翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# メタデータアクセスコントロールのための LF タグ式の管理
<a name="managing-tag-expressions"></a>

 LF タグ式は、 AWS Glue Data Catalog リソースに対するアクセス許可を付与するために使用される 1 つ以上の LF タグ (キーと値のペア) で構成される論理式です。LF タグ式を使用すると、メタデータタグに基づいてデータリソースへのアクセスを管理するルールを定義できます。これらの式を保存して複数のアクセス許可で再利用できるため、一貫性が確保され、タグオントロジーへの経時的な変更を簡単に管理できます。

特定の LF タグ式内では、タグキーは AND オペレーションを使用して結合され、値は OR オペレーションを使用して結合されます。例えば、タグ式 `content_type:Sales AND location:US` は、米国の売上データに関連するリソースを表します。

 AWS アカウントでは、最大 1000 個の LF タグ式を作成できます。これらの式は、メタデータタグに基づいてアクセス許可を管理するための柔軟でスケーラブルな方法を提供し、承認されたユーザーまたはアプリケーションのみが、定義されたタグルールに基づいて特定のデータリソースにアクセスできるようにします。

LF タグ式には以下のメリットがあります。
+ **再利用性 **– LF タグ式を定義して保存することで、他のリソースやプリンシパルにアクセス許可を割り当てるときに、同じ式を手動でレプリケートする必要がなくなります。
+ **整合性 **– 複数のアクセス許可の付与で LF タグ式を再利用することで、アクセス許可の付与と管理の一貫性を確保できます。
+ **タグオントロジー管理** – LF タグ式は、個々のアクセス許可付与を変更する代わりに保存された式を更新できるため、時間の経過に伴うタグオントロジーへの変更を管理するのに役立ちます。

タグベースのアクセスコントロールに関する詳細については、「[Lake Formation のタグベースのアクセス制御](tag-based-access-control.md)」を参照してください。

**LF タグ式作成者**  
LF タグ式作成者は、LF タグを作成および管理するアクセス許可を持つプリンシパルです。データレイク管理者は、Lake Formation コンソール、CLI、API、または SDK を使用して LF タグ式作成者を追加できます。LF タグ式作成者には、LF タグ式を作成、更新、削除し、LF タグ式アクセス許可を他のプリンシパルに付与する暗黙的な Lake Formation アクセス許可があります。

データレイク管理者ではない LF タグ式作成者は、作成した式に対してのみ暗黙的な `Alter`、`Drop`、`Describe`、および `Grant with LF-Tag expression` アクセス許可を受け取ります。

データレイク管理者は LF タグ式作成者に付与可能な `Create LF-Tag expression` アクセス許可を付与することもできます。その後、LF タグ式作成者は、LF タグ式を作成するアクセス許可を他のプリンシパルに付与できます。

**Topics**
+ [LF タグ式の作成に必要な IAM アクセス許可](#tag-expression-creator-permissions)
+ [LF タグ式作成者を追加する](#add-lf-tag-expression-creator)
+ [LF タグ式の作成](TBAC-creating-tag-expressions.md)
+ [LF タグ式の更新](TBAC-updating-expressions.md)
+ [LF タグ式の削除](TBAC-deleting-expressions.md)
+ [LF タグ式の一覧表示](TBAC-listing-expressions.md)

**関連情報**  
[LF タグ値のアクセス許可の管理](TBAC-granting-tags.md)
[LF-TBAC 方式を使用したデータレイク許可の付与](granting-catalog-perms-TBAC.md)
[Lake Formation のタグベースのアクセス制御](tag-based-access-control.md)

## LF タグ式の作成に必要な IAM アクセス許可
<a name="tag-expression-creator-permissions"></a>

 Lake Formation のプリンシパルが LF タグ式を作成できるようにアクセス許可を設定する必要があります。LF タグ式作成者になる必要があるプリンシパルのアクセス許可ポリシーに、以下のステートメントを追加します。

**注記**  
データレイク管理者は、LF タグと LF タグ式の作成、更新、削除、LF タグのリソースへの割り当て、プリンシパルへの LF タグと LF タグ式の付与を行う暗黙的な Lake Formation アクセス許可を持っていますが、データレイク管理者には以下の IAM アクセス許可も必要です。

詳細については、「[Lake Formation のペルソナと IAM 許可のリファレンス](permissions-reference.md)」を参照してください。

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## LF タグ式作成者を追加する
<a name="add-lf-tag-expression-creator"></a>

LF タグ式作成者は、再利用可能な LF タグ式の作成と保存、タグのキーと値の更新、式の削除、LF-TBAC 方式を使用したプリンシパルへのデータカタログリソースに対するアクセス許可の付与を行うことができます。LF タグ式作成者は、これらのアクセス許可をプリンシパルに付与することもできます。

