

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユーザーおよびグループへのアクセス許可の付与
<a name="grant-permissions-sso"></a>

データレイク管理者は、データカタログリソース (データベース、テーブル、ビュー) について IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与できます。これにより、データに簡単にアクセスできるようになります。データレイクのアクセス許可を付与または取り消すには、付与者に次の IAM アイデンティティセンターアクションに対するアクセス許可が必要です。
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)

許可は、Lake Formation コンソール、API、または AWS CLIを使用して付与することができます。

許可の付与の詳細については、「[データカタログリソースに対するアクセス許可の付与](granting-catalog-permissions.md)」を参照してください。

**注記**  
アクセス許可は、アカウント内のリソースに対してのみ付与できます。共有されているリソースのユーザーとグループに許可をカスケードするには、 AWS RAM リソース共有を使用する必要があります。

------
#### [ AWS マネジメントコンソール ]

**ユーザーおよびグループにアクセス許可を付与するには**

1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。

1. Lake Formation コンソールの **[許可]** で **[データレイクのアクセス許可]** を選択します。

1. **[付与]** を選択します。

1. **[データレイクのアクセス許可の付与]** ページで、**[IAM アイデンティティセンター]** のユーザーとグループを選択します。

1. **[追加]** を選択して、許可を付与するユーザーとグループを選択します。  
![\[IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-grant-perm.png)

1. **[ユーザーとグループの割り当て]** 画面で、許可を付与するユーザーやグループを選択します。

   **[割り当て]** を選択します。  
![\[IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)

1. 次に、許可を付与する方法を選択します。

   名前付きリソース方式を使用して許可を付与する手順については、「[名前付きリソース方式を使用したデータアクセス許可の付与](granting-cat-perms-named-resource.md)」を参照してください。

   LF タグを使用して許可を付与する手順については、「[LF-TBAC 方式を使用したデータレイク許可の付与](granting-catalog-perms-TBAC.md)」を参照してください。

1. 許可を付与するデータカタログリソースを選択します。

1. 付与するデータカタログのアクセス許可を選択します。

1. **[付与]** を選択します。

------
#### [ AWS CLI ]

次の例は、テーブルに対する `SELECT` 許可を IAM アイデンティティセンターユーザーに付与する方法を示しています。

```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserId> \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```

IAM アイデンティティセンターから `UserId` を取得するには、「IAM アイデンティティセンター API リファレンス」で [GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) オペレーションを参照してください。

------