翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM アイデンティティセンターの統合
を使用すると AWS IAM アイデンティティセンター、ID プロバイダー (IdPs) に接続し、 AWS 分析サービス全体でユーザーとグループのアクセスを一元管理できます。Okta、Ping、Microsoft Entra ID (以前は Azure Active Directory と呼ばれていました) などの ID プロバイダーを IAM アイデンティティセンターと統合すると、組織内のユーザーは、シングルサインオンエクスペリエンスを使用してデータにアクセスできるようになります。IAM アイデンティティセンターは、追加のサードパーティ ID プロバイダーとの接続もサポートしています。
詳細については、「 AWS IAM アイデンティティセンター ユーザーガイド[」の「サポートされている ID プロバイダー](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)」を参照してください。
IAM Identity Center では、 を有効なアプリケーション AWS Lake Formation として設定でき、データレイク管理者は AWS Glue Data Catalog リソースの承認されたユーザーとグループにきめ細かなアクセス許可を付与できます。
組織のユーザーは、組織の ID プロバイダーを使用してアイデンティティセンター対応アプリケーションにサインインし、Lake Formation 許可を適用してデータセットにクエリを実行できます。この統合により、複数の IAM ロールを作成することなく、 AWS サービスへのアクセスを管理できます。
[信頼できる ID 伝達](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html)は、接続された の管理者がサービスデータへのアクセスを許可および監査するために AWS のサービス 使用できる AWS IAM アイデンティティセンター 機能です。このデータへのアクセスは、グループの関連付けなどのユーザー属性に基づいています。信頼できる ID 伝達を設定するには、接続されている の管理者 AWS のサービス と IAM Identity Center の管理者間のコラボレーションが必要です。詳細については、「[Prerequisites and considerations](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)」を参照してください。
制限事項については、「[IAM アイデンティティセンター 統合の制限事項](identity-center-lf-notes.md)」を参照してください。
**Topics**
+ [IAM アイデンティティセンターを Lake Formation と統合するための前提条件](prerequisites-identity-center.md)
+ [Lake Formation と IAM アイデンティティセンターとの接続](connect-lf-identity-center.md)
+ [IAM アイデンティティセンター統合の更新](update-lf-identity-center-connection.md)
+ [IAM アイデンティティセンターとの Lake Formation 統合の削除](delete-lf-identity-center-connection.md)
+ [ユーザーおよびグループへのアクセス許可の付与](grant-permissions-sso.md)
+ [CloudTrail ログへの IAM アイデンティティセンターのユーザーコンテキストの追加](identity-center-ct-logs.md)
# IAM アイデンティティセンターを Lake Formation と統合するための前提条件
IAM アイデンティティセンターを Lake Formation と統合するための前提条件は次のとおりです。
1. IAM アイデンティティセンターを有効にする — IAM アイデンティティセンターを有効にすることは、認証と ID の伝播をサポートするための前提条件です。
1. ID ソースを選択する — IAM アイデンティティセンターを有効にしたら、ユーザーとグループを管理する ID プロバイダーが必要になります。組み込まれているアイデンティティセンターディレクトリをアイデンティティソースとして使用することも、Microsoft Entra ID や Okta などの外部 IdP を使用することもできます。
詳細については、「 AWS IAM アイデンティティセンター ユーザーガイド」の[「ID ソースの管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)」および[「外部 ID プロバイダーへの接続](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)」を参照してください。
1. IAM ロールを作成する — IAM アイデンティティセンター接続を作成するロールには、以下のインラインポリシーのように、Lake Formation と IAM アイデンティティセンターでアプリケーション設定を作成および変更するアクセス許可が必要です。
IAM のベストプラクティスに従ってアクセス許可を追加する必要があります。特定のアクセス許可については、以降の手順で詳しく説明します。詳細については、「[IAM アイデンティティセンターの開始方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:CreateLakeFormationIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
Data Catalog リソースを外部 AWS アカウント または組織と共有する場合は、リソース共有を作成するための AWS Resource Access Manager (AWS RAM) アクセス許可が必要です。リソースの共有に必要なアクセス許可の詳細については、「[クロスアカウントデータ共有の一般的な要件](cross-account-prereqs.md)」を参照してください。
以下のインラインポリシーには、Lake Formation と IAM アイデンティティセンターの統合のプロパティを表示、更新、削除するために必要な特定の権限が含まれています。
