翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon DataZone と AWS Lake Formation ハイブリッドモードの統合
Amazon DataZone は AWS Lake Formation ハイブリッドモードと統合されています。この統合により、最初に AWS Lake Formation AWS に登録することなく、Amazon DataZone を介して Glue テーブルを簡単に公開および共有できます。ハイブリッドモードでは、これらのテーブルに対する既存の IAM アクセス許可を維持したまま、 AWS Lake Formation を通じて AWS Glue テーブルに対するアクセス許可の管理を開始できます。
開始するには、Amazon DataZone マネジメントコンソールの **DefaultDataLake** ブループリントで **[データの場所の登録]** の設定を有効にします。
**AWS Lake Formation ハイブリッドモードとの統合を有効にする**
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) で Amazon DataZone コンソールに移動し、アカウントの認証情報を使用してサインインします。
1. **ドメインを表示**を選択し、 AWS Lake Formation ハイブリッドモードとの統合を有効にするドメインを選択します。
1. ドメインの詳細ページで、**[ブループリント]** タブに移動します。
1. **[ブループリント]** リストから、**DefaultDataLake** ブループリントを選択します。
1. DefaultDataLake ブループリントが有効になっていることを確認します。有効になっていない場合は、「[Amazon DataZone ドメインを所有する AWS アカウントで組み込みブループリントを有効にする](working-with-blueprints.md#enable-default-blueprint)」の手順に従って AWS アカウントで有効にします。
1. DefaultDataLake の詳細ページで、**[プロビジョニング]** タブを開き、ページの右上隅にある **[編集]** ボタンを選択します。
1. **[データの場所の登録]** でチェックボックスをオンにしてデータの場所の登録を有効にします。
1. データの場所の管理ロールでは、新しい IAM ロールを作成するか、既存の IAM ロールを選択できます。Amazon DataZone は、このロールを使用して、 AWS Lake Formation ハイブリッドアクセスモードを使用して Data Lake 用に選択した Amazon S3 バケット (複数可) への読み取り/書き込みアクセスを管理します。詳細については、「[AmazonDataZoneS3Manage--](AmazonDataZoneS3Manage.md)」を参照してください。
1. オプションで、Amazon DataZone でハイブリッドモードにより自動的に登録しない場合は、特定の Amazon S3 の場所を除外できます。その場合、次の手順を完了します。
+ トグルボタンを選択して、指定した Amazon S3 の場所を除外します。
+ 除外する Amazon S3 バケットの URL を指定します。
+ バケットをさらに追加するには、**[S3 の場所を追加]** を選択します。
**注記**
Amazon DataZone では、ルート S3 の場所のみを除外できます。ルート S3 の場所のパス内にある S3 の場所は、自動的に登録から除外されます。
+ **[Save changes]** (変更の保存) をクリックします。
アカウント AWS でデータロケーション登録設定を有効にすると、データコンシューマーが IAM アクセス許可で管理されている AWS Glue テーブルにサブスクライブすると、Amazon DataZone はまずこのテーブルの Amazon S3 ロケーションをハイブリッドモードで登録し、次に AWS Lake Formation を通じてテーブルに対するアクセス許可を管理してデータコンシューマーへのアクセスを許可します。これにより、テーブルに対する IAM アクセス許可は、既存のワークフローを中断することなく、新しく付与された AWS Lake Formation アクセス許可で引き続き存在します。
## Amazon DataZone で AWS Lake Formation ハイブリッドモード統合を有効にするときに暗号化された Amazon S3 の場所を処理する方法
カスタマーマネージドまたは AWS マネージド KMS キーで暗号化された Amazon S3 の場所を使用している場合は、**AmazonDataZoneS3Manage** ロールには KMS キーでデータを暗号化および復号するためのアクセス許可が必要です。または、KMS キーポリシーでキーに対するアクセス許可をロールに付与する必要があります。
Amazon S3 ロケーションが AWS マネージドキーで暗号化されている場合は、**AmazonDataZoneDataLocationManagement** ロールに次のインラインポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Amazon S3 の場所がカスタマーマネージドキーで暗号化されている場合は、以下を実行します。
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開き、Identity and Access Management (IAM) 管理ユーザーとして AWS 、または場所の暗号化に使用される KMS キーのキーポリシーを変更できるユーザーとしてログインします。
1. ナビゲーションペインで **[カスタマーマネージドキー]** を選択してから、目的の KMS キーの名前を選択します。
1. KMS キーの詳細ページで **[キーポリシー]** タブを選択してから、以下のいずれかを行って、カスタムロールまたは Lake Formation サービスリンクロールを KMS キーユーザーとして追加します。
+ デフォルトビュー (キー管理者、キー削除、キーユーザー、その他の AWS アカウントセクションを含む) が表示されている場合は、**キーユーザー**セクションに **AmazonDataZoneDataLocationManagement** ロールを追加します。
+ キーポリシー (JSON) が表示されている場合 – 次の例に示すように、ポリシーを編集して **AmazonDataZoneDataLocationManagement** ロールを「キーの使用を許可」オブジェクトに追加します
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage--"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
**注記**
KMS キーまたは Amazon S3 の場所がデータカタログと同じ AWS アカウント内にない場合は、[「アカウント間で AWS 暗号化された Amazon S3 の場所を登録する](https://docs.aws.amazon.com/lake-formation/latest/dg/register-cross-encrypted.html)」の手順に従います。