翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Lake Formation と IAM アイデンティティセンターとの接続
<a name="connect-lf-identity-center"></a>

IAM アイデンティティセンターを使用して ID を管理し、Lake Formation を使用してデータカタログリソースへのアクセスを許可する前に、次の手順を完了する必要があります。Lake Formation コンソールまたは AWS CLIを使用して IAM アイデンティティセンター統合を作成できます。

------
#### [ AWS マネジメントコンソール ]

**Lake Formation を IAM アイデンティティセンターと接続するには**

1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。

1. 左側のナビゲーションペインで、**[IAM アイデンティティセンターの統合]** を選択します。  
![\[IAM アイデンティティセンターの統合画面とアイデンティティセンター ARN\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-integ.png)

1. (オプション) 1 つ以上の AWS アカウント IDs、組織 IDs、組織単位 IDs を入力して、外部アカウントが Data Catalog リソースにアクセスできるようにします。IAM アイデンティティセンターのユーザーまたはグループが Lake Formation で管理されているデータカタログリソースにアクセスしようとすると、Lake Formation は IAM ロールを引き受けてメタデータアクセスを認可します。IAM ロールがリソースポリシーと AWS Glue リソース AWS RAM 共有を持たない外部アカウントに属している場合、IAM アイデンティティセンターのユーザーとグループは、Lake Formation アクセス許可があってもリソースにアクセスできません。

   Lake Formation は AWS Resource Access Manager 、 (AWS RAM) サービスを使用して外部アカウントおよび組織とリソースを共有します。 は、リソース共有を承認または拒否するための招待を被付与者アカウント AWS RAM に送信します。

   詳細については、「[からのリソース共有の招待の承諾 AWS RAM](accepting-ram-invite.md)」を参照してください。
**注記**  
Lake Formation は、データカタログリソースへのアクセスのために、外部アカウントの IAM ロールが IAM アイデンティティセンターのユーザーとグループに代わってキャリアロールとして動作することを許可しますが、アクセス許可を付与できるのは、所有アカウント内のデータカタログリソースに対してだけです。外部アカウント内のデータカタログリソースに対するアクセス許可を IAM アイデンティティセンターのユーザーとグループに付与しようとすると、Lake Formation から「Cross-account grants are not supported for the principal」というエラーがスローされます。

1. (オプション) **[Lake Formation 統合の作成]** 画面で、Lake Formation に登録された Amazon S3 ロケーションにあるデータにアクセスできるサードパーティアプリケーションの ARN を指定します。Lake Formation は、有効なアクセス許可に基づいて、スコープダウンされた一時的な認証情報を AWS STS トークンの形式で登録された Amazon S3 ロケーションに提供し、承認されたアプリケーションがユーザーに代わってデータにアクセスできるようにします。

1. (オプション) **Lake Formation 統合の作成**画面で、Trusted Identity Propagation の Amazon Redshift Connect チェックボックスをオンにして、IDC を介した Amazon Redshift フェデレーティッドアクセス許可の検出を有効にします。Lake Formation は、有効なアクセス許可に基づいて ID をダウンストリームに伝播するため、承認されたアプリケーションはユーザーに代わってデータにアクセスできます。

1. **[送信]** を選択します。

   Lake Formation 管理者が手順を完了して統合を作成すると、IAM アイデンティティセンターのプロパティが Lake Formation コンソールに表示されます。上記のタスクを完了すると、Lake Formation は IAM アイデンティティセンター対応アプリケーションになります。コンソールのプロパティには統合ステータスが含まれます。統合が完了すると、統合ステータスに `Success` と表示されます。このステータスは IAM アイデンティティセンターの設定が完了したかどうかを示します。

------
#### [ AWS CLI ]
+ 次の例は、IAM アイデンティティセンターとの Lake Formation 統合を作成する方法を示しています。アプリケーションの `Status` (`ENABLED`、`DISABLED`) を指定することもできます。

  ```
  aws lakeformation create-lake-formation-identity-center-configuration \
      --catalog-id <123456789012> \
      --instance-arn <arn:aws:sso:::instance/ssoins-112111f12ca1122p> \
      --share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
                          {"DataLakePrincipalIdentifier": "<555555555555>"}]' \
      --external-filtering '{"AuthorizedTargets": ["<app arn1>", "<app arn2>"], "Status": "ENABLED"}'
  ```
+ 次の例は、IAM アイデンティティセンターとの Lake Formation 統合を表示する方法を示しています。

  ```
  aws lakeformation describe-lake-formation-identity-center-configuration
   --catalog-id <123456789012>
  ```
+ 次の例は、`Redshift:Connect`認可を有効にする方法を示しています。認可は ENABLED または DISABLED にすることができます。

  ```
  aws lakeformation  create-lake-formation-identity-center-configuration \
  --instance-arn <arn:aws:sso:::instance/ssoins-112111f12ca1122p> \
  --service-integrations '[{
    "Redshift": [{
      "RedshiftConnect": {
        "Authorization": "ENABLED"
      }
    }]
  }]'
  ```
+ `describe-lake-formation-identity-center-configuration` コマンドを使用して、レイクフォーメーションアイデンティティセンターアプリケーションを記述します。`Redshift:Connect`サービス統合は、クロスサービスおよびクラスター間の IdC ID の伝播に不可欠です。

  ```
  aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
  ```

  レスポンス:

  ```
  {
      "CatalogId": "CATALOG ID",
      "InstanceArn": "INSTANCE ARN",
      "ApplicationArn": "APPLICATION ARN",
      "ShareRecipients": [],
      "ServiceIntegrations": [
          {
              "Redshift": [
                  {
                      "RedshiftConnect": {
                          "Authorization": "ENABLED"
                      }
                  }
              ]
          }
      ]
  }
  ```

------

## 複数の で IAM Identity Center を使用する AWS リージョン
<a name="connect-lf-identity-center-multi-region"></a>

Lake Formation は、複数の で IAM Identity Center をサポートしています AWS リージョン。IAM アイデンティティセンターをプライマリリージョンから追加のリージョン AWS リージョン に拡張して、ユーザーと信頼性に近接することでパフォーマンスを向上させることができます。IAM アイデンティティセンターに新しいリージョンが追加されると、プライマリリージョンの ID をレプリケートすることなく、新しいリージョンに Lake Formation アイデンティティセンターアプリケーションを作成できます。複数のリージョンで IAM アイデンティティセンターの使用を開始する方法の詳細については、[IAM アイデンティティセンターユーザーガイドの「マルチリージョン](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *IAM アイデンティティセンター*」を参照してください。