+ 以下のインラインポリシーを使用して、IAM ロールで Lake Formation と IAM アイデンティティセンターの統合を表示できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 以下のインラインポリシーを使用して、IAM ロールで Lake Formation と IAM アイデンティティセンターの統合を更新できるようにします。このポリシーには、外部アカウントとリソースを共有するために必要なオプションのアクセス許可も含まれています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication",
"sso:UpdateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 以下のインラインポリシーを使用して、IAM ロールで Lake Formation と IAM アイデンティティセンターの統合を削除できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ IAM アイデンティティセンターのユーザーとグループにデータレイクのアクセス許可を付与または取り消すために必要な IAM アクセス許可については、「[Lake Formation 許可の付与と取り消しに必要な IAM 許可](required-permissions-for-grant.md)」を参照してください。
*アクセス許可の説明*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration` – Lake Formation IdC 設定を作成します。
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration` – 既存の IdC 設定について説明します。
+ `lakeformation:DeleteLakeFormationIdentityCenterConfiguration` – 既存のLake Formation IdC 設定を削除できます。
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration` – 既存のLake Formation 設定を変更するために使用されます。
+ `sso:CreateApplication` – IAM アイデンティティセンターのアプリケーションを作成するために使用されます。
+ `sso:DeleteApplication` – IAM アイデンティティセンターのアプリケーションを削除するために使用されます。
+ `sso:UpdateApplication` – IAM アイデンティティセンターのアプリケーションの更新に使用されます。
+ `sso:PutApplicationGrant` – 信頼できるトークン発行者の情報を変更するために使用されます。
+ `sso:PutApplicationAuthenticationMethod` – Lake Formation 認証アクセスを許可します。
+ `sso:GetApplicationGrant` – 信頼できるトークン発行者の情報を一覧表示するために使用されます。
+ `sso:DeleteApplicationGrant` – 信頼できるトークン発行者の情報を削除します。
+ `sso:PutApplicationAccessScope` – アプリケーションの IAM アイデンティティセンターアクセススコープの承認済みターゲットのリストを追加または更新します。
+ `sso:PutApplicationAssignmentConfiguration` – ユーザーがアプリケーションにアクセスする方法を設定するために使用されます。
# Lake Formation と IAM アイデンティティセンターとの接続
IAM アイデンティティセンターを使用して ID を管理し、Lake Formation を使用してデータカタログリソースへのアクセスを許可する前に、次の手順を完了する必要があります。Lake Formation コンソールまたは AWS CLIを使用して IAM アイデンティティセンター統合を作成できます。
------
#### [ AWS マネジメントコンソール ]
**Lake Formation を IAM アイデンティティセンターと接続するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。
1. 左側のナビゲーションペインで、**[IAM アイデンティティセンターの統合]** を選択します。
![\[IAM アイデンティティセンターの統合画面とアイデンティティセンター ARN\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-integ.png)
1. (オプション) 1 つ以上の AWS アカウント IDs、組織 IDs、組織単位 IDs を入力して、外部アカウントが Data Catalog リソースにアクセスできるようにします。IAM アイデンティティセンターのユーザーまたはグループが Lake Formation で管理されているデータカタログリソースにアクセスしようとすると、Lake Formation は IAM ロールを引き受けてメタデータアクセスを認可します。IAM ロールがリソースポリシーと AWS Glue リソース AWS RAM 共有を持たない外部アカウントに属している場合、IAM アイデンティティセンターのユーザーとグループは、Lake Formation アクセス許可があってもリソースにアクセスできません。
Lake Formation は AWS Resource Access Manager 、 (AWS RAM) サービスを使用して外部アカウントおよび組織とリソースを共有します。 は、リソース共有を承認または拒否するための招待を被付与者アカウント AWS RAM に送信します。
詳細については、「[からのリソース共有の招待の承諾 AWS RAM](accepting-ram-invite.md)」を参照してください。
