピーしたりせずに外部のビジネスとデータを共有できます。

Amazon Athena、AWS Glue、Amazon Redshift Spectrum、Amazon EMR などの AWS サービスは、レイクフォーメーションを使用して、レイクフォーメーションに登録されている Amazon Simple Storage Service (Amazon S3) ロケーションのデータに安全にアクセスできます。レイクフォーメーションを使用すると、AWS Glue データカタログ内のデータの FGAC 権限を定義および管理できます。これらの AWS サービスはそれぞれ Lake Formation への信頼できる呼び出し元であり、Lake Formation は一時的な認証情報を使用して Amazon S3 に保存されているデータへのアクセスを提供します。サポートされているエンジンのいずれかを使用している場合は、Amazon QuickSight と Amazon SageMaker Studio の統合もサポートされます。

詳細については、「Lake Formation 権限管理ワークフロー」を参照してください。

データアクセスの監視と監査

Lake Formation は、AWS CloudTrail で包括的なログ監査をオンにして、アクセスをモニタリングし、一元的に定義されたポリシーに準拠していることを示すことができます。Lake Formation 経由でデータレイクのデータを読み取る分析と機械学習のサービス全体で、データへのアクセス履歴を監査できます。これにより、どのユーザーまたはロールがどのデータに、どのサービスで、いつアクセスしたかを確認できます。CloudTrail API とコンソールを使用して他の CloudTrail ログにアクセスするのと同じ方法で、監査ログにアクセスできます。CloudTrail ログの詳細については、「AWS CloudTrail を使用した AWS Lake Formation API コールのロギング」を参照してください。