分析と検索

データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御

AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue・Athena との統合を紹介します。

約 5 分で読めます

データレイクのガバナンス課題と Lake Formation の役割

S3 をストレージ基盤としたデータレイクは、構造化・半構造化・非構造化データを低コストで一元管理できる強力なアーキテクチャです。しかし、データ量とユーザー数が増加するにつれ、「誰がどのデータにアクセスできるか」の管理が急速に複雑化します。従来は S3 バケットポリシー、IAM ポリシー、Glue Data Catalog のリソースポリシーを組み合わせてアクセス制御を実現していましたが、テーブル数が数百を超えると管理が破綻しがちです。AWS Lake Formation は 2019 年に一般提供が開始されたデータレイクのガバナンスサービスで、データの取り込み・カタログ登録・アクセス制御・監査を一元的に管理します。Lake Formation の中核は権限管理レイヤーで、S3 上のデータに対してデータベース・テーブル・列・行・セルの各レベルでアクセス権限を付与できます。Azure の Microsoft Purview もデータガバナンスを提供しますが、Purview はカタログとデータマップに重点を置くのに対し、Lake Formation は実行時のアクセス制御 (クエリ実行時に列・行を動的にフィルタリング) に強みがあります。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

アクセス制御モデルと LF-TBAC

Lake Formation は 2 つのアクセス制御モデルを提供します。Named Resource 方式は、特定のデータベース・テーブル・列を指定してプリンシパル (IAM ユーザー/ロール) に権限を付与する従来型のモデルです。Tag-Based Access Control (LF-TBAC) は、データリソースと プリンシパルの双方に LF-Tag (キーバリューペア) を付与し、タグの一致で権限を自動適用するモデルです。たとえば、テーブルに department=finance タグを付与し、財務部門のロールに同じタグを関連付ければ、新しいテーブルを追加するたびに個別の権限設定なしでアクセスが自動的に許可されます。 ```bash # LF-Tag の作成 aws lakeformation create-lf-tag \ --catalog-id 123456789012 \ --tag-key department \ --tag-values '["finance","engineering","marketing"]' # テーブルに LF-Tag を付与 aws lakeformation add-lf-tags-to-resource \ --resource '{"Table":{"DatabaseName":"analytics","Name":"transactions"}}' \ --lf-tags '[{"TagKey":"department","TagValues":["finance"]}]' ``` 行レベルセキュリティ (Row-Level Security) では、フィルタ式を定義してプリンシパルごとに参照可能な行を制限できます。たとえば region='ap-northeast-1' の条件を設定すれば、東京リージョンのデータのみが返されます。列レベルのアクセス制御と組み合わせることで、同一テーブルに対してユーザーごとに異なるビューを提供できます。

データカタログとクエリエンジンとの統合

Lake Formation は AWS Glue Data Catalog と統合されており、S3 上のデータのスキーマ情報 (データベース、テーブル、パーティション、列定義) を一元管理します。Glue Crawler でデータソースをスキャンし、スキーマを自動検出してカタログに登録できます。登録されたテーブルには Lake Formation の権限が適用され、Athena、Redshift Spectrum、EMR (Spark/Hive) からクエリを実行する際に自動的にアクセス制御が適用されます。ユーザーは SQL を書くだけで、裏側で Lake Formation が権限チェックと列・行のフィルタリングを実行します。Athena との統合では、ユーザーが SELECT * を実行しても、権限のない列は結果から自動的に除外されます。この透過的なアクセス制御により、アプリケーション側でフィルタリングロジックを実装する必要がありません。Governed Tables 機能を使えば、S3 上のデータに対して ACID トランザクションを実現でき、複数の ETL ジョブが同時にデータを更新しても整合性が保たれます。

クロスアカウント共有とデータメッシュ

Lake Formation のクロスアカウント共有機能により、AWS Organizations 内の複数アカウントにデータを安全に共有できます。データ所有者アカウントがテーブルやデータベースの権限を他アカウントに付与すると、受信側アカウントの Lake Formation にリソースリンクが作成され、Athena や Redshift Spectrum から直接クエリできます。データの物理的なコピーは不要で、S3 上の元データを参照するため、ストレージコストの重複が発生しません。この仕組みはデータメッシュアーキテクチャの基盤として機能します。各ドメインチーム (営業、マーケティング、エンジニアリング) が自身のアカウントでデータプロダクトを管理し、Lake Formation を通じて組織全体に公開するパターンです。AWS RAM (Resource Access Manager) との統合により、共有の管理を Organizations の OU (組織単位) レベルで一括制御することも可能です。監査面では、CloudTrail と Lake Formation の統合により、誰がいつどのデータにアクセスしたかの監査ログが自動的に記録されます。

