翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Lake Formation 許可の付与と取り消しに必要な IAM 許可
<a name="required-permissions-for-grant"></a>

データレイク管理者を含むすべてのプリンシパルは、Lake Formation API または を使用して AWS Lake Formation Data Catalog アクセス許可またはデータロケーションアクセス許可を付与または取り消すために、次の AWS Identity and Access Management (IAM) アクセス許可が必要です AWS CLI。
+ `lakeformation:GrantPermissions`
+ `lakeformation:BatchGrantPermissions`
+ `lakeformation:RevokePermissions`
+ `lakeformation:BatchRevokePermissions`
+ 名前付きリソース方式を使用してアクセス許可を付与しているテーブルまたはデータベースの場合は `glue:GetTable`、`glue:GetDatabase`、または`glue:GetCatalog`。

**注記**  
データレイク管理者には Lake Formation 許可を付与して取り消すための黙示的な Lake Formation 許可がありますが、それでも Lake Formation の付与および取り消し API 操作に対する IAM 許可が必要です。  
`AWSLakeFormationDataAdmin` AWS 管理ポリシーを持つ IAM ロールは、Lake Formation API オペレーション に対する明示的な拒否が含まれているため、新しいデータレイク管理者を追加できません`PutDataLakeSetting`。

以下の IAM ポリシーは、データレイク管理者ではないが、Lake Formation コンソールを使用して許可を付与または取り消したいというプリンシパルに推奨されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetCatalogs",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetCatalog",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}
```

------

このポリシーのすべての `glue:`および アクセス`iam:`許可は、 AWS 管理ポリシー で使用できます`AWSGlueConsoleFullAccess`。

Lake Formation のタグベースのアクセス制御 (LF-TBAC) を使用して許可を付与するには、プリンシパルに追加の IAM 許可が必要です。詳細については、「[Lake Formation のタグベースのアクセスコントロールのベストプラクティスと考慮事項](lf-tag-considerations.md)」および「[Lake Formation のペルソナと IAM 許可のリファレンス](permissions-reference.md)」を参照してください。

**クロスアカウントアクセス許可**  
名前付きリソースメソッドを使用してクロスアカウント Lake Formation アクセス許可を付与するユーザーには、 `AWSLakeFormationCrossAccountManager` AWS マネージドポリシーの アクセス許可も必要です。

データレイク管理者には、クロスアカウントアクセス許可を付与するための同じアクセス許可と、組織へのアクセス許可の付与を有効にするための AWS Resource Access Manager (AWS RAM) アクセス許可が必要です。詳細については、「[データレイク管理者の許可](permissions-reference.md#persona-dl-admin)」を参照してください。

**管理ユーザー**  
`AdministratorAccess` AWS 管理ポリシーなどの管理アクセス許可を持つプリンシパルには、Lake Formation アクセス許可を付与し、データレイク管理者を作成するアクセス許可があります。Lake Formation 管理者操作へのユーザーまたはロールのアクセスを拒否するには、そのポリシーに管理者 API 操作の `Deny` ステートメントをアタッチまたは追加してください。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

**重要**  
ユーザーが抽出、変換、ロード (ETL) スクリプトを使用してユーザー自身を管理者として追加できないようにするには、管理者以外のすべてのユーザーとロールに対してこれらの API 操作へのアクセスが拒否されていることを確認してください。`AWSLakeFormationDataAdmin` AWS 管理ポリシーには、ユーザーが新しいデータレイク管理者を追加できない`PutDataLakeSetting`ように、Lake Formation API オペレーションの明示的な拒否が含まれています。