翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudTrail ログへの IAM アイデンティティセンターのユーザーコンテキストの追加
<a name="identity-center-ct-logs"></a>

Lake Formation では、[認証情報の供給](using-cred-vending.md)を使用して Amazon S3 データへの一時的なアクセスを提供します。統合された分析サービスに IAM アイデンティティセンターユーザーがクエリを送信した場合、デフォルトで CloudTrail ログには、サービスが短期間のアクセスを提供するために引き受けた IAM ロールのみが記録されます。ユーザー定義ロールを使用して Amazon S3 データロケーションを Lake Formation に登録すると、CloudTrail イベントに IAM アイデンティティセンターユーザーのコンテキストを含めるようにオプトインし、リソースにアクセスするユーザーを追跡できます。

**重要**  
オブジェクトレベルの Amazon S3 API リクエストを CloudTrail に含めるには、Amazon S3 バケットとオブジェクトの CloudTrail イベントログを有効にする必要があります。詳細については、「Amazon S3 ユーザーガイド」の「[S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)」を参照してください。

**ユーザー定義ロールを使用して登録されたデータレイクロケーションで認証情報供給の監査を有効にするには**

1. Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) にサインインします。

1. 左側のナビゲーションで、**[管理]** を展開し、**[データカタログの設定]** を選択します。

1. **[拡張監査]** で、**[提供されたコンテキストを伝播]** を選択します。

1. **[保存]** を選択します。

 拡張監査オプションは、[PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) オペレーションで `Parameters` 属性を設定することでも有効にできます。デフォルトでは、`SET_CONTEXT"` パラメータの値は「true」に設定されます。

```
{
    "DataLakeSettings": {
        "Parameters": {"SET_CONTEXT": "true"},
    }
}
```

以下は、拡張監査オプションを有効にした場合の CloudTrail イベントからの抜粋です。このログには、IAM アイデンティティセンターユーザーのセッションコンテキストと、Amazon S3 データロケーションにアクセスするために Lake Formation によって引き受けられたユーザー定義の IAM ロールの両方が含まれています。以下の抜粋の `onBehalfOf` パラメーターを参照してください。

```
{
         "eventVersion":"1.09",
         "userIdentity":{
            "type":"AssumedRole",
            "principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
            "arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",           
            "accountId":"123456789012",
            "accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
            "sessionContext":{
               "sessionIssuer":{
                  "type":"Role",
                  "principalId":"AROAW7F7MOX4OYE6FLIFN",
                  "arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
                  "accountId":"123456789012",
                  "userName":"accessGrantsTestRole"
               },
               "attributes":{
                  "creationDate":"2023-08-09T17:24:02Z",
                  "mfaAuthenticated":"false"
               }
            },
            "onBehalfOf":{
                "userId": "<identityStoreUserId>",
                "identityStoreArn": "arn:aws:identitystore::<restOfIdentityStoreArn>"
            }
         },
         "eventTime":"2023-08-09T17:25:43Z",
         "eventSource":"s3.amazonaws.com",
         "eventName":"GetObject",
    ....
```