 AWS Lake Formation コンソール、API、または AWS Command Line Interface () を使用して、LF タグ式作成者ロールを作成できますAWS CLI。

------
#### [ console ]

**LF タグ式作成者を追加するには**

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬)を開きます。

   データレイク管理者としてサインインします。

1. ナビゲーションペインで、**[アクセス許可]** の **[LF タグとアクセス許可]** を選択します。

1. **[LF タグ式]** タブを選択します。

1. **[LF タグ式作成者]**セクションで、**[LF タグ式作成者を追加]** を選択します。  
![\[Form to add LF-Tag expression creators with IAM ユーザー selection and permissions.\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. 「**LF タグ式作成者を追加**」ページで、LF タグ式の作成に必要なアクセス許可を持つ IAM ロールまたはユーザーを選択します。

1. [`Create LF-Tag expression` アクセス許可] チェックボックスにチェックを入れます。

1. (オプション) 選択したプリンシパルが `Create LF-Tag expression` アクセス許可をプリンシパルに付与できるようにするには、[付与可能な `Create LF-Tag expression` アクセス許可] を選択します。

1. **[Add]** (追加) を選択します。

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

LF タグ式作成者ロールは、LF タグ式を作成、更新、または削除することができます。


| アクセス許可 | 説明 | 
| --- | --- | 
| Create | このアクセス許可を持つプリンシパルは、データレイクに LF タグ式を追加できます。 | 
| Drop | LF タグ式に対するこのアクセス許可を持つプリンシパルは、データレイクから LF タグ式を削除できます。 | 
| Alter | LF タグ式に対するこのアクセス許可を持つプリンシパルは、LF タグ式の式本文を更新できます。 | 
| Describe | LF タグ式に対するこのアクセス許可を持つプリンシパルは、LF タグ式の内容を表示できます。 | 
| Grant with LF-Tag expression | このアクセス許可により、受信者はデータまたはメタデータにアクセス許可を付与するときに、タグ式をリソースとして使用できます。Grant with LF-Tag expression の付与は、Describe を黙示的に付与します。 | 
| Super | LF タグ式の場合、Super ではタグ式に対する Describe、Alter、Drop の操作、および他のプリンシパルへのアクセス許可の付与が可能になります。 | 

これらの許可は付与可能です。これらの許可を grant オプションと共に付与されたプリンシパルは、これらを他のプリンシパルに付与できます。

# LF タグ式の作成
<a name="TBAC-creating-tag-expressions"></a>

Lake Formation ですべての LF タグを定義し、式の作成に使用する前にデータカタログリソースに割り当てる必要があります。LF タグ式は、キーごとに 1 つ以上のキーと 1 つ以上の可能な値で構成されます。

 データレイク管理者が LF タグ式作成者ロールに必要な IAM アクセス許可と Lake Formation アクセス許可を設定したら、プリンシパルは再利用可能な LF タグ式を作成できます。LF タグ式作成者は、式本文を更新し、LF タグ式を削除するための暗黙的なアクセス許可を取得します。

LF タグ式は、 AWS Lake Formation コンソール、 API、または AWS Command Line Interface () を使用して作成できますAWS CLI。

------
#### [ Console ]

**LF タグ式を作成するには**

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬) を開きます。

   LF タグ式作成者アクセス許可を持つプリンシパルまたはデータレイク管理者としてサインインします。

1. ナビゲーションペインのアクセス**許可**で**、LF タグとアクセス許可を選択します**。

1. **[LF タグ式]** を選択します。「**LF タグ式の追加**」ページが表示されます。  
![\[このページには名前と説明を追加するフィールドと、式本文を選択するためのドロップダウンがあります。ユーザーには、アクセス許可を付与するオプションもあります。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/add-tag-expression.png)

1. 次の情報を入力します。
   + 名前 - 式の一意の名前を入力します。式名を更新することはできません。
   + 説明 – 式のオプションの説明と式の詳細を入力します。
   + 式 – タグキーとそれに関連する値を指定して式を作成します。式ごとに最大 50 個のキーを追加できます。式本文内のすべてのタグに対して `Grant with LF-Tags` Lake Formation アクセス許可が必要です。

      各キーには、少なくとも 1 つの値が必要です。複数の値を入力するには、カンマ区切りのリストを入力してから **[Enter]** キーを押すか、一度に 1 つの値を入力し、入力するたびに **[Add]** (追加) を選択します。キーごとに許可される値の最大数は 1000 個です。

