翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM Identity Center AWS Lake Formation でのセットアップ
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) は、 AWSでのデータレイクの作成と管理を簡素化するマネージドサービスです。データ収集、カタログ化、セキュリティを自動化し、さまざまなデータ型を保存および分析するための一元化されたリポジトリを提供します。Lake Formation は、きめ細かなアクセスコントロールを提供し、さまざまな AWS 分析サービスと統合することで、組織はデータレイクを効率的にセットアップ、保護し、インサイトを得ることができます。
Lake Formation が IAM アイデンティティセンターと信頼できる ID の伝播を使用してユーザー ID に基づいてデータアクセス許可を付与できるようにするには、次の手順に従います。
## 前提条件
このチュートリアルを開始する前に、以下を設定する必要があります。
+ [IAM アイデンティティセンターを有効にします](enable-identity-center.md)。[組織インスタンス](organization-instances-identity-center.md)が推奨されます。詳細については、「[前提条件と考慮事項](trustedidentitypropagation-overall-prerequisites.md)」を参照してください。
## 信頼できる ID の伝播を設定するステップ
1. 「[Lake Formation と IAM アイデンティティセンターとの接続](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) 」のガイダンスに従って、**IAM アイデンティティセンターを AWS Lake Formationと統合します**。
**重要**
** AWS Glue Data Catalog テーブルがない場合は**、 AWS Lake Formation を使用して IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与するためにテーブルを作成する必要があります。詳細については、「[AWS Glue Data Catalogでのオブジェクトの作成](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html)」を参照してください。
1. **データレイクの場所を登録します**。
Glue テーブルのデータが保存されている [S3 の場所を登録](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html)します。これにより、Lake Formation はテーブルのクエリ時に必要な S3 ロケーションへの一時的なアクセスをプロビジョニングし、サービスロール (WorkGroup で設定された Athena サービスロールなど) に S3 アクセス許可を含める必要がなくなります。
1. AWS Lake Formation コンソールのナビゲーションペインの管理****セクションにある**データレイクの場所**に移動します。**[ロケーションを登録]** を選択します。
これにより、Lake Formation は S3 データロケーションにアクセスするために必要なアクセス許可を持つ一時的な IAM 認証情報をプロビジョニングできます。
![\[ステップ 1 Lake Formation コンソールでデータレイクの場所を登録する。\]](http://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. **Amazon S3** パスフィールドに AWS Glue テーブルのデータロケーションの S3 パスを入力します。
1. **[IAM ロール]** セクションで、信頼された ID の伝播で使用する場合は、サービスにリンクされたロールを選択しないでください。次のアクセス許可で別のロールを作成します。
これらのポリシーを使用するには、サンプルポリシーの*イタリック体のプレースホルダーテキスト*を独自の情報に置き換えます。その他の手順については、「[ポリシーの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)」または「[ポリシーの編集](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)」を参照してください。アクセス許可ポリシーは、パスで指定された S3 の場所へのアクセスを許可する必要があります。
1. **アクセス許可ポリシー**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **信頼関係**: これには、信頼できる ID の伝播に必要な `sts:SectContext` を含める必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**注記**
ウィザードによって作成された IAM ロールはサービスにリンクされたロールであり、`sts:SetContext` は含まれません。
1. IAM ロールを作成したら、**[場所の登録]**を選択します。
## Lake Formation による信頼できる ID の伝播 AWS アカウント
AWS Lake Formation は[AWS Resource Access Manager 、 (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) を使用して 間でテーブルを共有 AWS アカウント することをサポートし、付与者アカウントと被付与者アカウントが同じ にあり AWS リージョン、同じ にあり、IAM Identity Center の同じ組織インスタンス AWS Organizationsを共有している場合、信頼できる ID 伝達と連携します。詳細については、「[Lake Formation でのクロスアカウントデータ共有](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html)」を参照してください。