翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# セットアップ AWS Lake Formation
<a name="initial-lf-config"></a>

 以下のセクションでは、Lake Formation を初めて設定する場合について説明します。Lake Formation の使用を開始するにあたり、すべての設定事項が必要になるわけではありません。手順を使用して Lake Formation アクセス許可モデルを設定し、Amazon Simple Storage Service (Amazon S3) の既存の AWS Glue Data Catalog オブジェクトとデータの場所を管理できます。

1. [データレイク管理者を作成する](#create-data-lake-admin)

1. [デフォルトのアクセス許可モデルを変更する、またはハイブリッドアクセスモードを使用する](#setup-change-cat-settings)

1. [データレイク用の Amazon S3 ロケーションを設定する](#register-s3-location)

1. [Lake Formation ユーザーにアクセス許可を割り当てる](#permissions-lf-principal)

1. [IAM アイデンティティセンターの統合](identity-center-integration.md)

1. [(オプション) 外部データフィルタリング設定](#external-data-filter)

1. [(オプション) Data Catalog 暗号化キーへのアクセス権を付与する](#setup-encrypted-catalog)

1. [(オプション) ワークフロー用の IAM ロールを作成する](#iam-create-blueprint-role)

このセクションでは、Lake Formation リソースをセットアップする 2 つの異なる方法を示します。
+  AWS CloudFormation テンプレートの使用
+ Lake Formation コンソールの使用

 AWS コンソールを使用して Lake Formation を設定するには、「」を参照してください[データレイク管理者を作成する](#create-data-lake-admin)。

## CloudFormation テンプレートを使用して Lake Formation リソースをセットアップする
<a name="lf-setup-cfn"></a>
**注記**  
 CloudFormation スタックは、ステップ 2 と 5 を除き、上記のステップ 1～6 を実行します。Lake Formation コンソールから、手動で「[デフォルトのアクセス許可モデルを変更する、またはハイブリッドアクセスモードを使用する](#setup-change-cat-settings)」および「[IAM アイデンティティセンターの統合](identity-center-integration.md)」を実行してください。

1. 米国東部 (バージニア北部) リージョンの IAM 管理者として [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で AWS CloudFormation コンソールにサインインします。

1. [[スタックの起動]](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://lf-public.s3.amazonaws.com/cfn/SettingUpLf.yaml) を選択します。

1. **[Create Stack]** (スタックの作成) 画面で、**[Next]** (次へ) を選択します。

1. **[Stack name]** (スタック名) を入力します。

1. **[DatalakeAdminName]** と **[DatalakeAdminPassword]** に、データレイク管理者ユーザーとして自分のユーザーネームとパスワードを入力します。

1. **[DatalakeUser1Name]** と **[DatalakeUser1Password]** に、データレイクアナリストユーザーとして自分のユーザーネームとパスワードを入力します。

1. **[DataLakeBucketName]** に、作成する新しいバケットの名前を入力します。

1. [**次へ**] を選択します。

1. 次のページで、[`I acknowledge that CloudFormation might create IAM resources with custom names`] を選択し、**[次へ]** を選択します。

1. 最後のページの詳細を確認し、**IAM リソースを作成する AWS CloudFormation 可能性があることを確認します。**

1. **[作成]** を選択します。

   スタックの作成には、最大 2 分かかる場合があります。

**リソースをクリーンアップする**

 CloudFormation スタックリソースをクリーンアップする場合:

1. スタックが作成し、データレイクのロケーションとして登録した Amazon S3 バケットの登録を解除します。

1.  CloudFormation スタックを削除します。これにより、スタックによって作成されたすべてのリソースが削除されます。

## データレイク管理者を作成する
<a name="create-data-lake-admin"></a>

データレイク管理者は、最初はデータロケーションと Data Catalog リソースに対する Lake Formation アクセス許可を任意のプリンシパル AWS Identity and Access Management (自己を含む) に付与できる唯一の (IAM) ユーザーまたはロールです。データレイク管理者の能力に関する詳細については、「[黙示的な Lake Formation 許可](implicit-permissions.md)」を参照してください。Lake Formation はデフォルトで、最大 30 人のデータレイク管理者の作成を許可します。

データレイク管理者は、Lake Formation コンソール、または Lake Formation API の `PutDataLakeSettings` 操作を使用して作成できます。

データレイク管理者の作成には、以下の許可が必要です。`Administrator` ユーザーは、これらの許可を黙示的に持っています。
+ `lakeformation:PutDataLakeSettings`
+ `lakeformation:GetDataLakeSettings`

