<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
AWS Lake Formationはデータレイクの管理を統括するサービスとして非常に有用です。 
データレイクの構築と管理を効率化できる一方で、初期設定時にはいくつか注意が必要な点があります。 
今回は、Lake Formation構築時にadministrator設定を行うときの注意点について解説します。
<h2 id="aws-lake-formation%E3%81%A8%E3%81%AF%EF%BC%9F" data-line="6" class="code-line">
<a class="header-anchor-link" href="#aws-lake-formation%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> AWS Lake Formationとは？</h2>
今回、弊社開発部ではデータガバナンスを強化するために、AWS Lake Formation（以降、AWSを省略）を導入することにしました。 
Lake Formationについては、以下のように説明されています。
<blockquote data-line="11" class="code-line">
AWS Lake Formation は、分析と機械学習のためにデータを一元管理、保護、グローバルに共有することを支援します。Lake Formation では、Amazon Simple Storage Service (Amazon S3) 上のデータレイクデータと AWS Glue Data Catalogの関連メタデータに対するきめ細かなアクセスコントロールを管理できます。
</blockquote>
<iframe id="zenn-embedded__291a15f92b894" src="https://embed.zenn.studio/card#zenn-embedded__291a15f92b894" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Flake-formation%2Flatest%2Fdg%2Fwhat-is-lake-formation.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html</a>
<h2 id="lake-formation%E3%81%AEadministrator%E8%A8%AD%E5%AE%9A" data-line="15" class="code-line">
<a class="header-anchor-link" href="#lake-formation%E3%81%AEadministrator%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> Lake Formationのadministrator設定</h2>
Lake Formationを利用する際には、事前にLake Formationのadministratorを設定する必要があります。 
この設定を行うことで、Lake Formationの設定が可能になります。 
この設定は <code>AdministratorAccess</code> ポリシーを持っていても別途設定が必要です。
こちらの設定は、<a href="https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_LakeFormation.html" target="_blank" rel="nofollow noopener noreferrer">CloudFormationのUser Guideで設定が存在しない</a>ため、現状マネジメントコンソールから設定を行う必要があります。
<iframe id="zenn-embedded__02ca80ac2b94c" src="https://embed.zenn.studio/card#zenn-embedded__02ca80ac2b94c" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2FAWSCloudFormation%2Flatest%2FUserGuide%2FAWS_LakeFormation.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_LakeFormation.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_LakeFormation.html</a>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--umvSa1_S--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/d5b4f9bb30ca960f365e0555.png%3Fsha%3D454c7284bd4b9924ac9a2b68f01927cb56fe37d0" alt="Lake FormationのAdministrator設定画面" loading="lazy" class="md-img">
<blockquote data-line="27" class="code-line">
MorisawaAdministratorというロールにAdministrator権限を付与しています。
</blockquote>
<h2 id="awslakeformationdataadmin%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%A8%E3%81%AF" data-line="29" class="code-line">
<a class="header-anchor-link" href="#awslakeformationdataadmin%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%A8%E3%81%AF" aria-hidden="true"></a> AWSLakeFormationDataAdminロールとは</h2>
Lake Formationでは、データレイクの管理者を設定する必要があります。その際に主に利用されるのが「<a href="https://docs.aws.amazon.com/ja_jp/aws-managed-policy/latest/reference/AWSLakeFormationDataAdmin.html" target="_blank" rel="nofollow noopener noreferrer">AWSLakeFormationDataAdmin</a>」ロールです。
このロールは、データレイク内のリソースに対する完全な制御権限を持ち、データカタログの管理やデータレイクのアクセス許可の設定などを行うことができます。言わば、Lake Formationにおける「スーパーユーザー」のような位置付けです。
<h3 id="%E8%A8%AD%E5%AE%9A%E6%99%82%E3%81%AE%E6%B3%A8%E6%84%8F%E7%82%B9" data-line="35" class="code-line">
<a class="header-anchor-link" href="#%E8%A8%AD%E5%AE%9A%E6%99%82%E3%81%AE%E6%B3%A8%E6%84%8F%E7%82%B9" aria-hidden="true"></a> 設定時の注意点</h3>
AWSLakeFormationDataAdminロールのポリシーを抜粋します。
<div class="code-block-container"><pre class="language-json"><code class="language-json code-line" data-line="39">{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Sid": "AWSLakeFormationDataAdminAllow",
 "Effect": "Allow",
 "Action": [
 "lakeformation:*",
 ・・・,
 ],
 "Resource": "*"
 },
 {
 "Sid": "AWSLakeFormationDataAdminDeny",
 "Effect": "Deny",
 "Action": [
 "lakeformation:PutDataLakeSettings"
 ],
 "Resource": "*"
 }
 ]
}
</code></pre></div>ここで注目すべきポイントとしては <code>lakeformation:PutDataLakeSettings</code> が「Deny」されている点です。 
この権限の困るところは <code>AWSLakeFormationDataAdmin</code> ロールを準備して、Lake Formationのadministrator設定を行おうとしても、権限エラーになって設定できないという点です。
<iframe id="zenn-embedded__a321b111e2635" src="https://embed.zenn.studio/card#zenn-embedded__a321b111e2635" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Fhealthlake%2Flatest%2Fdevguide%2Ftroubleshooting-data-lake-admin.html" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.aws.amazon.com/ja_jp/healthlake/latest/devguide/troubleshooting-data-lake-admin.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/healthlake/latest/devguide/troubleshooting-data-lake-admin.html</a>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="69" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
本稿では、AWS Lake Formation構築時におけるAWSLakeFormationDataAdminロールの設定に関する重要な注意点について解説いたしました。 
<code>AdministratorAccess</code> を持っていても別途Lake Formationのadministrator設定が必要なことと、 <code>AWSLakeFormationDataAdmin</code> を持っている場合は、この設定ができないことに注意が必要です。
AWS Lake Formationは初期設定に若干の複雑さがありますが、適切に構成することでデータガバナンスの強化とデータ活用の促進に大きく貢献します。本稿が皆様のデータレイク構築の一助となれば幸いです。

AWS Lake Formation構築時にadministrator設定を行うときの注意点

Discussion