導入手順とベストプラクティス

既存の S3 + Glue + Athena 環境に Lake Formation を導入する手順は段階的に進められます。まず Lake Formation の管理者 (Data Lake Administrator) を指定し、既存の Glue Data Catalog のデータベースを Lake Formation に登録します。次に、S3 のデータロケーションを Lake Formation に登録し、Lake Formation がデータへのアクセスを仲介するよう設定します。この時点で既存の IAM ベースのアクセス制御から Lake Formation ベースに移行するため、IAMAllowedPrincipals の権限を段階的に削除し、Lake Formation の権限に置き換えます。移行時の注意点として、IAMAllowedPrincipals を一括削除すると既存のクエリが失敗するため、テーブル単位で段階的に移行することを推奨します。ベストプラクティスとして、LF-TBAC を採用してスケーラブルな権限管理を実現すること、本番データへのアクセスは最小権限の原則に従うこと、CloudTrail ログを定期的に監査してアクセスパターンを確認することが挙げられます。Lake Formation 自体の利用料金は無料で、課金は S3 ストレージ、Glue Crawler/ETL ジョブ、Athena クエリスキャンなど基盤サービスの利用分のみです。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - Lake Formation の活用指針

AWS Lake Formation は、S3 ベースのデータレイクにエンタープライズグレードのアクセス制御とガバナンスを追加するサービスです。列・行・セルレベルのきめ細かな権限管理、LF-TBAC によるスケーラブルなポリシー運用、クロスアカウント共有によるデータメッシュの実現が主な強みです。Athena・Redshift Spectrum・EMR との透過的な統合により、既存のクエリワークフローを変更せずにアクセス制御を導入できます。Lake Formation 自体は無料で利用でき、既存の S3 + Glue + Athena 環境への段階的な導入が可能なため、データレイクのガバナンス強化を検討する際の第一選択肢となります。

AWS の優位点

  • S3 上のデータレイクに対してテーブル・列・行・セルレベルのきめ細かなアクセス制御を一元管理し、IAM ポリシーの複雑な組み合わせを不要にする
  • Data Catalog (Glue カタログ統合) でスキーマ管理とデータ検出を自動化し、Athena・Redshift Spectrum・EMR からの横断的なクエリを実現
  • Tag-Based Access Control (LF-TBAC) により、データ属性にタグを付与してポリシーを定義でき、テーブル追加時に自動的に権限が適用される
  • クロスアカウント共有で AWS Organizations 内の複数アカウントにデータを安全に共有し、データメッシュアーキテクチャの基盤となる
  • Governed Tables によるトランザクション対応 (ACID) で、データレイクでも整合性のある読み書きが可能
  • Azure Purview (Microsoft Purview) がカタログとガバナンスを統合するのに対し、Lake Formation は S3 + Glue + Athena の既存エコシステムにアクセス制御レイヤーを追加する設計で、既存環境への導入が容易
  • Lake Formation 自体の利用料金は無料で、課金は S3 ストレージや Athena クエリなど基盤サービスの利用分のみ

関連するサービス

AWS Glue データの抽出・変換・ロードを自動化するサーバーレス ETL サービス Amazon Athena S3 上のデータを SQL で直接分析できるサーバーレスクエリサービス

関連する比較記事

データレイクと ETL - AWS と Azure の比較 AWS と Azure のデータレイク・ETL サービスを比較し、S3 を基盤とした AWS Lake Formation と Glue による統合データ分析基盤の優位性を解説します。 データカタログと ETL - AWS Glue と Azure Data Factory の比較 AWS Glue と Azure Data Factory を比較し、Glue のサーバーレス ETL 処理とデータカタログ機能による分析基盤構築の優位性を解説します。 データ分析と BI - AWS と Azure の比較 AWS と Azure のデータ分析・BI サービスを比較し、Athena・Redshift・Glue を中心とした AWS のデータ分析エコシステムの優位性を解説します。

