翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM Identity Center 対応 EMR クラスター用の Lake Formation を設定する
<a name="emr-idc-lf"></a>

 AWS IAM アイデンティティセンター を有効にした EMR クラスター[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/)と統合できます。

まず、クラスターと同じリージョンに Identity Center インスタンスが設定されていることを確認します。詳細については、「[Identity Center インスタンスを作成する](emr-idc-start.md#emr-idc-start-instance)」を参照してください。IAM Identity Center コンソールでインスタンスの詳細を確認するか、または以下のコマンドを使用して CLI からすべてのインスタンスの詳細を確認することにより、インスタンス ARN を見つけます。

```
aws sso-admin list-instances
```

次に、次のコマンドで ARN と AWS アカウント ID を使用して、IAM Identity Center と互換性を持つように Lake Formation を設定します。

```
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json 
json input:
{
    "CatalogId": "account-id/org-account-id",
    "InstanceArn": "identity-center-instance-arn"
}
```

次に、`put-data-lake-settings` を呼び出して、Lake Formation に対して `AllowFullTableExternalDataAccess` を有効にします。

```
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json 
json input:
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "admin-ARN"
            }
        ],
        "CreateDatabaseDefaultPermissions": [...],
        "CreateTableDefaultPermissions": [...],
        "AllowExternalDataFiltering": true,
        "AllowFullTableExternalDataAccess": true
    }
}
```

最後に、EMR クラスターにアクセスするユーザーの ID ARN に、フルテーブルアクセス許可を付与します。ARN には Identity Center から取得したユーザー ID が含まれます。コンソールで Identity Center に移動し、**[ユーザー]**を選択し、該当するユーザーを選択して**[一般情報]**設定を表示します。

ユーザー ID をコピーして、以下の `user-id` 用 ARN に貼り付けます。

```
arn:aws:identitystore:::user/user-id
```

**注記**  
EMR クラスターへのクエリは、その IAM Identity Center ID が、Lake Formation で保護されたテーブルに対するフルテーブルアクセス許可を持っている場合にのみ機能します。ID がフルテーブルアクセス許可を持っていない場合、クエリは失敗します。

以下のコマンドを使用して、ユーザーにフルテーブルアクセス許可を付与します。

```
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
    },
    "Resource": {
        "Table": {
            "DatabaseName": "tip_db",
            "Name": "tip_table"
        }
    },
    "Permissions": [
        "ALL"
    ],
    "PermissionsWithGrantOption": [
        "ALL"
    ]
}
```

## Lake Formation 統合のためにアプリケーション ARN の IDC への追加
<a name="emr-idc-enabled-idc"></a>

Lake Formation が有効なリソースをクエリするには、IDC アプリケーションのアプリケーション ARN を追加しなければなりません。これを実行するには、以下の手順を実行します。

1. コンソールで、**[AWS Lake Formation]** を選択します。

1. アプリケーション ARN を一致させて、**[IAM Identity Center 統合]** と **[Lake Formation アプリケーション統合]** を選択します。ARN が **[アプリケーション ID]** リストに表示されます。