翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ハイブリッドアクセスモードを使用した AWS Glue リソースの共有 既存の Data Catalog ユーザーの IAM AWS アカウント ベースのアクセスを中断することなく、別の AWS アカウント または別の のプリンシパルとデータを共有します。 シナリオの説明 - プロデューサーアカウントには、Amazon S3 の IAM プリンシパルポリシーと AWS Glue アクションを使用してアクセスが制御された Data Catalog データベースがあります。データベースのデータロケーションは、Lake Formation に登録されていません。`IAMAllowedPrincipals` グループには、デフォルトで、データベースとそのすべてのテーブルに対する `Super` アクセス許可があります。 **ハイブリッドアクセスモードでクロスアカウントの Lake Formation 許可を付与する** 1. **プロデューサーアカウントの設定** 1. `lakeformation:PutDataLakeSettings` IAM アクセス許可を持つロールを使用して Lake Formation コンソールにサインインします。 1. **[データカタログの設定]** ページに移動し、**[クロスアカウントバージョン設定]** で [`Version 4`] を選択します。 現在バージョン 1 または 2 を使用している場合は、バージョン 3 への更新について、「[クロスアカウントデータ共有のバージョン設定の更新](optimize-ram.md)」の手順を参照してください。 バージョン 3 から 4 にアップグレードする場合、アクセス許可ポリシーを変更する必要はありません。 1. ハイブリッドアクセスモードで共有する予定のデータベースまたはテーブルの Amazon S3 ロケーションを登録します。 1. 上記のステップにおいて、ハイブリッドアクセスモードでデータロケーションを登録したデータベースとテーブルに、`IAMAllowedPrincipals` グループに対する `Super` 許可があることを確認します。 1. Lake Formation のアクセス許可を AWS 組織、組織単位 (OUs) に付与するか、別のアカウントの IAM プリンシパルに直接付与します。 1. IAM プリンシパルに直接許可を付与する場合は、コンシューマーアカウントからプリンシパルにオプトインし、**[Lake Formation 許可をすぐに有効にする]** オプションを有効にして、ハイブリッドアクセスモードで Lake Formation 許可を適用します。 別の AWS アカウントにクロスアカウントアクセス許可を付与する場合、アカウントをオプトインすると、Lake Formation アクセス許可はそのアカウントの管理者にのみ適用されます。受信者アカウントのデータレイク管理者は、アクセス許可をカスケードし、アカウントのプリンシパルをオプトインして、ハイブリッドアクセスモードの共有リソースに Lake Formation 許可を適用する必要があります。 **[LF タグに一致するリソース]** オプションを選択してクロスアカウントアクセス許可を付与する場合は、まずアクセス許可の付与ステップを完了する必要があります。Lake Formation コンソールの左側のナビゲーションバーにある [アクセス許可] で **[ハイブリッドアクセスモード]** を選択することで、プリンシパルとリソースをハイブリッドアクセスモードに別のステップとしてオプトインできます。次に、**[追加]** を選択して、Lake Formation 許可を適用するリソースとプリンシパルを追加します。 1. **コンシューマーアカウントの設定** 1. Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) にデータレイク管理者としてサインインします。 1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) に移動し、リソース共有の招待を受け入れます。 AWS RAM コンソールの共有**タブ**には、アカウントと共有されているデータベースとテーブルが表示されます。 1. Lake Formation の共有データベースまたはテーブルへのリソースリンクを作成します。 1. リソースリンクの `Describe` 許可と (元の共有リソースの) `Grant on target` 許可を (コンシューマー) アカウントの IAM プリンシパルに付与します。 1. 共有されているデータベースまたはテーブルの Lake Formation 許可を、アカウントのプリンシパルに付与します。**[Lake Formation 許可をすぐに有効にする]** オプションを有効することで、プリンシパルとリソースをオプトインし、ハイブリッドアクセスモードで Lake Formation 許可を適用します。 1. Athena のサンプルクエリを実行して、プリンシパルの Lake Formation 許可をテストします。Amazon S3 および AWS Glue アクションの IAM プリンシパルポリシーを使用して、 AWS Glue ユーザーの既存のアクセスをテストします。 (オプション) データアクセス用の Amazon S3 バケットポリシーと、Lake Formation 許可を使用するように設定したプリンシパルの AWS Glue と Amazon S3 データアクセス用の IAM プリンシパルポリシーを削除します。