同じテーマの記事

異常検知システム - AWS と Azure の比較 AWS と Azure の異常検知サービスを比較し、CloudWatch Anomaly Detection と Kinesis を中心とした AWS のリアルタイム異常検知基盤の優位性を解説します。 BI ダッシュボード可視化 - Amazon QuickSight で実現するデータドリブンな意思決定基盤 Amazon QuickSight によるインタラクティブな BI ダッシュボードの構築と、Athena との連携によるサーバーレスデータ分析基盤を解説します。SPICE エンジンによる高速可視化と組織全体へのインサイト共有の実践手法を紹介します。 ブロックチェーンネットワーク構築 - Amazon Managed Blockchain と QLDB による分散台帳の活用 Amazon Managed Blockchain によるブロックチェーンネットワークの構築と、Amazon QLDB による検証可能な台帳データベースの活用方法を解説します。サプライチェーン管理や金融取引の透明性確保など、実践的なユースケースを紹介します。 顧客 ID 統合 - AWS Entity Resolution で分散した顧客データを名寄せする AWS Entity Resolution を使った顧客データの名寄せ (エンティティ解決) を解説。ML ベースのマッチング、ルールベースのマッチング、プライバシー保護、Clean Rooms との統合を紹介します。 データ分析と BI - AWS と Azure の比較 AWS と Azure のデータ分析・BI サービスを比較し、Athena・Redshift・Glue を中心とした AWS のデータ分析エコシステムの優位性を解説します。 データカタログと ETL - AWS Glue と Azure Data Factory の比較 AWS Glue と Azure Data Factory を比較し、Glue のサーバーレス ETL 処理とデータカタログ機能による分析基盤構築の優位性を解説します。 データレイクと ETL - AWS と Azure の比較 AWS と Azure のデータレイク・ETL サービスを比較し、S3 を基盤とした AWS Lake Formation と Glue による統合データ分析基盤の優位性を解説します。 データマーケットプレイス活用 - AWS Data Exchange で実現するサードパーティデータの効率的な取得と活用 AWS Data Exchange を活用したサードパーティデータの取得と活用方法を解説します。S3 との統合によるデータパイプラインの構築と、データプロバイダーとしての公開手法を紹介します。 データメッシュアーキテクチャ - AWS と Azure の比較 AWS Glue、Athena、S3 を活用したデータメッシュアーキテクチャを Azure と比較し、分散型データ管理における AWS の優位性を解説します。ドメイン駆動のデータプロダクト設計を紹介します。 データパイプライン自動化 - AWS と Azure の比較 AWS と Azure のデータパイプライン自動化サービスを比較し、AWS Glue、Step Functions、S3 を中心とした AWS のデータパイプラインエコシステムの優位性を解説します。 データ品質ガバナンス - AWS Glue Data Quality vs Azure Purview AWS Glue Data Quality と Azure Purview (Microsoft Purview) を比較し、データ品質ルールの定義、自動検証、データカタログ、リネージュ追跡の違いを具体的に解説します。 データ検索と分析の実践 - OpenSearch による全文検索と可視化基盤の構築 Amazon OpenSearch Service を活用したデータ検索と分析の設計手法を解説し、全文検索、ログ分析、ダッシュボード可視化による分析基盤の構築方法を紹介します。 データウェアハウス - AWS Redshift と Azure Synapse Analytics の比較 AWS Redshift と Azure Synapse Analytics を比較し、Redshift の列指向ストレージと S3/Glue 連携によるデータ分析基盤の優位性を解説します。 デジタルツイン - AWS IoT TwinMaker で物理空間の 3D デジタルレプリカを構築する AWS IoT TwinMaker を使ったデジタルツインの構築を解説。3D シーンの作成、IoT データとの連携、Grafana ダッシュボード統合、産業設備の可視化を紹介します。 車両フリートデータ管理 - AWS IoT FleetWise で車両テレメトリを効率的に収集する AWS IoT FleetWise を使った車両テレメトリデータの収集を解説。車両モデリング、エッジでのデータフィルタリング、クラウドへの効率的なデータ転送を紹介します。 全文検索と OpenSearch - AWS と Azure の比較 AWS と Azure の全文検索サービスを比較し、Amazon OpenSearch Service を中心とした AWS の検索・分析基盤の優位性を解説します。 