**注記**
Lake Formation は、データカタログリソースへのアクセスのために、外部アカウントの IAM ロールが IAM アイデンティティセンターのユーザーとグループに代わってキャリアロールとして動作することを許可しますが、アクセス許可を付与できるのは、所有アカウント内のデータカタログリソースに対してだけです。外部アカウント内のデータカタログリソースに対するアクセス許可を IAM アイデンティティセンターのユーザーとグループに付与しようとすると、Lake Formation から「Cross-account grants are not supported for the principal」というエラーがスローされます。
1. (オプション) **[Lake Formation 統合の作成]** 画面で、Lake Formation に登録された Amazon S3 ロケーションにあるデータにアクセスできるサードパーティアプリケーションの ARN を指定します。Lake Formation は、有効なアクセス許可に基づいて、スコープダウンされた一時的な認証情報を AWS STS トークンの形式で登録された Amazon S3 ロケーションに提供し、承認されたアプリケーションがユーザーに代わってデータにアクセスできるようにします。
1. (オプション) **Lake Formation 統合の作成**画面で、Trusted Identity Propagation の Amazon Redshift Connect チェックボックスをオンにして、IDC を介した Amazon Redshift フェデレーティッドアクセス許可の検出を有効にします。Lake Formation は、有効なアクセス許可に基づいて ID をダウンストリームに伝播するため、承認されたアプリケーションはユーザーに代わってデータにアクセスできます。
1. **[送信]** を選択します。
Lake Formation 管理者が手順を完了して統合を作成すると、IAM アイデンティティセンターのプロパティが Lake Formation コンソールに表示されます。上記のタスクを完了すると、Lake Formation は IAM アイデンティティセンター対応アプリケーションになります。コンソールのプロパティには統合ステータスが含まれます。統合が完了すると、統合ステータスに `Success` と表示されます。このステータスは IAM アイデンティティセンターの設定が完了したかどうかを示します。
------
#### [ AWS CLI ]
+ 次の例は、IAM アイデンティティセンターとの Lake Formation 統合を作成する方法を示しています。アプリケーションの `Status` (`ENABLED`、`DISABLED`) を指定することもできます。
```
aws lakeformation create-lake-formation-identity-center-configuration \
--catalog-id <123456789012> \
--instance-arn \
--share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
{"DataLakePrincipalIdentifier": "<555555555555>"}]' \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'
```
+ 次の例は、IAM アイデンティティセンターとの Lake Formation 統合を表示する方法を示しています。
```
aws lakeformation describe-lake-formation-identity-center-configuration
--catalog-id <123456789012>
```
+ 次の例は、`Redshift:Connect`認可を有効にする方法を示しています。認可は ENABLED または DISABLED にすることができます。
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
+ `describe-lake-formation-identity-center-configuration` コマンドを使用して、レイクフォーメーションアイデンティティセンターアプリケーションを記述します。`Redshift:Connect`サービス統合は、クロスサービスおよびクラスター間の IdC ID の伝播に不可欠です。
```
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
```
レスポンス:
```
{
"CatalogId": "CATALOG ID",
"InstanceArn": "INSTANCE ARN",
"ApplicationArn": "APPLICATION ARN",
"ShareRecipients": [],
"ServiceIntegrations": [
{
"Redshift": [
{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}
]
}
]
}
```
------
## 複数の で IAM Identity Center を使用する AWS リージョン
Lake Formation は、複数の で IAM Identity Center をサポートしています AWS リージョン。IAM アイデンティティセンターをプライマリリージョンから追加のリージョン AWS リージョン に拡張して、ユーザーと信頼性に近接することでパフォーマンスを向上させることができます。IAM アイデンティティセンターに新しいリージョンが追加されると、プライマリリージョンの ID をレプリケートすることなく、新しいリージョンに Lake Formation アイデンティティセンターアプリケーションを作成できます。複数のリージョンで IAM アイデンティティセンターの使用を開始する方法の詳細については、[IAM アイデンティティセンターユーザーガイドの「マルチリージョン](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *IAM アイデンティティセンター*」を参照してください。
# IAM アイデンティティセンター統合の更新
接続を作成したら、IAM アイデンティティセンター統合のサードパーティのアプリケーションを追加して Lake Formation と統合し、ユーザーに代わって Amazon S3 データにアクセスできるようになります。既存のアプリケーションを IAM アイデンティティセンター統合から削除することもできます。Lake Formation コンソール、および [UpdateLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_UpdateLakeFormationIdentityCenterConfiguration.html) オペレーションを使用して AWS CLI、アプリケーションを追加または削除できます。