`AWSLakeFormationDataAdmin` ポリシーをユーザーに付与する場合、そのユーザーは追加の Lake Formation 管理者ユーザーを作成できなくなります。

**データレイク管理者を作成する (コンソール)**

1. データレイク管理者になるユーザーがまだ存在しない場合は、IAM コンソールを使用してそのユーザーを作成します。存在する場合は、データレイク管理者になる既存のユーザーを選択します。
**注記**  
データレイク管理者として IAM 管理ユーザー ( `AdministratorAccess` AWS 管理ポリシーを持つユーザー) を選択しないことをお勧めします。

   次の AWS 管理ポリシーをユーザーにアタッチします。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/initial-lf-config.html)

1. 以下のインラインポリシーをアタッチします。これは、Lake Formation サービスリンクロールを作成する許可をデータレイク管理者に付与します。ポリシーに推奨される名前は `LakeFormationSLR` です。

   このサービスリンクロールは、データレイク管理者がより簡単に Amazon S3 ロケーションを Lake Formation に登録できるようにします。Lake Formation サービスリンクロールの詳細については、「[Lake Formation のサービスリンクロールの使用](service-linked-roles.md)」を参照してください。
**重要**  
次のすべてのポリシーで、*<account-id>* を有効な AWS アカウント番号に置き換えます。

