翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用した CloudTrail Lake フェデレーションリソースの管理 AWS Lake Formation
<a name="query-federation-lake-formation"></a>

**注記**  
AWS CloudTrail Lake は、2026 年 5 月 31 日以降、新規のお客様に公開されなくなります。CloudTrail Lake を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CloudTrail Lake の可用性の変更](cloudtrail-lake-service-availability-change.md)」を参照してください。

イベントデータストアをフェデレーションすると、CloudTrail はフェデレーションロール ARN とイベントデータストアを に登録します。これは AWS Lake Formation、 AWS Glue データカタログ内のフェデレーションリソースのきめ細かなアクセスコントロールを許可するサービスです。このセクションでは、Lake Formation を使用して CloudTrail Lake フェデレーションリソースを管理する方法について説明します。

フェデレーションを有効にすると、CloudTrail は AWS Glue データカタログに次のリソースを作成します。
+ **マネージドデータベース** – CloudTrail は、アカウントごとに `aws:cloudtrail` という名前で 1 つのデータベースを作成します。CloudTrail はデータベースを管理します。でデータベースを削除または変更することはできません AWS Glue。
+ **マネージドフェデレーションテーブル** – CloudTrail はフェデレーションイベントデータストアごとに 1 つのテーブルを作成し、テーブル名にはイベントデータストア ID を使用します。CloudTrail がテーブルを管理します。のテーブルを削除または変更することはできません AWS Glue。テーブルを削除するには、イベントデータストアの[フェデレーションを無効化](query-disable-federation.md)する必要があります。

## フェデレーションリソースへのアクセスの制御
<a name="query-federation-lake-formation-control"></a>

2 つのアクセス許可方式のいずれかを使用して、マネージドデータベースとテーブルへのアクセスを制御できます。
+ **IAM のみのアクセス制御** – IAM のみのアクセス制御では、必要な IAM アクセス許可が付与されたアカウントのすべてのユーザーに、すべての Data Catalog リソースへのアクセス権が付与されます。が IAM と AWS Glue どのように連携するかについては、[「 AWS Glue が IAM と](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html)どのように連携するか」を参照してください。

  Lake Formation コンソールでは、この方式が **[Use only IAM access control]** (IAM アクセスコントロールのみを使用する) として表示されます。
**注記**  
データフィルターを作成して他の Lake Formation 機能を使用する場合は、Lake Formation アクセス制御を使用する必要があります。
+ **Lake Formation のアクセス制御** – この方式には以下の利点があります。
  + [データフィルター](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html)を作成することで、列レベル、行レベル、およびセルレベルのセキュリティを実装することができます。詳細については、*AWS Lake Formation 開発者ガイド*の「[行レベルのアクセス制御によるデータレイクの保護](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html)」を参照してください。
  + データベースとテーブルは、Lake Formation の管理者と、データベースとリソースの作成者にのみ表示されます。別のユーザーがこれらのリソースにアクセスする必要がある場合は、明示的に [Lake Formation アクセス許可を使用してアクセス権を付与する](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html)必要があります。

アクセス制御の詳細については、「[細粒度のアクセスコントロールのための方式](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html)」を参照してください。

## フェデレーションリソースのアクセス許可方式の決定
<a name="query-federation-lake-formation-permissions-method"></a>

初めてフェデレーションを有効にすると、CloudTrail は Lake Formation データレイク設定を使用してマネージドデータベースとマネージドフェデレーションテーブルを作成します。

CloudTrail がフェデレーションを有効にすると、マネージドデータベースとマネージドフェデレーションテーブルに使用しているアクセス許可方式を、それらのリソースのアクセス許可をチェックすることで確認できます。リソースに [`ALL` (*Super*) to `IAM_ALLOWED_PRINCIPALS `] 設定がある場合、リソースは IAM アクセス許可によってのみ管理されます。設定がない場合、リソースは Lake Formation アクセス許可によって管理されます。Lake Formation のアクセス許可の詳細については、「[Lake Formation の許可リファレンス](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html)」を参照してください。

マネージドデータベースとマネージドフェデレーションテーブルのアクセス許可方式は異なる場合があります。例えば、データベースとテーブルの値を確認すると、次のようになっている場合があります。
+ データベースでは、`ALL` (*Super*) を `IAM_ALLOWED_PRINCIPALS` に割り当てた値がアクセス許可に存在し、データベースに対して IAM のみのアクセス制御を使用していることを示しています。
+ テーブルでは、`ALL` (*Super*) を `IAM_ALLOWED_PRINCIPALS` に割り当てた値が存在せず、Lake Formation アクセス許可によるアクセス制御を示しています。

Lake Formation のフェデレーションリソースの `IAM_ALLOWED_PRINCIPALS ` アクセス許可に `ALL` (*Super*) を追加または削除することで、いつでもアクセス方式を切り替えることができます。

## Lake Formation を使用したクロスアカウント共有
<a name="query-federation-lake-formation-cross-account"></a>

このセクションでは、Lake Formation を使用してマネージドデータベースとマネージドフェデレーションテーブルをアカウント間で共有する方法について説明します。

次の手順を実行すると、マネージドデータベースをアカウント間で共有できます。

1. [クロスアカウントデータ共有のバージョン](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html)をバージョン 4 に更新します。

1. データベースに `IAM_ALLOWED_PRINCIPALS` への `Super` アクセス許可がある場合は削除して、Lake Formation アクセス制御に切り替えます。

1. データベースで、外部のアカウントに `Describe` アクセス許可を付与します。

1. Data Catalog リソースが と共有 AWS アカウント されており、アカウントが共有アカウントと同じ AWS 組織内にない場合は、 AWS Resource Access Manager (AWS RAM) からのリソース共有の招待を受け入れます。詳細については、[AWS 「RAM からのリソース共有の招待を受け入れる](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html)」を参照してください。

これらの手順を完了すると、データベースは外部アカウントに表示されるはずです。デフォルトでは、データベースを共有しても、データベース内のどのテーブルへのアクセス権も付与されません。

 次の手順を実行すると、すべてまたは個別のマネージドフェデレーションテーブルを外部アカウントと共有できます。

1. [クロスアカウントデータ共有のバージョン](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html)をバージョン 4 に更新します。

1. テーブルに `IAM_ALLOWED_PRINCIPALS` への `Super` アクセス許可がある場合は削除して、Lake Formation アクセス制御に切り替えます。

1. (オプション) 任意の[データフィルター](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html)を指定して列や行を制限します。

1. テーブルで、外部のアカウントに `Select` アクセス許可を付与します。

1. Data Catalog リソースが と共有 AWS アカウント されており、アカウントが共有アカウントと同じ AWS 組織内にない場合は、 AWS Resource Access Manager (AWS RAM) からのリソース共有の招待を受け入れます。組織の場合、RAM 設定を使用して自動承諾できます。詳細については、[AWS 「RAM からのリソース共有の招待を受け入れる](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html)」を参照してください。

1. これで、テーブルが表示されるはずです。このテーブルで Amazon Athena クエリを有効にするには、[共有テーブルとのリソースリンク](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html)をこのアカウントで作成します。

所有アカウントは、外部アカウントのアクセス許可を Lake Formation から削除するか、CloudTrail で[フェデレーションを無効化](query-disable-federation.md)することで、いつでも共有を取り消すことができます。