**注記**
IAM アイデンティティセンター統合を作成した後は、インスタンスの `ARN` を更新することはできません。
------
#### [ AWS マネジメントコンソール ]
**Lake Formation との既存の IAM アイデンティティセンターの接続を更新するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。
1. 左側のナビゲーションペインで、**[IAM アイデンティティセンターの統合]** を選択します。
1. **[IAM アイデンティティセンターの統合]** ページで **[追加]** を選択します。
1. 1 つ以上の AWS アカウント IDs、組織 IDs、組織単位 IDs を入力して、外部アカウントが Data Catalog リソースにアクセスできるようにします。
1. **[アプリケーションの追加]** 画面で、Lake Formation と統合するサードパーティアプリケーションのアプリケーション ID を入力します。
1. **[追加]** を選択します。
1. (Optioanlly) **IAM Identity Center 統合**ページで、Amazon Redshift 接続の信頼できる ID 伝達を有効にするか、無効にすることができます。Lake Formation は、有効なアクセス許可に基づいて ID をダウンストリームに伝播するため、承認されたアプリケーションはユーザーに代わってデータにアクセスできます。
------
#### [ AWS CLI ]
次の AWS CLI コマンドを実行して、IAM Identity Center 統合用のサードパーティーアプリケーションを追加または削除できます。外部フィルタリングステータスを `ENABLED` に設定すると、IAM アイデンティティセンターで、Lake Formation によって管理されるデータにアクセスするためのサードパーティのアプリケーションの ID 管理を提供できるようになります。また、アプリケーションステータスを設定することで、IAM アイデンティティセンター統合を有効または無効にすることもできます。
```
aws lakeformation update-lake-formation-identity-center-configuration \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'\
--share-recipients '[{"DataLakePrincipalIdentifier": "<444455556666>"}
{"DataLakePrincipalIdentifier": "<777788889999>"}]' \
--application-status ENABLED
```
既存の LF IDC アプリケーションがあり、`Redshift:Connect`認可を追加する場合は、以下を使用して Lake Formation IDC アプリケーションを更新できます。認可は ENABLED または DISABLED にすることができます。
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
# IAM アイデンティティセンターとの Lake Formation 統合の削除
既存の IAM Identity Center 統合を削除する場合は、Lake Formation コンソール AWS CLI、または [DeleteLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DeleteLakeFormationIdentityCenterConfiguration.html) オペレーションを使用して削除できます。
------
#### [ AWS マネジメントコンソール ]
**Lake Formation との既存の IAM アイデンティティセンターの接続を削除するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。
1. 左側のナビゲーションペインで、**[IAM アイデンティティセンターの統合]** を選択します。
1. **[IAM アイデンティティセンターの統合]** ページで **[削除]** を選択します。
1. **[統合の確認]** 画面でアクションを確認し、**[削除]** を選択します。
------
#### [ AWS CLI ]
IAM Identity Center の統合を削除するには、次の AWS CLI コマンドを実行します。
```
aws lakeformation delete-lake-formation-identity-center-configuration \
--catalog-id <123456789012>
```
------
# ユーザーおよびグループへのアクセス許可の付与
データレイク管理者は、データカタログリソース (データベース、テーブル、ビュー) について IAM アイデンティティセンターのユーザーとグループにアクセス許可を付与できます。これにより、データに簡単にアクセスできるようになります。データレイクのアクセス許可を付与または取り消すには、付与者に次の IAM アイデンティティセンターアクションに対するアクセス許可が必要です。
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)
許可は、Lake Formation コンソール、API、または AWS CLIを使用して付与することができます。
許可の付与の詳細については、「[データカタログリソースに対するアクセス許可の付与](granting-catalog-permissions.md)」を参照してください。
**注記**
アクセス許可は、アカウント内のリソースに対してのみ付与できます。共有されているリソースのユーザーとグループに許可をカスケードするには、 AWS RAM リソース共有を使用する必要があります。
------
#### [ AWS マネジメントコンソール ]
**ユーザーおよびグループにアクセス許可を付与するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で Lake Formation コンソールを開きます。
1. Lake Formation コンソールの **[許可]** で **[データレイクのアクセス許可]** を選択します。
