翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Athena の開始方法
<a name="integrating-athena-getting-started"></a>

HealthLake を Amazon Athena と統合するには、アクセス許可を設定する必要があります。これを行うには、Athena ユーザー、グループ、またはロールを作成し、HealthLake データストア内にある FHIR リソースへのアクセスを許可します。
+ [ユーザー、グループ、またはロールに HealthLake データストアへのアクセスを許可する (AWS Lake Formation コンソール)](#getting-started-athena-admin)
+ [Athena アカウントのセットアップ](#getting-started-athena-user)

## ユーザー、グループ、またはロールに HealthLake データストアへのアクセスを許可する (AWS Lake Formation コンソール)
<a name="getting-started-athena-admin"></a>

**ペルソナ: HealthLake 管理者**  
HealthLake 管理者ペルソナは、 AWS Lake Formation のデータレイク管理者です。Lake Formation の HealthLake データストアへのアクセスを許可します。

作成されたデータストアごとに、 AWS Lake Formation コンソールに 2 つのエントリが表示されます。1 つのエントリは*リソースリンク*です。リソースリンク名は常に*斜体*で表示されます。各リソースリンクには、リンクされた共有リソースの名前と所有者が表示されます。すべての HealthLake データストアで、共有リソース所有者は HealthLake サービスアカウントです。もう 1 つのエントリは、HealthLake サービスアカウントの HealthLake データストアです。この手順のステップでは、リソースリンクであるデータストアを使用します。

リソースリンクの詳細については、[Lake Formation デベロッパーガイドの「Lake Formation でのリソースリンクの仕組み](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)*AWS *」を参照してください。

ユーザー、グループ、またはロールが Athena でデータをクエリできるようにするには、リソースデータベースに対する **Describe** アクセス許可を付与する必要があります。次に、テーブルに **Select** と **Describe** を付与する必要があります。

**ステップ 1: HealthLake データストアリソースリンクデータベースに **DESCRIBE** アクセス許可を付与するには**

1.  AWS Lake Formation コンソールを開きます: [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)

1. プライマリナビゲーションバーで、**データベース**を選択します。

1. **データベース**ページで、斜体のデータストアの名前の横にあるラジオボタンを選択します。

1. **アクション (▼)** を選択します。

1. **[付与]** を選択します。

1. データ**許可の付与**ページの**プリンシパル**で、**IAM ユーザーまたはロール**を選択します。

1. **IAM ユーザーまたはロール**で、**下矢印 (▼)** を使用するか、Athena でクエリを実行できるようにする IAM ユーザー、ロール、またはグループを検索します。

1. **LF タグまたはカタログリソース**カードで、**名前付きデータカタログリソース**オプションを選択します。

1. **Databases** で、**下矢印 (▼)** を使用して、アクセスを共有する HealthLake データストアデータベースを選択します。

1. **リソースリンクのアクセス許可**カードで、**リソースリンクのアクセス許可**で、**説明**を選択します。

権限が成功すると、**権限付与の成功**バナーが表示されます。先ほど付与したアクセス許可を表示するには、**データレイクのアクセス許可**を選択します。テーブルでユーザー、グループ、ロールを見つけます。アクセス**許可**列の下に、**Describe** が表示されます。

次に、**ターゲットで Grant** を使用して、データベース内のすべてのテーブルで **Select** と **Describe** を付与する必要があります。

**ステップ 2: HealthLake データストアリソースリンク内のすべてのテーブルへのアクセスを許可する**

1.  AWS Lake Formation コンソールを開きます: [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com//lakeformation)

1. プライマリナビゲーションバーで、**データベース**を選択します。

1. **データベース**ページで、斜体のデータストアの名前の横にあるラジオボタンを選択します。

1. **アクション (▼)** を選択します。

1. **ターゲットの付与**を選択します。

1. データ**許可の付与**ページの**プリンシパル**で、**IAM ユーザーまたはロール**を選択します。

1. **IAM ユーザーまたはロール**で、**下矢印 (▼)** を使用するか、Athena でクエリを実行できるようにする IAM ユーザー、グループ、またはロールを検索します。

1. **LF タグまたはカタログリソース**カードで、**名前付きデータカタログリソース**オプションを選択します。

1. **Databases** で、**下矢印 (▼)** を使用して、アクセス権を付与する HealthLake データストアデータベースを選択します。

1. **Tables** で、**すべてのテーブル**を選択して、すべてのテーブルを HealthLake ユーザーと共有します。

1. **テーブルのアクセス許可**カードで、**テーブルのアクセス許可**で、**説明**と**選択**を選択します。

1. **[付与]** を選択します。

grant を選択すると、**Grant permissions success** バナーが表示されます。指定されたユーザーは、Athena の HealthLake データストアに対してクエリを実行できるようになりました。

## Athena の開始方法
<a name="getting-started-athena-user"></a>

**HealthLake ユーザー**  
HealthLake ユーザーは、Athena コンソール AWS CLI、または AWS SDKs を使用して、HealthLake 管理者によって共有されている HealthLake データストアをクエリします。

Athena を使用してデータストアをクエリするには、次の 3 つの操作を行う必要があります。
+ Lake Formation 経由で HealthLake データストアへのアクセス権を IAM ユーザーまたはロールに付与します。詳細については[ユーザー、グループ、またはロールに HealthLake データストアへのアクセスを許可する (AWS Lake Formation コンソール)](#getting-started-athena-admin)を参照してください。
+ HealthLake データストアのワークグループを作成します。
+ クエリ結果を保存する Amazon S3 バケットを指定します。

Athena の使用を開始するには、**AmazonAthenaFullAccess** および **AmazonS3FullAccess** AWS 管理ポリシーをユーザー、グループ、またはロールに追加します。 AWS マネージドポリシーを使用すると、新しいサービスの使用を開始できます。AWS 管理ポリシーは、すべての AWS のお客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。IAM ポリシーでアクセス許可を設定するときは、タスクの実行に必要なアクセス許可のみを付与します。IAM と最小特権の適用の詳細については、*「IAM ユーザーガイド*」の[「最小特権のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)の適用」を参照してください。

**重要**  
Athena で HealthLake データストアをクエリするには、**Athena エンジンバージョン 3 **を使用する必要があります。

ワークグループはリソースであるため、IAM ベースのポリシーを使用して特定のワークグループへのアクセスを制御できます。詳細については、*Athena ユーザーガイド*の[「ワークグループを使用してクエリのアクセスとコストを制御する](https://docs.aws.amazon.com/athena/latest/ug/manage-queries-control-costs-with-workgroups.html)」を参照してください。

ワークグループの設定の詳細については、*Athena ユーザーガイド*[https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html](https://docs.aws.amazon.com/athena/latest/ug/workgroups-procedure.html)の「」を参照してください。

**注記**  
Amazon S3 バケットがあるリージョンで、Athena コンソールが一致している必要があります。

クエリを実行する前に、Amazon S3 のクエリ結果バケットの場所を指定しておく、または指定されたバケットがあり、その設定がクライアント設定を上書きするワークグループを使用する必要があります。出力ファイルは、実行されるすべてのクエリに対して自動的に保存されます。

Athena コンソールでのクエリ結果の場所の指定の詳細については、Amazon Athena *ユーザーガイド Amazon Athena*の[「Athena コンソールを使用したクエリ結果の場所の指定](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location-console)」を参照してください。

Athena で HealthLake データストアをクエリする方法の例については、「」を参照してください[SQL を使用した HealthLake データのクエリ](integrating-athena-query-sql.md)。