翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ハイブリッドアクセスモードの仕組み 次の図は、ハイブリッドアクセスモードで Data Catalog リソースにクエリを実行するときに Lake Formation 認可がどのように機能するかを示しています。 ![決定ポイントとデータフローパスを含むハイブリッドアクセスモードの Lake Formation 承認プロセスを示すフロー図。](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/images/hybrid-workflow.png) データレイク内のデータにアクセスする前に、データレイク管理者または管理権限を持つユーザーが、Data Catalog テーブルへのアクセスを許可または拒否する個々の Data Catalog テーブルのユーザーポリシーを設定します。次に、`RegisterResource` オペレーションを実行するアクセス許可を持つプリンシパルが、ハイブリッドアクセスモードで Lake Formation にテーブルの Amazon S3 ロケーションを登録します。データロケーションが Lake Formation に登録されていない場合、管理者は Data Catalog データベースとテーブルの特定のユーザーに Lake Formation アクセス許可を付与し、ハイブリッドアクセスモードでそれらのデータベースとテーブルに Lake Formation アクセス許可を使用するようにオプトインします。 1. **クエリを送信する** - プリンシパルは、Amazon Athena、Amazon EMR AWS Glue、Amazon Redshift Spectrum などの統合サービスを使用してクエリまたは ETL スクリプトを送信します。 1. **データのリクエスト** – 統合分析エンジンは、要求されているテーブルを識別し、メタデータのリクエストを Data Catalog (`GetTable`、`GetDatabase`) に送信します。 1. **アクセス許可を確認** – Data Catalog は、クエリ元プリンシパルのアクセス許可を Lake Formation で検証します。 1. テーブルに `IAMAllowedPrincipals` グループアクセス許可がアタッチされていない場合は、Lake Formation 許可が適用されます。 1. プリンシパルがハイブリッドアクセスモードで Lake Formation 許可を使用することをオプトインしていて、テーブルに `IAMAllowedPrincipals` グループアクセス許可がアタッチされている場合、Lake Formation 許可が適用されます。クエリエンジンは、Lake Formation から受け取ったフィルターを適用し、データをユーザーに返します。 1. テーブルロケーションが Lake Formation に登録されておらず、プリンシパルがハイブリッドアクセスモードで Lake Formation 許可を使用することをオプトインしていない場合、Data Catalog はテーブルに `IAMAllowedPrincipals` グループアクセス許可がアタッチされているかどうかを確認します。このアクセス許可がテーブルに存在する場合、アカウント内のすべてのプリンシパルはテーブルに対する `Super` または `All` 許可が付与されます。 データの場所が Lake Formation に登録されていない限り、オプトインしても Lake Formation の認証情報供給は利用できません。 1. **認証情報の取得** – Data Catalog は、テーブルのロケーションが Lake Formation に登録されているかどうかを確認し、エンジンに知らせます。基盤となるデータが Lake Formation に登録されている場合、分析エンジンは、Amazon S3 バケットのデータにアクセスするための一時的な認証情報を Lake Formation に要求します。 1. **データの取得** – プリンシパルがテーブルデータへのアクセスを許可されている場合、Lake Formation は統合分析エンジンへの一時的なアクセスを提供します。一時的なアクセスを使用して、分析エンジンは Amazon S3 からデータを取得し、列、行、またはセルのフィルタリングなど、必要なフィルタリングを実行します。エンジンはジョブの実行を終了すると、結果をユーザーに返します。このプロセスは、認証情報の供給と呼ばれます。詳細については、「[サードパーティーサービスと Lake Formation との統合](Integrating-with-LakeFormation.md)」を参照してください。 1. 
テーブルのデータロケーションが Lake Formation に登録されていない場合、分析エンジンからの 2 回目の呼び出しは Amazon S3 に対して直接行われます。関係する Amazon S3 バケットポリシーと IAM ユーザーポリシーのデータアクセスが評価されます。IAM ポリシーを使用するときは、常に IAM のベストプラクティスに従うようにしてください。詳細については、「IAM ユーザーガイド」の「[IAM でのセキュリティベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。