AWS Lake Formation

データレイクの構築・管理・セキュリティを一元化し、S3 上のデータに対する列レベル・行レベルのきめ細かいアクセス制御を提供するサービス

約 2 分で読めます

概要

AWS Lake Formation は、S3 をベースとしたデータレイクの構築、データの取り込み、カタログ登録、アクセス制御を一元的に管理するサービスです。Glue Data Catalog と統合されており、データソースからの取り込み (ブループリント)、スキーマの自動検出、テーブル・列・行レベルのアクセス制御、クロスアカウントでのデータ共有を提供します。Athena、Redshift Spectrum、EMR からデータレイクにクエリする際のアクセス権限を、Lake Formation の一元的なポリシーで管理できます。

IAM ポリシーでは実現できないきめ細かいアクセス制御

データレイクのアクセス制御を S3 の IAM ポリシーと Glue Data Catalog のリソースポリシーだけで管理しようとすると、テーブル数やユーザー数の増加に伴いポリシーが爆発的に複雑化します。Lake Formation はデータベース、テーブル、列、行の各レベルでアクセス権限を付与する独自の権限モデルを提供し、SQL の GRANT/REVOKE に似た直感的な操作で管理できます。列レベルフィルタリングでは、同じテーブルに対してユーザー A には全列を、ユーザー B には個人情報列を除いた列のみを公開するといった制御が可能です。行レベルセキュリティ (Row-Level Security) では、データフィルターを定義して「営業部門のユーザーには自部門のデータのみ表示」のような行単位のアクセス制御を実現します。セルレベルセキュリティは列フィルタリングと行フィルタリングを組み合わせたもので、特定の行の特定の列だけをマスクするといった最もきめ細かい制御が可能です。これらの権限は AthenaRedshift Spectrum、EMR のいずれからクエリしても一貫して適用されるため、アクセス経路によって見えるデータが変わるという事故を防止できます。

データレイク構築のワークフローとブループリント

Lake Formation でデータレイクを構築する標準的なワークフローは、データレイクの場所登録、データソースの接続、ブループリントによるデータ取り込み、権限設定の 4 ステップです。まず S3 バケットをデータレイクの場所として登録し、Lake Formation にそのバケットへのアクセス権限を委任します。次にデータソース (RDSDynamoDB、オンプレミスのデータベースなど) への接続を設定します。ブループリントは定型的なデータ取り込みパターンをテンプレート化したもので、データベーススナップショット (全量取り込み) と増分取り込みの 2 種類が用意されています。ブループリントを実行すると、裏側で Glue のクローラーと ETL ジョブが自動生成され、データソースからデータを抽出して S3 に Parquet 形式で格納し、Glue Data Catalog にテーブルとして登録します。手動で Glue ジョブを構築する場合と比べて、初期セットアップの工数を大幅に削減できます。ただし、複雑なデータ変換やカスタムロジックが必要な場合は、ブループリントではなく Glue ジョブを直接作成する方が柔軟です。

クロスアカウントデータ共有と Governed Tables

Lake Formation のクロスアカウントデータ共有は、Organizations 内の別アカウントや外部アカウントに対して、テーブル単位・列単位でデータへのアクセス権限を付与する機能です。従来の S3 バケットポリシーによるクロスアカウントアクセスでは、データの論理的な構造 (テーブル、列) を意識した制御ができませんでしたが、Lake Formation では「アカウント B にはテーブル X の列 A, B, C のみ読み取り可」のような粒度で共有できます。AWS RAM (Resource Access Manager) と統合されており、共有の招待と承認のワークフローが標準化されています。Governed Tables は Lake Formation が管理する特殊なテーブルタイプで、ACID トランザクション、自動データコンパクション、タイムトラベルクエリをサポートします。複数の ETL ジョブが同じテーブルに同時に書き込む場合でも、トランザクションの分離レベルが保証されるため、読み取り側が中途半端な状態のデータを参照することがありません。Apache Iceberg テーブルフォーマットとの統合も進んでおり、Iceberg テーブルに対しても Lake Formation の権限モデルを適用できます。

共有するXB!

関連する用語

AWS GlueAmazon AthenaAmazon S3Amazon RedshiftAmazon EMR

関連するサービス

AWS GlueAmazon AthenaAmazon S3Amazon Redshift

関連する記事

Amazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。AWS Glue で構築する ETL パイプライン - クローラーとジョブの設計クローラーでスキーマを自動検出し、Glue ジョブで ETL 処理を実行する。データカタログの活用パターンと Glue Studio によるビジュアル開発を紹介します。Amazon Redshift で構築するクラウドデータウェアハウス - Serverless と RA3 の使い分けServerless と RA3 プロビジョンドの選定基準を明確にし、データ共有と Spectrum によるデータレイク連携でサイロ化を防ぐ手法を紹介します。Amazon Redshift のパフォーマンスチューニング - 分散キー・ソートキー・ WLM の最適化Redshift の分散スタイルとソートキーの選定、ワークロード管理 (WLM) の設計、AQUA によるクエリ高速化を解説します。BI ダッシュボード可視化 - Amazon QuickSight で実現するデータドリブンな意思決定基盤Amazon QuickSight によるインタラクティブな BI ダッシュボードの構築と、Athena との連携によるサーバーレスデータ分析基盤を解説します。SPICE エンジンによる高速可視化と組織全体へのインサイト共有の実践手法を紹介します。

内容が近い用語・記事

AWS Lake Formation で構築するデータレイク - きめ細かいアクセス制御とデータカタログ列・行レベルのきめ細かいアクセス制御とタグベース管理でデータレイクのガバナンスを確立する。Glue Data Catalog との統合とクロスアカウントアクセスを紹介します。データレイクガバナンス - AWS Lake Formation による一元的なアクセス制御AWS Lake Formation を使ったデータレイクの構築・アクセス制御・ガバナンスを解説。S3 ベースのデータレイクに対する列レベル・行レベルのきめ細かな権限管理と Glue ・ Athena との統合を紹介します。AWS Lake Formationデータレイクの構築・管理・セキュリティを簡素化するサービスAmazon S3 と Lake Formation で構築するデータレイク - 設計パターンとガバナンスS3 をストレージ基盤とし Lake Formation できめ細かいアクセス制御を実現するデータレイクの設計パターンを紹介。ETL パイプラインとコスト最適化も解説します。AWS のデータ分析とデータレイク - Athena・Glue・Lake Formation・Redshift の統合エコシステムAWS の Athena、Glue、Lake Formation、Redshift、QuickSight による統合データ分析スタックを、Azure Synapse Analytics や GCP BigQuery と比較し、エコシステム全体の統合度における AWS の優位性を解説します。