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:CreateServiceLinkedRole",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "iam:AWSServiceName": "lakeformation.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:PutRolePolicy"
               ],
               "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
           }
       ]
   }
   ```

1. (オプション) 以下の `PassRole` インラインポリシーをユーザーにアタッチします。このポリシーは、データレイク管理者がワークフローを作成して実行できるようにします。`iam:PassRole` は、ワークフローが `LakeFormationWorkflowRole` ロールを引き受けてクローラとジョブを作成し、作成されたクローラとジョブにロールをアタッチすることを可能にします。ポリシーに推奨される名前は `UserPassRole` です。
**重要**  
*<account-id>* を有効な AWS アカウント番号に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PassRolePermissions",
               "Effect": "Allow",
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

1. (オプション) アカウントがクロスアカウント Lake Formation 許可を付与または受ける場合は、この追加のインラインポリシーをアタッチします。このポリシーにより、データレイク管理者は AWS Resource Access Manager (AWS RAM) リソース共有の招待を表示して受け入れることができます。また、 AWS Organizations 管理アカウントのデータレイク管理者の場合、ポリシーには組織へのクロスアカウント許可を有効にするアクセス許可が含まれます。詳細については、「[Lake Formation でのクロスアカウントデータ共有](cross-account-permissions.md)」を参照してください。

    ポリシーに推奨される名前は `RAMAccess` です。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ram:AcceptResourceShareInvitation",
                   "ram:RejectResourceShareInvitation",
                   "ec2:DescribeAvailabilityZones",
                   "ram:EnableSharingWithAwsOrganization"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で AWS Lake Formation コンソールを開き、 で作成した管理者ユーザーとして、[管理アクセスを持つユーザーを作成する](getting-started-setup.md#create-an-admin)または`AdministratorAccess`ユーザー AWS 管理ポリシーを持つユーザーとしてサインインします。

1. **[Welcome to Lake Formation]** (Lake Formation へようこそ) ウィンドウが表示されたら、ステップ 1 で作成または選択した IAM ユーザーを選択し、**[Get started]** (開始する) を選択します。

1. **[Welcome to Lake Formation]** (Lake Formation へようこそ) ウィンドウが表示されない場合は、以下の手順を実行して Lake Formation 管理者を設定します。

   1. ナビゲーションペインで、**[管理]** の **[管理ロールとタスク]** を選択します。コンソールページの **[データレイク管理者]** セクションで、**[追加]** を選択します。

   1. **[管理者を追加]** ダイアログボックスで、[アクセスタイプ] の **[データレイク管理者]** を選択します。

   1. **[IAM ユーザーおよびロール]** として、ステップ 1 で作成または選択した IAM ユーザーを選択し、**[保存]** を選択します。

## デフォルトのアクセス許可モデルを変更する、またはハイブリッドアクセスモードを使用する
<a name="setup-change-cat-settings"></a>

Lake Formation は、既存の AWS Glue Data Catalog 動作との互換性のために有効になっている「IAM アクセスコントロールのみを使用する」設定から始まります。この設定により、IAM ポリシーと Amazon S3 バケットポリシーを通じて、データレイク内のデータとそのメタデータへのアクセスを管理できます。

データレイクのアクセス許可を IAM および Amazon S3 モデルから Lake Formation のアクセス許可に簡単に移行できるように、Data Catalog ではハイブリッドアクセスモードを使用することをお勧めします。ハイブリッドアクセスモードを使用すると、増分パスにより、他の既存のユーザーやワークロードを中断することなく、特定のユーザーのセットに対して Lake Formation アクセス許可を有効にすることができます。

詳細については、「[ハイブリッドアクセスモード](hybrid-access-mode.md)」を参照してください。

デフォルト設定を無効にすると、テーブルの既存のユーザー全員が 1 ステップで Lake Formation に移動されます。

**重要**  
既存の AWS Glue Data Catalog データベースとテーブルがある場合は、このセクションの手順を実行しないでください。その代わりに、「[AWS Lake Formation モデルへのAWS Glueデータアクセス許可のアップグレード](upgrade-glue-lake-formation.md)」の手順を実行してください。

**警告**  
Data Catalog にデータベースとテーブルを作成するオートメーションを設定している場合、以下の手順は、オートメーションとダウンストリームの抽出、変換、ロード (ETL) ジョブが失敗する原因になる可能性があります。この手順は、既存のプロセスを変更するか、必要なプリンシパルに明示的な Lake Formation 許可を付与した後でのみ、続行するようにしてください。Lake Formation 許可については、「[Lake Formation 許可のリファレンス](lf-permissions-reference.md)」を参照してください。

**デフォルトの Data Catalog 設定を変更する**

1. 引き続き Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) を使用します。で作成した管理者ユーザーとして、[管理アクセスを持つユーザーを作成する](getting-started-setup.md#create-an-admin)または `AdministratorAccess` AWS 管理ポリシーを持つユーザーとしてサインインしていることを確認します。

1. Data Catalog 設定を変更します。

   1. ナビゲーションペインの **[管理]** で、**[データカタログの設定]** を選択します。

   1. 両方のチェックボックスをオフにして、**[Save]** (保存) を選択します。  
![\[[データカタログの設定] ダイアログボックスには、「新しく作成されたデータベースとテーブルのデフォルト許可」というサブタイトルが付いており、テキストで説明されている 2 つのチェックボックスがあります。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/settings-page.png)

