IAMとLake FormationがGlue RESTカタ... ノート

IAMとLake FormationがGlue RESTカタログおよびS3テーブルに対してどのように動作するかを検証する

この記事では、Icebergテーブルとやり取りする際のAWS Glue REST CatalogエンドポイントとS3 Tablesエンドポイントの異なる認証動作について検討します。GlueエンドポイントはIAMポリシーとLake Formationの権限の両方に依存するのに対し、S3 Tablesエンドポイントは認証にIAMのみを使用します。IAM権限とLake Formationの権限を変更して結果を観察するテストが実施されました。IAMとLake Formationの両方の権限があるベースラインシナリオでは、両エンドポイントから成功した200応答が得られました。Lake Formationの権限が削除されると、Glueエンドポイントは403エラーを返し、Lake Formationへの依存性を示しましたが、S3 Tablesエンドポイントは200応答でアクセス可能でした。逆に、s3tablesのIAMアクションが削除されると、両エンドポイントから403エラーが発生しました。CloudTrailログを使用して認証フローを追跡したところ、Glueは最終的に拒否された場合でも、Lake Formationの評価のためにGetDataAccessを呼び出すことが示されました。しかし、S3 TablesエンドポイントはGetDataAccess呼び出しをトリガーしません。これにより、GlueエンドポイントはまずIAMをチェックし、次にLake Formationに委任するという2段階の認証プロセスをオーケストレーションするのに対し、S3 Tablesエンドポイントは単一のIAM認証チェックを実行することが確認されました。