翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# S3 Tables と Data Catalog の統合で Lake Formation を有効にする
<a name="change-access-iam-to-lf"></a>

このセクションでは、 と統合された Amazon S3 Tables の AWS Lake Formation 許可を使用して、アクセスコントロールを IAM 権限から IAM に移行するワークフローについて説明します AWS Glue Data Catalog。

**重要**  
 AWS Lake Formation アクセスコントロールを有効にすると、S3 Tables リソースへの既存の IAM ベースのアクセスがすべて取り消されます。ステップ 1 を完了すると、IAM アクセス許可を通じて以前にデータにアクセスしたユーザーとロールはすぐにアクセスできなくなります。ユーザーがデータを再度クエリできるようにするには、ステップ 2 で Lake Formation アクセス許可を付与する必要があります。メンテナンス期間中にこの移行を計画し、データチームと調整します。

## 前提条件
<a name="w2aac13c29b7b7"></a>

S3 Tables への読み取り/書き込みアクセスには、Lake Formation アクセス許可に加えて、プリンシパルにも `lakeformation:GetDataAccess` IAM アクセス許可が必要です。この許可があると、Lake Formation がデータにアクセスするための一時的な認証情報のリクエストを承諾します。

## の使用 AWS CLI
<a name="w2aac13c29b7b9"></a>

1. **ステップ 1: IAM ロールを使用してバケットを Lake Formation に登録する**

   S3 Tables リソースを Lake Formation に登録します。
**注記**  
既存のロールがある場合は、ハイブリッドアクセスが false であることを確認します。

   ```
   aws lakeformation register-resource \
     --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
     --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
     --with-federation
   ```

1. **ステップ 2: AWS Glue カタログを更新して Lake Formation アクセスコントロールを有効にする**

   カタログを空の `CreateDatabaseDefaultPermissions`と `CreateTableDefaultPermissions` ( を に設定`[]`) で更新し、 `OverwriteChildResourcePermissionsWithDefault`を に設定します`Accept`。これにより、既存のすべての子リソースから IAM ベースのアクセスが削除され、カタログとそのオブジェクトが Lake Formation 許可を使用して管理できるようになります。

   ```
   aws glue update-catalog \
     --catalog-id "s3tablescatalog" \
     --catalog-input '{
       "FederatedCatalog": {
           "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
           "ConnectionName": "aws:s3tables"
       },
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "OverwriteChildResourcePermissionsWithDefault": "Accept",
       "AllowFullTableExternalDataAccess": "True"
     }'
   ```

1. **ステップ 3: データチームに Lake Formation アクセス許可を付与する**

   アクセスが必要なプリンシパル (ロール、ユーザー、またはグループ) に Lake Formation のアクセス許可を付与します。たとえば、フルテーブルの読み取りアクセスをロールに付与するには、次のようにします。

   ```
   aws lakeformation grant-permissions \
     --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
     --resource '{
       "Table": {
           "CatalogId": "AWSAccountID",
           "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
           "TableWildcard": {}
       }
     }' \
     --permissions "SELECT" "DESCRIBE"
   ```

   必要に応じて、プリンシパルとリソースの組み合わせごとに繰り返します。