1. データベース作成者の `IAMAllowedPrincipals` 許可を取り消します。

   1. ナビゲーションペインで、**[管理]** の **[管理ロールとタスク]** を選択します。

   1. **[Administrative roles and tasks]** (管理ロールとタスク) コンソールページの **[Database creators]** (データベース作成者) セクションで `IAMAllowedPrincipals` グループを選択し、**[Revoke]** (取り消す) を選択します。

      `IAMAllowedPrincipals` に **[Create database]** (データベースの作成) 許可があることを示す、許可の **[Revoke]** (取り消す) ダイアログボックスが表示されます。

   1. **[Revoke]** (取り消す) を選択します。

## Lake Formation ユーザーにアクセス許可を割り当てる
<a name="permissions-lf-principal"></a>

データレイクにアクセスできるユーザーを作成します AWS Lake Formation。このユーザーは、データレイクをクエリするための最小特権アクセス許可を持っています。

ユーザーやグループの作成の詳細については、「IAM ユーザーガイド」の「[IAM アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。

**Lake Formation データにアクセスするためのアクセス許可を管理者以外のユーザーにアタッチするには**

1. で IAM コンソールを開き[https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)、 で作成した管理者ユーザーとして、[管理アクセスを持つユーザーを作成する](getting-started-setup.md#create-an-admin)または `AdministratorAccess` AWS 管理ポリシーを持つユーザーとしてサインインします。

1. **[ユーザー]** または **[ユーザーグループ]** を選択します。

1. 一覧から、ポリシーを埋め込むユーザーまたはグループの名前を選択します。

   **[アクセス許可]** を選択します。

1. **[アクセス許可の追加]**、**[ポリシーを直接アタッチする]** の順に選択します。**[Filter policies]** (フィルターポリシー) テキストフィールドに「`Athena`」と入力します。結果のリストで、`AmazonAthenaFullAccess` のボックスをオンにします。

1. **[Create policy]** (ポリシーの作成) ボタンを選択します。**[ポリシーの作成]** ページで、**[JSON]** タブを選択します。以下のコードをコピーして、ポリシーエディタに貼り付けます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:GetDataAccess",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:SearchTables",
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetPartitions",
                   "lakeformation:GetResourceLFTags",
                   "lakeformation:ListLFTags",
                   "lakeformation:GetLFTag",
                   "lakeformation:SearchTablesByLFTags",
                   "lakeformation:SearchDatabasesByLFTags"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. 最下部にある **[Next]** (次へ) ボタンを繰り返し選択して、**[Review policy]** (ポリシーの確認) ページを表示します。ポリシーの名前を入力します (`DatalakeUserBasic` など)。**[ポリシーを作成]** を選択し、**[ポリシー]** タブまたはブラウザウィンドウを閉じます。

## データレイク用の Amazon S3 ロケーションを設定する
<a name="register-s3-location"></a>

データレイク内のデータの管理とセキュア化に Lake Formation を使用するには、まず Amazon S3 ロケーションを登録する必要があります。ロケーションを登録すると、その Amazon S3 パスと、そのパスにあるすべてのフォルダが登録され、Lake Formation によるストレージレベルの許可の適用が可能になります。ユーザーが Amazon Athena などの統合エンジンからのデータをリクエストすると、Lake Formation はユーザーの許可を使用するのではなく、データアクセスを提供します。

ロケーションを登録するときは、そのロケーションに対する読み取り/書き込み許可を付与する IAM ロールを指定します。Lake Formation は、登録された Amazon S3 ロケーションのデータへのアクセスをリクエストする統合 AWS サービスに一時的な認証情報を提供するときに、そのロールを引き受けます。ユーザーは、Lake Formation サービスリンクロール (SLR) を指定するか、独自のロールを作成することができます。

カスタムロールは、以下の状況で使用します。
+ Amazon CloudWatch Logs へのメトリクスの発行を計画している。ユーザー定義ロールには、SLR のアクセス許可に加えて、CloudWatch Logs でのログの追加と、メトリクスの発行のためのポリシーが含まれている必要があります。必要な CloudWatch 許可を付与するインラインポリシーの例については、「[ロケーションの登録に使用されるロールの要件](registration-role.md)」を参照してください。
+ Amazon S3 ロケーションが別のアカウント内に存在します。詳細については、「[別の AWS アカウントでの Amazon S3 ロケーションの登録](register-cross-account.md)」を参照してください。
+ Amazon S3 ロケーションに AWS マネージドキーで暗号化されたデータが含まれている。詳細については、「[暗号化された Amazon S3 ロケーションの登録](register-encrypted.md)」および「[AWS アカウント間で暗号化された Amazon S3 の場所を登録する](register-cross-encrypted.md)」を参照してください。
+ Amazon EMR を使用して Amazon S3 ロケーションにアクセスすることを予定している。ロール要件の詳細については、「*Amazon EMR 管理ガイド*」の「[Lake Formation 向けの IAM ロール](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-lf-iam-role.html)」を参照してください。

「[ロケーションの登録に使用されるロールの要件](registration-role.md)」で説明したように、選択するロールには必要な許可がある必要があります。Amazon S3 ロケーションを登録する方法の手順については、「[データレイクへの Amazon S3 ロケーションの追加](register-data-lake.md)」を参照してください。

## (オプション) 外部データフィルタリング設定
<a name="external-data-filter"></a>

