# ステップ 3: セキュリティ設定を構成する
<a name="define-crawler-configure-security-settings"></a>

**IAM ロール**  
クローラーはこのロールを取得します。これは、AWS 管理ポリシー `AWSGlueServiceRole` と同様のアクセス許可を持っている必要があります。Amazon S3 および DynamoDB ソースの場合、データストアへのアクセス許可も必要です。クローラーが AWS Key Management Service (AWS KMS) で暗号化された Amazon S3 データを読み取る場合は、ロールには AWS KMS キーでの復号化のアクセス許可が必要です。  
Amazon S3 データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucket/object*"
      ]
    }
  ]
}
```
Amazon DynamoDB データストアの場合、ロールにアタッチされた追加のアクセス許可は次のようになります。    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:DescribeTable",
        "dynamodb:Scan"
      ],
      "Resource": [
        "arn:aws:dynamodb:*:111122223333:table/table-name*"
      ]
    }
  ]
}
```
 自身の JDBC ドライバーを追加するには、アクセス許可を新たに追加する必要があります。  
+  ジョブアクション `CreateJob`、`DeleteJob`、`GetJob`、`GetJobRun`、`StartJobRun` にアクセス権限を付与します。
+  Amazon S3 アクション `s3:DeleteObjects`、`s3:GetObject`、`s3:ListBucket`、`s3:PutObject` にアクセス権限を付与します。
**注記**  
Amazon S3 バケットポリシーが無効になっている場合、`s3:ListBucket` は必要ありません。
+  サービスプリンシパルに Amazon S3 ポリシーのバケット/フォルダへのアクセス権限を付与します。
 Amazon S3 ポリシーの例:     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/driver-parent-folder/driver.jar",
                "arn:aws:s3:::amzn-s3-demo-bucket"
            ]
        }
    ]
}
```
 AWS Glue は以下のフォルダ (`_crawler` と `_glue_job_crawler`) を Amazon S3 バケットに JDBC ドライバーと同じレベルで作成します。例えば、ドライバーパスが `<s3-path/driver_folder/driver.jar>` の場合、以下のフォルダがまだ存在しない場合は作成されます。  
+  <s3-path/driver\$1folder/\$1crawler> 
+  <s3-path/driver\$1folder/\$1glue\$1job\$1crawler> 
 必要に応じて、クローラーにセキュリティ設定を追加して、保管時の暗号化オプションを指定することができます。  
詳細については、「[ステップ 2: AWS Glue 用の IAM ロールを作成する](create-an-iam-role.md)」および「[AWS Glue のアイデンティティとアクセスの管理](security-iam.md)」を参照してください。

**Lake Formation 設定 - オプション**  
クローラーが Lake Formation の認証情報をデータソースのクローリングに使用できるようにします。  
**[Use Lake Formation credentials for crawling S3 data source]** (S3 データソースのクローリングに Lake Formation 認証情報を使用する) をオンにすると、クローラーは Lake Formation 認証情報を使用してデータソースをクローリングできるようになります。データソースが別のアカウントに属する場合は、登録されているアカウント ID を指定する必要があります。そうしないと、クローラーはアカウントに関連付けられているデータソースのみをクローリングします。Amazon S3 とデータカタログのデータソースにのみ適用されます。

**セキュリティ設定 - オプション**  
設定にはセキュリティ設定が含まれます。詳細については次を参照してください:   
+ [AWS Glue​ によって書き込まれたデータの暗号化](encryption-security-configuration.md)
クローラーにセキュリティ設定を設定すると、変更できますが、削除することはできません。クローラーのセキュリティレベルを下げるには、設定内でセキュリティ機能を明示的に `DISABLED` に設定するか、新しいクローラーを作成します。