      Lake Formation は AND/OR ロジックを使用して、式内の複数のキーと値を結合します。単一の (キー: 値のリスト) ペア内では、論理 OR 演算子を使用して値が結合されます。例えば、ペアが (Department : [Sales, Marketing]) の場合、リソースに Sales OR Marketing の値が指定された Department タグがある場合に、タグが一致します。

      複数のキーを指定すると、キーは AND 論理演算子によって結合されます。したがって、完全な式が (Department : [Sales, Marketing]) AND (Location : [US, Canada]) の場合、Sales OR Marketing という値を持つ Department タグと、米国またはカナダという値を持つ Location タグを持つリソースに一致します。以下は複数のキーと値を持つ別の例です。

     LF タグ式: (ContentType : [Video, Audio]) AND (Region : [Europe, Asia]) AND (Department : [Engineering, ProductManagement])。

     この式は、 - 値が Video OR Audio の ContentType タグ AND - 値が Europe OR Asia のリージョンタグ AND - 値が Engineering OR ProductManagement の Department タグを持つリソースと一致します。

    LF タグを使用してデータレイクのアクセス許可を付与するときに、タグ式を保存することもできます。キーと値のペアを選択し、**[新しい式として保存]** オプションを選択します。式を説明する名前を入力します。  
![\[このページには、式本文を選択するフィールドと、名前を入力するファイルがあります。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/save-expression-grant.png)

1.  (オプション) 次に、ユーザー/ロールと、アカウントでユーザー/ロールに付与する式のアクセス許可を選択します。また、付与可能なアクセス許可を選択して、ユーザーがアカウントの他のユーザーにこれらのアクセス許可を付与できるようにします。タグ式にクロスアカウントアクセス許可を付与することはできません。  
![\[このページには、他のプリンシパルに付与するアクセス許可を選択するフィールドが表示されます。\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/grant-expression-permissions.png)

1. **[** の追加] を選択します。

------
#### [ AWS CLI ]

**LF タグ式を作成するには**
+ `create-lf-tag-expression` のコマンドを入力します。

  次の例では、値 `Sales` と `Marketing` を持つ `Department` タグと、値 `US` を持つタグ `Location` を使用して LF タグ式を作成します。

  ```
  aws lakeformation create-lf-tag-expression \
  -- name "my-tag-expression" \
  -- catalog-id "123456789012" \
  -- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
  ```

   この CLI コマンドは、 に新しい LF タグ式を作成します AWS Glue Data Catalog。式を使用すると、データベース、テーブル、ビュー、列などのデータカタログリソースに、関連するタグに基づいてアクセス許可を付与できます。この例では、式は、`Department` キー が値 `Sales` または `Marketing` で、`Location` キー が値 `US` であるリソースと一致します。

------

 プリンシパルは、タグ式作成者 としてこの LF タグ式に対する `Alter` アクセス許可を取得し、式を更新または削除できます。LF タグ作成者プリンシパルは、この式を更新および削除する `Alter` アクセス許可を他のプリンシパルに付与することもできます。

# LF タグ式の更新
<a name="TBAC-updating-expressions"></a>

データレイク管理者と、LF タグ式作成者、LF タグ式に対する `Alter` または `Super` のアクセス許可を持つプリンシパルのみが LF タグ式を更新できます。式を更新するには、`Alter` アクセス許可に加えて、新しい式本文の基礎となるすべてのキーと値に対する `lakeformation:UpdateLFTagExpression` IAM アクセス許可と `Grant with LF-Tag` アクセス許可も必要です。

LF タグ式を更新するには、式で付与された説明、式本文、アクセス許可を更新します。LF タグ式の名前を変更することはできません。名前を変更するには、LF タグ式を削除して、必要なパラメータを持つ LF タグ式を追加します。

 AWS Lake Formation コンソール、API、または AWS Command Line Interface () を使用して LF タグ式を更新できますAWS CLI。

------
#### [ Console ]

**LF タグ式を更新するには**

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬) を開きます。

   データレイク管理者、LF タグ作成者、または LF タグに対する `Alter` アクセス許可を持つプリンシパルとしてサインインします。

1. ナビゲーションペインで、[アクセス許可] の**[LF タグとアクセス許可]** を選択します。

1. **[LF タグ式]** タブを選択します。

1. **[LF タグ式]** セクションで、LF タグ式を選択し、次に **[編集]**を選択します。

1. **[LF タグ式を編集]** ダイアログボックスで、説明を更新し、キーと値を追加または削除して式本文を更新します。

   複数の値を追加するには、**[値]** フィールドで、ドロップダウンから値を選択します。

1. **[保存]** を選択します。

------
#### [ AWS CLI ]

