翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Lake Formation: 仕組み
<a name="how-it-works"></a>

 AWS Lake Formation は、Amazon S3 の基盤となるデータを持つデータベース、テーブル、列などの Data Catalog リソースへのアクセスを許可または取り消すためのリレーショナルデータベース管理システム (RDBMS) アクセス許可モデルを提供します。管理が簡単な Lake Formation 許可は、複雑な Amazon S3 バケットポリシーや対応する IAM ポリシーに取って代わるものです。

Lake Formation では、次の 2 つのレベルでアクセス許可を実装できます。
+ データベースやテーブルなどのデータカタログリソースに対するメタデータレベルでアクセス許可を適用
+ 統合されたエンジンに代わって、Amazon S3 に保存されている基盤となるデータへのアクセス許可を管理 

## Lake Formation 許可管理ワークフロー
<a name="lf-workflow"></a>

Lake Formation は、Lake Formation に登録されている Amazon S3 データストアやメタデータオブジェクトに対してクエリを実行するために、分析エンジンと統合します。以下の図は、Lake Formation における許可管理の仕組みを示しています。

![Lake Formation アクセス許可は、ユーザーから Data Catalog および S3 ストレージ Athena に流れます。](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/lf-workflow.png)


**Lake Formation 許可管理の手順の概要**

Lake Formation がデータレイク内のデータに対するアクセス制御を提供する前に、[データレイク管理者](initial-lf-config.md#create-data-lake-admin)または管理権限を持つユーザーが、Lake Formation の権限を使用して Data Catalog テーブルへのアクセスを許可または拒否する個々の Data Catalog テーブルのユーザーポリシーを設定します。

次に、データレイク管理者または管理者から委任されたユーザーのいずれかが、Data Catalog データベースとテーブルに対するユーザーに Lake Formation 許可を付与し、テーブルの Amazon S3 ロケーションを Lake Formation に登録します。

1. **メタデータの取得** – プリンシパル (ユーザー) は、Amazon Athena、Amazon EMR AWS Glue、Amazon Redshift Spectrum などの[統合分析エンジン](working-with-services.md)にクエリまたは ETL スクリプトを送信します。統合分析エンジンは、要求されているテーブルを識別し、メタデータのリクエストを Data Catalog に送信します。

1. **許可の確認** — Data Catalog は Lake Formation でユーザーのアクセス許可を確認し、ユーザーがテーブルにアクセスする権限を持っている場合は、ユーザーが表示できるメタデータをエンジンに返します。

1. **認証情報の取得** — Data Catalog は、テーブルが Lake Formation によって管理されているかどうかをエンジンに知らせます。基盤となるデータが Lake Formation に登録されている場合、分析エンジンは Lake Formation に一時的なアクセスを許可してデータアクセスを提供するように要求します。

1. **データの取得** — ユーザーがテーブルへのアクセスを許可されている場合、Lake Formation は統合分析エンジンへの一時的なアクセスを提供します。一時的なアクセスを使用して、分析エンジンは Amazon S3 からデータを取得し、列、行、またはセルのフィルタリングなど、必要なフィルタリングを実行します。エンジンはジョブの実行を終了すると、結果をユーザーに返します。このプロセスは、[認証情報の供給](using-cred-vending.md)と呼ばれます。

   テーブルが Lake Formation によって管理されていない場合、分析エンジンからの 2 回目の呼び出しは Amazon S3 に対して直接行われます。関係する Amazon S3 バケットポリシーと IAM ユーザーポリシーのデータアクセスが評価されます。

   IAM ポリシーを使用するときは、常に IAM のベストプラクティスに従うようにしてください。詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。

**Topics**
+ [Lake Formation 許可管理ワークフロー](#lf-workflow)
+ [メタデータアクセス許可](metadata-permissions.md)
+ [ストレージアクセス管理](storage-permissions.md)
+ [Lake Formation でのクロスアカウントデータ共有](cross-data-sharing-lf.md)