分析と検索

AWS Lake Formation で構築するデータレイク - きめ細かいアクセス制御とデータカタログ

列・行レベルのきめ細かいアクセス制御とタグベース管理でデータレイクのガバナンスを確立する。Glue Data Catalog との統合とクロスアカウントアクセスを紹介します。

約 1 分で読めます

Lake Formation の概要

Lake Formation は S3 上のデータレイクの構築・管理・セキュリティを簡素化するサービスです。従来、S3 のデータレイクに対するアクセス制御は S3 バケットポリシーと IAM ポリシーの組み合わせで管理していましたが、列レベルや行レベルの制御が困難でした。Lake Formation はデータベース、テーブル、列、行の 4 レベルで権限を管理し、数千テーブル規模のデータレイクに対応します。AthenaRedshift Spectrum、EMR からのクエリに統一的に適用します。

アクセス制御とタグベース管理

Lake Formation の権限モデルでは、プリンシパル (IAM ユーザー、ロール) に対してデータベース、テーブル、列の SELECT、INSERT、DELETE 権限を付与します。行レベルフィルターで特定の条件に合致する行のみにアクセスを制限でき、部門ごとに自部門のデータのみを参照させる制御が可能です。LF-TBAC ではデータにタグ (例: sensitivity=high) を付与し、プリンシパルに対してタグベースの権限を設定します。新しいテーブルが追加された際にも、タグが一致すれば自動的に権限が適用されます。

クロスアカウントアクセスと監査

Lake Formation のクロスアカウント共有で、 Organizations 内の他アカウントにテーブルやデータベースへのアクセス権限を付与します。 RAM (Resource Access Manager) を使用してリソースリンクを作成し、コンシューマーアカウントの Glue カタログに共有テーブルを表示します。データフィルターで行レベルとセルレベルのアクセス制御を定義し、同じテーブルでも部門ごとに異なるデータ範囲を公開できます。 CloudTrail との統合で、誰がどのテーブルのどのカラムにアクセスしたかを監査ログに記録します。 Lake Formation のタグベースアクセス制御 (LF-TBAC) で、データアセットにタグを付与し、プリンシパルのタグとのマッチングで権限を自動付与する運用が大規模環境で効率的です。 Lake Formation の設計パターンを網羅的に学ぶなら、技術書 (Amazon)を参照してください。

Lake Formation の料金と運用

Lake Formation 自体に追加料金は発生しません。コストは基盤となる S3 ストレージ、Glue クローラー・ジョブ、Athena クエリの利用料金に依存します。Lake Formation のトランザクション機能 (Governed Tables) を使用する場合は、トランザクション API コールとストレージの追加料金が発生します。権限管理の運用コストは、LF-TBAC を導入することで個別のテーブル・カラム権限の管理から解放され、大幅に削減できます。データロケーション登録で S3 パスを Lake Formation の管理下に置き、IAM ポリシーと Lake Formation 権限の二重管理を避けるハイブリッドモードから完全移行することを推奨します。

まとめ

Lake Formation は S3 データレイクにきめ細かいアクセス制御を提供するサービスです。列・行レベルの権限管理と LF-TBAC (タグベースアクセス制御) で大規模環境の権限管理を効率化し、クロスアカウント共有で Organizations 内のデータ共有を安全に実現します。CloudTrail 統合でデータアクセスの監査ログを記録し、データガバナンスの基盤を構築します。

関連するサービス

AWS Lake Formationデータレイクの構築・管理・セキュリティを簡素化するサービスAWS Glueデータの抽出・変換・ロードを自動化するサーバーレス ETL サービスAmazon AthenaS3 上のデータを SQL で直接分析できるサーバーレスクエリサービス

関連する記事

Amazon DataZone で実現するデータガバナンス - データの発見・共有・アクセス制御ドメインベースのデータカタログを構築し、サブスクリプションワークフローでデータの発見・共有・アクセス制御を実現する手法を紹介します。Amazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue ・ Athena との統合を紹介します。

同じテーマの記事

Amazon Quick の実践活用 - 部門別ユースケースとワークフロー自動化の設計パターン営業・IT・財務など部門ごとの活用シナリオと、Quick Flows による通知・承認・多段階ワークフローの設計パターンを具体的に紹介します。BI ダッシュボード可視化 - Amazon QuickSight で実現するデータドリブンな意思決定基盤Amazon QuickSight によるインタラクティブな BI ダッシュボードの構築と、Athena との連携によるサーバーレスデータ分析基盤を解説します。SPICE エンジンによる高速可視化と組織全体へのインサイト共有の実践手法を紹介します。ブロックチェーンネットワーク構築 - Amazon Managed Blockchain と QLDB による分散台帳の活用Amazon Managed Blockchain によるブロックチェーンネットワークの構築と、Amazon QLDB による検証可能な台帳データベースの活用方法を解説します。サプライチェーン管理や金融取引の透明性確保など、実践的なユースケースを紹介します。AWS Clean Rooms で実現するプライバシー保護型データコラボレーションデータを共有・コピーせずに複数企業間で共同分析を実行する。集計ルールによる個人特定防止と Cryptographic Computing による暗号化分析を紹介します。顧客 ID 統合 - AWS Entity Resolution で分散した顧客データを名寄せするAWS Entity Resolution を使った顧客データの名寄せ (エンティティ解決) を解説。ML ベースのマッチング、ルールベースのマッチング、プライバシー保護、Clean Rooms との統合を紹介します。AWS Data Exchange で活用するサードパーティデータ - データ調達とサブスクリプション管理サードパーティのデータ製品を Marketplace 経由で調達し、S3 への自動配信パイプラインを構築する。自社データの製品化と収益化の手法も紹介します。Amazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue ・ Athena との統合を紹介します。

内容が近い記事・サービス

データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue ・ Athena との統合を紹介します。AWS Lake Formationデータレイクの構築・管理・セキュリティを一元化し、S3 上のデータに対する列レベル・行レベルのきめ細かいアクセス制御を提供するサービスAmazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。AWS のデータ分析とデータレイク - Athena・Glue・Lake Formation・Redshift の統合エコシステムAWS の Athena、Glue、Lake Formation、Redshift、QuickSight による統合データ分析スタックを、Azure Synapse Analytics や GCP BigQuery と比較し、エコシステム全体の統合度における AWS の優位性を解説します。