1. **[付与]** を選択します。
1. **[データレイクのアクセス許可の付与]** ページで、**[IAM アイデンティティセンター]** のユーザーとグループを選択します。
1. **[追加]** を選択して、許可を付与するユーザーとグループを選択します。
![\[IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-grant-perm.png)
1. **[ユーザーとグループの割り当て]** 画面で、許可を付与するユーザーやグループを選択します。
**[割り当て]** を選択します。
![\[IAM アイデンティティセンターセンターのユーザーとグループが選択された [データレイクのアクセス許可の付与] 画面。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)
1. 次に、許可を付与する方法を選択します。
名前付きリソース方式を使用して許可を付与する手順については、「[名前付きリソース方式を使用したデータアクセス許可の付与](granting-cat-perms-named-resource.md)」を参照してください。
LF タグを使用して許可を付与する手順については、「[LF-TBAC 方式を使用したデータレイク許可の付与](granting-catalog-perms-TBAC.md)」を参照してください。
1. 許可を付与するデータカタログリソースを選択します。
1. 付与するデータカタログのアクセス許可を選択します。
1. **[付与]** を選択します。
------
#### [ AWS CLI ]
次の例は、テーブルに対する `SELECT` 許可を IAM アイデンティティセンターユーザーに付与する方法を示しています。
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
IAM アイデンティティセンターから `UserId` を取得するには、「IAM アイデンティティセンター API リファレンス」で [GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) オペレーションを参照してください。
------
# CloudTrail ログへの IAM アイデンティティセンターのユーザーコンテキストの追加
Lake Formation では、[認証情報の供給](using-cred-vending.md)を使用して Amazon S3 データへの一時的なアクセスを提供します。統合された分析サービスに IAM アイデンティティセンターユーザーがクエリを送信した場合、デフォルトで CloudTrail ログには、サービスが短期間のアクセスを提供するために引き受けた IAM ロールのみが記録されます。ユーザー定義ロールを使用して Amazon S3 データロケーションを Lake Formation に登録すると、CloudTrail イベントに IAM アイデンティティセンターユーザーのコンテキストを含めるようにオプトインし、リソースにアクセスするユーザーを追跡できます。
**重要**
オブジェクトレベルの Amazon S3 API リクエストを CloudTrail に含めるには、Amazon S3 バケットとオブジェクトの CloudTrail イベントログを有効にする必要があります。詳細については、「Amazon S3 ユーザーガイド」の「[S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)」を参照してください。
**ユーザー定義ロールを使用して登録されたデータレイクロケーションで認証情報供給の監査を有効にするには**
1. Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) にサインインします。
1. 左側のナビゲーションで、**[管理]** を展開し、**[データカタログの設定]** を選択します。
1. **[拡張監査]** で、**[提供されたコンテキストを伝播]** を選択します。
1. **[保存]** を選択します。
拡張監査オプションは、[PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) オペレーションで `Parameters` 属性を設定することでも有効にできます。デフォルトでは、`SET_CONTEXT"` パラメータの値は「true」に設定されます。
```
{
"DataLakeSettings": {
"Parameters": {"SET_CONTEXT": "true"},
}
}
```
以下は、拡張監査オプションを有効にした場合の CloudTrail イベントからの抜粋です。このログには、IAM アイデンティティセンターユーザーのセッションコンテキストと、Amazon S3 データロケーションにアクセスするために Lake Formation によって引き受けられたユーザー定義の IAM ロールの両方が含まれています。以下の抜粋の `onBehalfOf` パラメーターを参照してください。
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"accountId":"123456789012",
"accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAW7F7MOX4OYE6FLIFN",
"arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
"accountId":"123456789012",
"userName":"accessGrantsTestRole"
},
"attributes":{
"creationDate":"2023-08-09T17:24:02Z",
"mfaAuthenticated":"false"
}
},
"onBehalfOf":{
"userId": "",
"identityStoreArn": "arn:aws:identitystore::"
}
},
"eventTime":"2023-08-09T17:25:43Z",
"eventSource":"s3.amazonaws.com",
"eventName":"GetObject",
....
```