この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
データアナリティクス事業本部コンサルティングチームの石川です。日本時間2021年12月1日深夜のAWS re:Invent 2021のAdam Selipskyさんのキーノートにて、AWS Lake Formationが行レベルとカラムレベルセキュリティのサポートが遂にGAとなったことを発表しました。
行レベルとカラムレベルのセキュリティとは
- 行レベルのセキュリティ: テーブルの特定の行へのアクセスをユーザーに制限するフィルター式を指定して必要な情報にアクセスする機能
- セルレベルのセキュリティ: 特定の行へのアクセスを提供と、特定の列を非表示または表示できるようにすることで、行レベルのセキュリティに基づいて指定して必要な情報にアクセスする機能
特長
データフィルタというルールによって、行およびセルレベルのセキュリティを備えたきめ細かいアクセス制御ができます。アクションを実行しているユーザーのIDに基づいて、クエリ結果およびAWS Glue ETL Job内の特定の行および列へのアクセスを制御できます。このようにして、さまざまな役割や法律のためにデータのサブセットを作成したり、そのメンテナンスの必要はありません。
ユースケース
コンプライアンスとセキュリティを考慮して、グループ、部門、組織間でデータを共有する際に、従来はフィルタリングされたデータセットに基づいてデータのマテリアライズドビューと非マテリアライズドビューを作成することがありました。この方法は、Single Source of Truth(唯一の信頼できる情報)の概念を破り、書き込みの増加を引き起こすという課題がありました。
行レベルとセルレベルのセキュリティは、Data Filterを作成します。Data Filterによって、1つのテーブルからペルソナに応じたアクセスパターンのデータのビューを提供します。行のデータフィルタは、オープンソースのPartiQL言語に基づくSQL互換の構文を使用します。Data Filterには、データベースとテーブルそしてアクセスするカラム名一覧と行フィルタの構文を指定しますので、Single Source of Truth(唯一の信頼できる情報)を守り、コンプライアンスとセキュリティを確保できるようになります。
Amazon Athenaからのクエリをサポート
re:Invent2021に先立って、行レベルとセルレベルセキュリティに対応しました。
まとめ
AWS Lake Formationが行レベルとカラムレベルセキュリティのサポートがGAになり、コンプライアンスとセキュリティが強化されました。データフィルタの行フィルタのキーを事前にパーティションキーに組み入れておくなどの対策することで、ゼロコピーかつパフォーマンスに影響なくこの機能を利用していただけたら幸いです。
1