サードパーティーのクエリエンジンを使用してデータレイク内のデータを分析および処理する予定の場合は、Lake Formation によって管理されるデータに外部エンジンがアクセスできるようにオプトインする必要があります。オプトインしない場合、外部エンジンは、Lake Formation に登録されている Amazon S3 ロケーションにあるデータにアクセスできません。

Lake Formation は、テーブル内の特定の列へのアクセスを制限するために、列レベルの許可をサポートしています。Amazon Redshift Spectrum Amazon Athena、Amazon EMR などの統合分析サービスは、 からフィルタリングされていないテーブルメタデータを取得します AWS Glue Data Catalog。クエリ応答内にある列の実際のフィルタリングは、統合サービスが担当します。データへの不正アクセスを回避するための許可の適切な処理は、サードパーティー管理者の責任になります。

**サードパーティーエンジンによるデータへのアクセスとフィルタリングを許可するようにオプトインするには (コンソール)**

1. 引き続き Lake Formation コンソール ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) を使用します。Lake Formation の `PutDataLakeSettings` API 操作に対する IAM 許可を持つプリンシパルとしてサインインしていることを確認します。この許可は、「[にサインアップする AWS アカウント](getting-started-setup.md#sign-up-for-aws)」で作成した IAM 管理者ユーザーが持っています。

1. ナビゲーションペインの **[管理]** で、**[アプリケーションの統合設定]** を選択します。

1. **[アプリケーションの統合設定]** ページで、次の操作を行います。

   1. [**Allow external engines to filter data in Amazon S3 locations registered with Lake Formation**] (外部エンジンが、Lake Formation に登録された Amazon S3 ロケーション内のデータをフィルタリングすることを許可する) チェックボックスをオンにします。

   1.  サードパーティーエンジン用に定義された [**Session tag values**] (セッションタグ値) を入力します。

   1. [**AWS アカウント ID**] に、Lake Formation に登録されているロケーションにサードパーティーのエンジンがアクセスできるアカウント ID を入力します。各アカウント ID の後で **Enter** キーを押します。

   1. **[保存]** を選択します。

 セッションタグを検証せずに外部エンジンがデータにアクセスできるように方法については、「[フルテーブルアクセスのためのアプリケーション統合](full-table-credential-vending.md)」を参照してください。

## (オプション) Data Catalog 暗号化キーへのアクセス権を付与する
<a name="setup-encrypted-catalog"></a>

 AWS Glue Data Catalog が暗号化されている場合は、Data Catalog データベースとテーブルに対する Lake Formation アクセス許可を付与する必要があるすべてのプリンシパルに AWS KMS 、キーに対する AWS Identity and Access Management (IAM) アクセス許可を付与します。

詳細については、*AWS Key Management Service デベロッパーガイド*を参照してください。

## (オプション) ワークフロー用の IAM ロールを作成する
<a name="iam-create-blueprint-role"></a>

を使用すると AWS Lake Formation、 AWS Glue クローラによって実行される*ワークフロー*を使用してデータをインポートできます。ワークフローは、データレイクにデータをインポートするためのデータソースとスケジュールを定義します。ワークフローは、Lake Formation が提供する*ブループリント* (テンプレート) を使用して簡単に定義できます。

ワークフローを作成するときは、Lake Formation にデータを取り込むために必要なアクセス許可を付与する AWS Identity and Access Management (IAM) ロールを割り当てる必要があります。

以下の手順では、IAM に精通していることが前提となっています。

**ワークフロー用の IAM ロールを作成する**

1. で IAM コンソールを開き[https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)、 で作成した管理者ユーザーとして、[管理アクセスを持つユーザーを作成する](getting-started-setup.md#create-an-admin)または `AdministratorAccess` AWS マネージドポリシーのユーザーとしてサインインします。

1. ナビゲーションペインで **[Roles]** (ロール)、**[Create role]** (ロールを作成) の順に選択します。

1. **[Create role]** (ロールを作成) ページで、**[AWS service]** (サービス) を選択して、**[Glue]** を選択します。[**次へ**] を選択します。

1. **[許可の追加]** ページで、**AWSGlueServiceRole** マネージドポリシーを検索し、リスト内のポリシー名の横にあるチェックボックスにチェックを入れます。次に、ロールに `LFWorkflowRole` という名前を付けて、**[Create role]** (ロールを作成) ウィザードを完了します。最後に、**[Create role]** (ロールを作成) を選択します。

1. **[ロール]** ページに戻り、`LFWorkflowRole` を検索してロール名を選択します。

1. ロールの **[概要]** ページにある **[アクセス許可]** タブで、**[インラインポリシーの作成]** を選択します。**[ポリシーの作成]** 画面で、[JSON] タブに移動し、次のインラインポリシーを追加します。ポリシーに推奨される名前は `LakeFormationWorkflow` です。
**重要**  
次のポリシーで、*<account-id>* を有効な AWS アカウント 番号に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                    "lakeformation:GetDataAccess",
                    "lakeformation:GrantPermissions"
                ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": ["iam:PassRole"],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

   以下は、このポリシー内にある許可の簡単な説明です。
   + `lakeformation:GetDataAccess` は、ワークフローによって作成されたジョブによるターゲットロケーションへの書き込みを可能にします。
   + `lakeformation:GrantPermissions` は、ワークフローがターゲットテーブルに対する `SELECT` 許可を付与することを可能にします。
   + `iam:PassRole` は、サービスが `LakeFormationWorkflowRole` ロールを引き受けてクローラーとジョブ (ワークフローのインスタンス) を作成し、作成されたクローラーとジョブにロールをアタッチすることを可能にします。

1. `LakeFormationWorkflowRole` ロールに 2 つのポリシーがアタッチされていることを確認します。

1. データレイクロケーションの外にあるデータを取り込んでいる場合は、そのソースデータを読み取るための許可を付与するインラインポリシーを追加します。