地理空間データ処理 - AWS と Azure の比較 AWS と Azure の地理空間データ処理サービスを比較し、Amazon Location Service と S3 を中心とした AWS の地理空間分析基盤の優位性を解説します。 産業 IoT モニタリング - AWS IoT SiteWise で設備データを収集・可視化する AWS IoT SiteWise を使った産業設備のデータ収集・モデリング・可視化を解説。OPC-UA 対応ゲートウェイ、アセットモデル、SiteWise Monitor ダッシュボードを紹介します。 IoT データ分析 - AWS IoT Analytics でデバイスデータを構造化・分析する AWS IoT Analytics を使った IoT デバイスデータの収集・前処理・分析パイプラインを解説。チャネル・パイプライン・データストア・データセットの 4 コンポーネントと QuickSight 連携を紹介します。 IoT データ収集と分析 - AWS と Azure の比較 AWS Kinesis、Lambda、DynamoDB を活用した IoT データ収集・分析基盤を Azure IoT と比較し、大量デバイスデータのリアルタイム処理における AWS の優位性を解説します。 IoT デバイス管理 - AWS IoT Core と Lambda で実現するスケーラブルな IoT プラットフォーム AWS IoT Core と Lambda を活用した IoT デバイス管理プラットフォームの構築方法を解説します。Azure IoT Hub やオンプレミスの MQTT ブローカーと比較し、AWS IoT サービスが持つスケーラビリティ、セキュリティ、データ処理の優位性を紹介します。 ログ分析クエリ - Amazon CloudWatch Logs Insights vs Azure Monitor Log Analytics Amazon CloudWatch Logs Insights と Azure Monitor Log Analytics のログ分析クエリ機能を比較し、クエリ言語、スキャン性能、料金モデル、統合機能の違いを具体的に解説します。 マネージド Kafka ストリーミング - Amazon MSK で実現する大規模リアルタイムデータパイプライン Amazon MSK (Managed Streaming for Apache Kafka) によるフルマネージド Kafka クラスタの構築と、Kinesis との使い分けを解説します。大規模なリアルタイムデータストリーミング基盤の設計パターンを紹介します。 プライバシー保護データ分析 - AWS Clean Rooms で安全にデータをコラボレーションする AWS Clean Rooms を使ったプライバシー保護データ分析を解説。複数組織間のデータコラボレーション、分析ルールによるアクセス制御、差分プライバシーの活用を紹介します。 量子コンピューティングサービス - Amazon Braket で始める量子アルゴリズム開発 Amazon Braket を活用した量子コンピューティングの実践方法を解説します。量子回路シミュレーター、実機量子コンピューターへのアクセス、ハイブリッド量子古典アルゴリズムの実装など、量子技術の活用方法と Lambda との連携パターンを紹介します。 クエリサービス - AWS Athena と Azure Synapse Serverless の比較 AWS Athena と Azure Synapse Analytics Serverless SQL を比較し、S3 データレイクに対するサーバーレスクエリサービスとしての Athena の優位性を解説します。 リアルタイム分析ダッシュボード - AWS と Azure の比較 AWS と Azure のリアルタイム分析ダッシュボードを比較し、Kinesis、OpenSearch、CloudWatch を活用した AWS のストリーミングデータ可視化基盤の優位性を解説します。 リアルタイムデータストリーミング - Amazon Kinesis で実現する即時データ処理 Amazon Kinesis を活用したリアルタイムデータストリーミングの構築方法を解説します。Azure Event Hubs やオンプレミスの Kafka と比較し、Kinesis のフルマネージド運用、Lambda 統合、スケーラビリティの優位性を紹介します。 ストリーミングデータ処理の設計 - Kinesis によるリアルタイムデータパイプラインの構築 Amazon Kinesis を活用したストリーミングデータ処理の設計手法を解説し、Data Streams、Data Firehose、Lambda 連携によるリアルタイムデータパイプラインの構築方法を紹介します。 時系列データ分析 - AWS と Azure の比較 AWS と Azure の時系列データ分析サービスを比較し、Amazon Kinesis と CloudWatch を中心とした AWS のリアルタイム時系列分析基盤の優位性を解説します。 動画トランスコーディング - AWS Elemental MediaConvert で実現するスケーラブルな映像変換基盤 AWS Elemental MediaConvert と S3 を活用した動画トランスコーディングパイプラインの構築方法を解説します。マルチフォーマット出力、HDR 対応、コスト効率の高いサーバーレス映像処理の実践手法を紹介します。