翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Glue リソースをハイブリッドリソースに変換する
<a name="hybrid-access-mode-new"></a>

以下のステップに従って Amazon S3 ロケーションをハイブリッドアクセスモードで登録し、既存の Data Catalog ユーザーのデータアクセスを中断することなく、新しい Lake Formation ユーザーをオンボーディングします。

シナリオの説明 – データロケーションは、Lake Formation に登録されていません。Data Catalog データベースとテーブルへのユーザーのアクセスは、Amazon S3 および AWS Glue アクションの IAM アクセス許可ポリシーによって決定されます。
 デフォルトでは、この `IAMAllowedPrincipals` グループにはデータベース内のすべてのテーブルに対する `Super` 許可があります。

**Lake Formation に登録されていないデータロケーションのハイブリッドアクセスモードを有効にするには**

1. 

**Amazon S3 ロケーションを登録して、ハイブリッドアクセスモードを有効にします。**

------
#### [ Console ]

   1. [Lake Formation コンソール](https://console.aws.amazon.com/lakeformation/)にデータレイク管理者としてサインインします。

   1. ナビゲーションペインで、**[管理]** の **[データレイクのロケーション]** を選択します。

   1. **[Register location]** (ロケーションを登録) を選択します。  
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. **[ロケーションを登録]** ウィンドウで、Lake Formation に登録する **[Amazon S3]** パスを選択します。

   1. **[IAM ロール]** で、`AWSServiceRoleForLakeFormationDataAccess` サービスリンクロール (デフォルト)、または「[ロケーションの登録に使用されるロールの要件](registration-role.md)」の要件を満たすカスタム IAM ロールを選択します。

   1. **[ハイブリッドアクセスモード]** を選択すると、登録されたロケーションを指すオプトインプリンシパルと Data Catalog データベースおよびテーブルに、きめ細かい Lake Formation アクセスコントロールポリシーが適用されます。


      Lake Formation を選択すると、Lake Formation は登録されたロケーションへのアクセスリクエストを承認できるようになります。


   1. **[Register location]** (ロケーションを登録) を選択します。

------
#### [ AWS CLI ]

   次の例では、HybridAccessEnabled:true/false と設定して、Lake Formation にデータロケーションを登録しています。`HybridAccessEnabled` パラメータのデフォルト値は false です。Amazon S3 パス、ロール名、 AWS アカウント ID を有効な値に置き換えます。

   ```
   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**ハイブリッドアクセスモードでリソースに Lake Formation 許可を使用するようにアクセス許可を付与し、プリンシパルをオプトインする**

   ハイブリッドアクセスモードでプリンシパルとリソースをオプトインする前に、ハイブリッドアクセスモードで Lake Formation に登録された場所があるデータベースとテーブルに`IAMAllowedPrincipals`、 `Super`または グループの`All`アクセス許可が存在することを確認します。
**注記**  
データベース内の `All tables` に `IAMAllowedPrincipals` グループアクセス許可を付与することはできません。ドロップダウンメニューから各テーブルを個別に選択し、アクセス許可を付与する必要があります。また、データベースに新しいテーブルを作成するときは、**[データカタログの設定]** で [`Use only IAM access control for new tables in new databases`] を選択できます。このオプションでは、データベース内に新しいテーブルを作成すると、自動的に `IAMAllowedPrincipals` グループに `Super` 許可が付与されます。

------
#### [ Console ]

   1. Lake Formation コンソール**のデータカタログ**で、**カタログ**、**データベース**、または**テーブル**を選択します。

   1. リストからカタログ、データベース、またはテーブルを選択し、**アクション**メニューから**付与**を選択します。

   1. プリンシパルを選択し、名前付きリソース方式または LF タグを使用して、データベース、テーブル、および列に対するアクセス許可を付与します。

      または、**データアクセス許可**を選択し、リストからアクセス許可を付与するプリンシパルを選択し、**付与**を選択します。

      データアクセス許可の付与に関する詳細については、「[データカタログリソースに対するアクセス許可の付与](granting-catalog-permissions.md)」を参照してください。
**注記**  
プリンシパルにテーブル作成のアクセス許可を付与する場合は、プリンシパルにデータロケーション許可 (`DATA_LOCATION_ACCESS`) を付与する必要もあります。このアクセス許可はテーブルの更新には必要ありません。  
詳細については、「[データロケーション許可の付与](granting-location-permissions.md)」を参照してください。

   1. **[名前付きリソース方式]** を使用してアクセス許可を付与する場合、プリンシパルとリソースをオプトインするオプションが **[データ許可の付与]** ページの下部に表示されます。

      プリンシパルとリソースの Lake Formation 許可を有効にするには、**[Lake Formation 許可をすぐに有効にする]** を選択します。  
![\[Data Catalog リソースのハイブリッドアクセスモードを選択するオプション。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. **[付与]** を選択します。

       データロケーションを指しているテーブル A のプリンシパル A をオプトインした場合、データロケーションがハイブリッドモードで登録されていれば、プリンシパル A は Lake Formation 許可を使用してこのテーブルのロケーションにアクセスできます。

------
#### [ AWS CLI ]

   以下の例では、ハイブリッドアクセスモードでプリンシパルとテーブルをオプトインしています。ロール名、 AWS アカウント ID、データベース名、およびテーブル名を有効な値に置き換えます。

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }
   ```

------

   1. アクセス許可を付与するために LF タグを選択した場合は、別のステップで Lake Formation 許可を使用するようにプリンシパルをオプトインできます。これを行うには、左側のナビゲーションバーの **[アクセス許可]** で **[ハイブリッドアクセスモード]** を選択します。

   1.  **[ハイブリッドアクセスモード]** ページの下部にある **[追加]** を選択して、リソースとプリンシパルをハイブリッドアクセスモードに追加します。

   1.  **リソースとプリンシパルの追加**ページで、ハイブリッドアクセスモードで登録されているカタログ、データベース、テーブルを選択します。

      アクセスを許可するデータベースで、`All tables` を選択できます。  
![\[ハイブリッドアクセスモードでカタログ、データベース、テーブルを追加するインターフェイス。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. ハイブリッドアクセスモードで Lake Formation アクセス許可を使用するようにオプトインするプリンシパルを選択します。
      +  **プリンシパル** – IAM ユーザーとロールは、同じアカウントまたは別のアカウントで選択できます。SAML ユーザーとグループを選択することもできます。
      + **属性** – 属性を選択して、属性に基づいてアクセス許可を付与します。  
![\[属性式を使用してプリンシパルとリソースを追加するインターフェイス。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + キーと値のペアを入力して、属性に基づいて権限を作成します。コンソールで Cedar ポリシー式を確認します。Cedar の詳細については、「[Cedar とは」を参照してください。\$1 Cedar Policy Language Reference GuideLink](https://docs.cedarpolicy.com/) を参照してください。
      + **[Add]** (追加) を選択します。

        属性が一致するすべての IAM ロール/ユーザーにアクセス権が付与されます。

   1. **[Add]** (追加) を選択します。