翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データレイクのデフォルト設定の変更
<a name="change-settings"></a>

との下位互換性を維持するためにAWS Glue、 AWS Lake Formation には以下の初期セキュリティ設定があります。
+ 既存の AWS Glue Data Catalog リソースのすべてに対する `Super` 許可がグループ `IAMAllowedPrincipals` に付与されます。
+ 新しい Data Catalog リソースには「Use only IAM access control」(IAM アクセス制御のみを使用する) 設定が有効になっています。

これらの設定により、データカタログリソースと Amazon S3 ロケーションへのアクセスは、 AWS Identity and Access Management (IAM) ポリシーによってのみ制御されます。個々の Lake Formation 許可は適用されません。

`IAMAllowedPrincipals` グループには、IAM ポリシーによって Data Catalog リソースへのアクセスを許可される IAM ユーザーとロールが含まれます。この `Super` 許可は、プリンシパルが、許可の対象であるデータベースまたはテーブルで、サポートされているすべての Lake Formation 操作を実行できるようにします。

Data Catalog リソース (データベースおよびテーブル) へのアクセスが Lake Formation 許可によって管理されるようにセキュリティ設定を変更するには、以下を実行します。

1. 新しいリソースに対するデフォルトのセキュリティ設定を変更する。手順については、「[デフォルトのアクセス許可モデルを変更する、またはハイブリッドアクセスモードを使用する](initial-lf-config.md#setup-change-cat-settings)」を参照してください。

1. 既存の Data Catalog リソースに対する設定を変更する。手順については、「[AWS Lake Formation モデルへのAWS Glueデータアクセス許可のアップグレード](upgrade-glue-lake-formation.md)」を参照してください。

**Lake Formation の `PutDataLakeSettings` API 操作を使用したデフォルトセキュリティ設定の変更**  
デフォルトのセキュリティ設定は、Lake Formation の [PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) API オペレーションを使用して変更することもできます。このアクションは、オプションのカタログ ID と [DataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DataLakeSettings.html) 構造を引数として使用します。

Lake Formation によるメタデータと基盤となるデータのアクセス制御を新しいデータベースとテーブルに適用するには、`DataLakeSettings` 構造を以下のようにコード化します。

**注記**  
*<AccountID>* を有効な AWS アカウント ID に、*<Username>* を有効な IAM ユーザー名に置き換えます。複数のユーザーをデータレイク管理者として指定できます。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}
```

この構造は、以下のようにコード化することもできます。`CreateDatabaseDefaultPermissions` または `CreateTableDefaultPermissions` パラメータを省略することは、空のリストを渡すことに相当します。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}
```

このアクションは実質的に、`IAMAllowedPrincipals` グループから新しいデータベースとテーブルに対するすべての Lake Formation 許可を取り消します。この設定は、データベースを作成するときに上書きすることができます。

IAM のみによるメタデータと基盤となるデータのアクセス制御を新しいデータベースとテーブルに適用するには、`DataLakeSettings` 構造を以下のようにコード化します。

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}
```

これは、新しいデータベースとテーブルに対する `Super` Lake Formation 許可を `IAMAllowedPrincipals` グループに付与します。この設定は、データベースを作成するときに上書きすることができます。

**注記**  
前述の `DataLakeSettings` 構造では、`DataLakePrincipalIdentifier` に許可される値は `IAM_ALLOWED_PRINCIPALS` のみで、`Permissions` に許可される値は `ALL` のみです。