 Lake Formation の update-lf-tag-expression コマンドを使用すると、既存の LF タグ式を更新できます。

```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```

提供されたコマンドのパラメータの意味は次のとおりです。
+ name – 更新する既存の名前付きタグ式の名前。
+ description – 式の新しい説明。

  catalog-id – 名前付きタグ式が存在するデータカタログの ID。
+ expression – 式を更新する新しいタグ式文字列。

------

# LF タグ式の削除
<a name="TBAC-deleting-expressions"></a>

使用しなくなった LF タグ式は削除できます。LF タグ式を使用してデータカタログリソースのプリンシパルにアクセス許可を付与している場合、プリンシパルのアクセス許可は失われます。

データレイク管理者と、LF タグ式作成者、LF タグ式に対する `Drop` のアクセス許可を持つプリンシパルのみが LF タグ式を削除できます。プリンシパルが LF タ式グを削除するには、`Drop` アクセス許可のほかに、`lakeformation:DeleteLFTagExpression` IAM アクセス許可も必要です。

 AWS Lake Formation コンソール、API、または AWS Command Line Interface () を使用して、LF タグ式を削除できますAWS CLI。

------
#### [ Console ]

**LF タグ式を削除するには (コンソール)**

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬) を開きます。

   データレイク管理者、LF タグ式作成者、または式を削除する権限を持つプリンシパルとしてサインインします。

1. ナビゲーションペインで、**[アクセス許可]** の **[LF タグとアクセス許可]** を選択します。

1. **[LF タグ式]** タブを選択します。

1. **[LF タグ式]** セクションで、LF タグ式を選択し、**[削除]** を選択します。

1. **[タグ式を削除しますか?]** ダイアログボックスで、削除を確定するには、LF タグ式の名前を指定フィールドに入力し、**[削除]** を選択します。

------
#### [ AWS CLI ]

**LF タグを削除するには (AWS CLI)**
+ `delete-lf-tag-expression` のコマンドを入力します。削除する式名とカタログ ID を指定します。  
**Example**  

  次の例では、ID `123456789012` の データカタログから `my-tag-expression` という名前の LF タグ式を削除します。 AWS CLI 設定と同じアカウントを使用している場合、 `catalog-id`パラメータはオプションです。LF タグ式を削除すると、Lake Formation はその式の関連するアクセス許可レコードをクリーンアップします。これには、削除された式を含む個別のアクセス許可レコードとアクセス許可レコードの集合の両方が含まれます。

  ```
  aws lakeformation delete-lf-tag-expression \
  --name "my-tag-expression" \
  --catalog-id "123456789012"
  ```

------

# LF タグ式の一覧表示
<a name="TBAC-listing-expressions"></a>

 Describe アクセス許可がある LF タグ式を一覧表示することができます。データレイク管理者、LF タグ式作成者、読み取り専用管理者は、自分のアカウント内のすべてのタグ式を暗黙的に表示できます。

 AWS Lake Formation コンソール、API、または () を使用して、LF タグ式を AWS Command Line Interface 一覧表示できますAWS CLI。

------
#### [ Console ]

**LF タグ式を一覧表示するには (コンソール)**

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬) を開きます。

   LF タ式グ作成者、データレイク管理者、または LF タグ式に対するアクセス許可を付与され、`lakeformation:ListLFTagExpressions` IAM 許可を持つプリンシパルとしてサインインします。

1. ナビゲーションペインの **[アクセス許可]** で、**[LF タグとアクセス許可]** を選択します。

1. **[LF タグ式]** タブを選択すると、式が表示されます。このセクションには、式名、付けられているタグへのリンクを含む式自体、式を作成、編集、削除するオプションなど、既存の LF タグ式に関する情報が表示されます。

------
#### [ AWS CLI ]

**LF タグをリストする (AWS CLI)**
+ を使用して LF タグ式を一覧表示するには AWS CLI、list-lf-tag-expressions コマンドを使用できます。リクエスト構文は次のとおりです。

  ```
  aws lakeformation list-lf-tag-expressions \
  -- catalog-id "123456789012" \
  -- max-items "100" \
  -- next-token "next-token"
  ```

   コードの説明は以下のとおりです。
  + `catalog-id` は、 のタグ式を一覧表示するデータカタログの AWS アカウント ID です。
  + `max-items` は、返されるタグ式の最大数を指定します。このパラメータを使用しない場合、デフォルト値は 100 です。
  + `next-token` は、前のリクエストで結果が切り捨てられた場合の継続トークンです。

  レスポンスには、LF タグ式のリストと、該当する場合は次のトークンが含まれます。

------