# Athena が Lake Formation に登録されたデータにアクセスする方法 このセクションで説明するアクセスワークフローが適用されるのは、Lake Formation に登録された Amazon S3 の場所、データカタログ、またはメタデータオブジェクトに対して Athena クエリを実行する場合です。詳細については、「AWS Lake Formation デベロッパーガイド」の「[データレイクの登録](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)」を参照してください。Lake Formation 管理者は、データの登録に加えて、データカタログ内のメタデータ、AWS Glue Data Catalog、または Amazon S3 のデータの場所へのアクセス権を付与または取り消す Lake Formation アクセス許可を適用します。詳細については、「AWS Lake Formation デベロッパーガイド」の「[メタデータとデータに対するセキュリティとアクセスコントロール](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions)」を参照してください。 Lake Formation は、Athena プリンシパル (ユーザー、グループ、またはロール) が Lake Formation を使用して登録されたデータに対するクエリを実行するたびに、データベース、テーブル、およびデータソースの場所に対する、そのクエリに見合った適切な Lake Formation アクセス許可がプリンシパルにあることを確認します。プリンシパルにアクセス権がある場合、Lake Formation は一時的な認証情報を Athena に供給し、クエリが実行されます。 以下の図は、Amazon S3 の場所またはデータカタログが Lake Formation に登録されているときのテーブルに対する仮説上の `SELECT` クエリについて、Athena での認証情報の供給がクエリごとにどのように機能するかを示しています。 ![\[Athena テーブルのクエリの認証情報販売ワークフロー。\]](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/images/lake-formation-athena-security.png) 1. プリンシパルが Athena で `SELECT` クエリを実行します。 1. Athena がクエリを分析し、Lake Formation の許可をチェックして、テーブルとテーブルの列に対するアクセス権がプリンシパルに付与されているかどうかを確認します。 1. プリンシパルにアクセス権がある場合、Athena が Lake Formation からの認証情報をリクエストします。プリンシパルにアクセス権がない場合は、Athena がアクセス拒否エラーを発行します。 1. Lake Formation が、Amazon S3 またはカタログからデータを読み込むときに使用する認証情報と、許可される列のリストを Athena に発行します。 1. Athena が Lake Formation の一時的な認証情報を使用して、Amazon S3 またはカタログからデータをクエリします。クエリが完了すると、Athena が認証情報を破棄します。