翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ハイブリッドアクセスモード
AWS Lake Formation *ハイブリッドアクセスモード*は、同じ AWS Glue Data Catalog オブジェクトへの 2 つのアクセス許可パスをサポートします。
最初のパスでは、Lake Formation を使用して特定のプリンシパルを選択し、オプトインしてカタログ、データベース、テーブル、ビューにアクセスするための Lake Formation アクセス許可を付与できます。2 番目のパスでは、他のすべてのプリンシパルが Amazon S3 および AWS Glue アクションのデフォルトの IAM プリンシパルポリシーを介してこれらのリソースにアクセスできます。
Amazon S3 ロケーションを Lake Formation に登録する場合、そのロケーションのすべてのリソースに Lake Formation 許可を適用するか、ハイブリッドアクセスモードを使用するかを選択できます。ハイブリッドアクセスモードは、デフォルトで、`CREATE_TABLE`、`CREATE_PARTITION`、および `UPDATE_TABLE` 許可のみが適用されます。Amazon S3 ロケーションがハイブリッドモードの場合、そのロケーションの Data Catalog オブジェクトのプリンシパルをオプトインすることで、Lake Formation アクセス許可を有効にできます。
これは、Lake Formation アクセス許可と IAM アクセス許可の両方が、そのデータへのアクセスを制御できることを意味します。つまり、オプトインされたプリンシパルはデータにアクセスするために Lake Formation アクセス許可と IAM アクセス許可の両方を必要とし、non-opted-inプリンシパルは引き続き IAM アクセス許可のみを使用してデータにアクセスします。
したがって、ハイブリッドアクセスモードでは、他の既存のユーザーやワークロードのアクセスを中断することなく、特定のユーザーのセットに対してデータカタログ内のカタログ、データベース、およびテーブルに対して Lake Formation を選択的に有効にする柔軟性が得られます。
考慮事項と制限事項については、「[ハイブリッドアクセスモードには次の考慮事項と制限事項が適用されます。](notes-hybrid.md)」を参照してください。用語と定義
アクセス許可の設定方法に基づく Data Catalog リソースの定義は次のとおりです。
Lake Formation のリソース
Lake Formation に登録されているリソース。ユーザーがリソースにアクセスするには、Lake Formation 許可が必要です。
AWS Glue リソース
Lake Formation に登録されていないリソース。リソースに `IAMAllowedPrincipals` グループのアクセス許可があるため、リソースにアクセスするには IAM 許可のみが必要です。Lake Formation 許可は適用されません。
`IAMAllowedPrincipals` グループのアクセス許可の詳細については、「[メタデータアクセス許可](metadata-permissions.md)」を参照してください。
ハイブリッドリソース
ハイブリッドアクセスモードで登録されたリソース。リソースにアクセスするユーザーに基づいて、リソースは Lake Formation リソースと AWS Glue リソースの間で動的に切り替わります。
## 一般的なハイブリッドアクセスモードのユースケース
ハイブリッドアクセスモードを使用すると、単一アカウントおよびクロスアカウントのデータ共有シナリオでアクセスを許可できます。
**単一アカウントのシナリオ**
+ ** AWS Glue リソースをハイブリッドリソースに変換**する – このシナリオでは、現在 Lake Formation を使用していませんが、Data Catalog オブジェクトに Lake Formation アクセス許可を採用したいと考えています。Amazon S3 ロケーションをハイブリッドアクセスモードで登録すると、そのロケーションを指す特定のデータベースとテーブルをオプトインするユーザーに、Lake Formation 許可を付与できます。
+ **Lake Formation リソースをハイブリッドリソースに変換する** - 現在、Lake Formation アクセス許可を使用してデータカタログデータベースへのアクセスを制御していますが、既存の Lake Formation アクセス許可を中断せずに、Amazon S3 と AWS Glue の IAM アクセス許可を使用して新しいプリンシパルにアクセスを許可したいと考えています。
データロケーション登録をハイブリッドアクセスモードに更新すると、新しいプリンシパルは、既存のユーザーの Lake Formation 許可を中断することなく、IAM 許可ポリシーを使用して Amazon S3 ロケーションを指す Data Catalog データベースにアクセスできます。
データロケーション登録を更新してハイブリッドアクセスモードを有効にする前に、まず、現在 Lake Formation 許可でリソースにアクセスしているプリンシパルをオプトインする必要があります。
これは、現在のワークフローが中断される可能性を防ぐためです。
また、データベース内のテーブルに対する `Super` 許可を `IAMAllowedPrincipal` グループに付与する必要があります。
**クロスアカウントデータ共有のシナリオ**
+ **ハイブリッドアクセスモードを使用して AWS Glue リソースを共有する** – このシナリオでは、プロデューサーアカウントには、Amazon S3 および AWS Glue アクションの IAM アクセス許可ポリシーを使用して、コンシューマーアカウントと現在共有されているデータベースにテーブルがあります。データベースのデータロケーションは、Lake Formation に登録されていません。
ハイブリッドアクセスモードでデータロケーションを登録する前に、**[クロスアカウントバージョン設定]** をバージョン 4 に更新する必要があります。バージョン 4 では、`IAMAllowedPrincipal`グループにリソースに対する AWS RAM アクセス許可がある場合に、クロスアカウント共有に必要な新しい`Super`アクセス許可ポリシーが提供されます。`IAMAllowedPrincipal` グループアクセス許可のあるリソースについては、外部アカウントに Lake Formation 許可を付与し、そのアカウントが Lake Formation 許可を使用するようにオプトインできます。受信者アカウントのデータレイク管理者は、アカウント内のプリンシパルに Lake Formation 許可を付与し、プリンシパルをオプトインして Lake Formation 許可を適用できます。
+ **ハイブリッドアクセスモードを使用して Lake Formation リソースを共有する** – 現在、プロデューサーアカウントのデータベース内のテーブルは、Lake Formation 許可を適用するコンシューマーアカウントと共有されています。データベースのデータロケーションは、Lake Formation に登録されています。
この場合、Amazon S3 ロケーションの登録をハイブリッドアクセスモードに更新し、Amazon S3 バケットポリシーと Data Catalog リソースポリシーを使用して Amazon S3 のデータと Data Catalog のメタデータをコンシューマーアカウントのプリンシパルと共有できます。Amazon S3 ロケーションの登録を更新する前に、既存の Lake Formation 許可を再度付与し、プリンシパルをオプトインする必要があります。また、データベース内のテーブルに対する `Super` 許可を `IAMAllowedPrincipals` グループに付与する必要があります。
**Topics**
+ [一般的なハイブリッドアクセスモードのユースケース](#hybrid-access-mode-use-cases)
+ [ハイブリッドアクセスモードの仕組み](hybrid-access-workflow.md)
+ [ハイブリッドアクセスモードの設定 - 一般的なシナリオ](hybrid-access-setup.md)
+ [ハイブリッドアクセスモードからプリンシパルとリソースを削除する](delete-hybrid-access.md)
+ [ハイブリッドアクセスモードでプリンシパルとリソースを表示する](view-hybrid-access.md)
+ [その他のリソース](additional-resources-hybrid.md)