翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # データロケーション許可の付与 (外部アカウント) 外部 AWS アカウントまたは組織にデータロケーションのアクセス許可を付与するには、次の手順に従います。 許可は、Lake Formation コンソール、API、または AWS Command Line Interface (AWS CLI) を使用して付与することができます。 **[開始する前に]** クロスアカウントアクセスのすべての前提条件が満たされていることを確認します。詳細については、「[前提条件](cross-account-prereqs.md)」を参照してください。 ------ #### [ AWS マネジメントコンソール ] **データロケーション許可を付与する (外部アカウント、コンソール)** 1. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で AWS Lake Formation コンソールを開きます。データレイク管理者としてサインインします。 1. ナビゲーションペインの **[アクセス許可]** で、**[データのアクセス許可]** を選択し、**[付与]** を選択します。 1. **[Grant permissions]** (許可の付与) ダイアログボックスで、**[External account]** (外部アカウント) タイルを選択します。 1. 以下の情報を指定します。 + **AWS アカウント ID または AWS 組織 ID** には、有効な AWS アカウント番号、組織 IDs、または組織単位 IDsを入力します。 各 ID の後で **[Enter]** キーを押します。 組織 ID は、最初の「o-」と、その後に続く 10~32 個の小文字または数字で構成されています。 組織単位 ID は、最初の「ou-」と、その後に続く 4~32 個の小文字または数字で構成されています (OU が含まれるルートの ID)。この文字列の後には、2 番目の「-」(ハイフン) と 8~32 個の追加の小文字または数字が続きます。 + **[Storage locations]** (ストレージのロケーション) で **[Browse]** (参照) を選択して、Amazon Simple Storage Service (Amazon S3) ストレージロケーションを選択します。ロケーションは Lake Formation に登録されている必要があります。 ![\[アクセス許可を付与ダイアログでは、外部アカウントのラジオボタンが選択され、 AWS アカウントが指定され、ストレージの場所が指定されています。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/grant-location-dialog-external.png) 1. **[Grantable]** (付与可能) を選択します。 1. **[Grant]** (付与) を選択します。 ------ #### [ AWS CLI ] **データロケーションのアクセス許可を付与するには (外部アカウント、 AWS CLI)** + 外部 AWS アカウントにアクセス許可を付与するには、次のようなコマンドを入力します。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}' ``` このコマンドは、アカウント 1234-5678-9012 が所有する Amazon S3 ロケーション `s3://retail/transactions/2020q1` に対する grant オプション付きの `DATA_LOCATION_ACCESS` を、アカウント 1111-2222-3333 に付与します。 組織に許可を付与するには、以下のようなコマンドを入力します。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}' ``` このコマンドは、アカウント 1234-5678-9012 が所有する Amazon S3 ロケーション `s3://retail/transactions/2020q1` に対する grant オプション付きの `DATA_LOCATION_ACCESS` を、組織 `o-abcdefghijkl` に付与します。 外部 AWS アカウントのプリンシパルにアクセス許可を付与するには、次のようなコマンドを入力します。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}' ``` このコマンドは、アカウント 1234-5678-9012 が所有する Amazon S3 ロケーション `s3://retail/transactions/2020q1` のアカウント 1111-2222-3333 のプリンシパルに、`DATA_LOCATION_ACCESS` を付与します。 **Example** 以下の例は、`s3://retail` に対するデータロケーションのアクセス許可を、外部アカウントの `ALLIAMPrincipals` グループに付与します。 ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}' ``` ------ **以下も参照してください。** [Lake Formation 許可のリファレンス](lf-permissions-reference.md)