翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 暗号化された Amazon S3 ロケーションの登録
Lake Formation は [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (AWS KMS) と統合して、Amazon Simple Storage Service (Amazon S3) ロケーションにあるデータの暗号化と復号化を行うために、他の統合サービスをより簡単にセットアップできるようにします。
カスタマー管理 AWS KMS keys と の両方 AWS マネージドキー がサポートされています。現在、クライアント側の暗号化/復号は Athena でのみサポートされています。
Amazon S3 ロケーションを登録するときは、 AWS Identity and Access Management (IAM) ロールを指定する必要があります。 Amazon S3 暗号化された Amazon S3 の場所の場合、ロールには を使用してデータを暗号化および復号するアクセス許可が必要です。または AWS KMS key、KMS キーポリシーはキーに対するアクセス許可をロールに付与する必要があります。
**重要**
**[Requester pays]** (リクエスタ支払い) が有効になっている Amazon S3 バケットの登録は避けてください。Lake Formation に登録されたバケットの場合、バケットの登録に使用されるロールは常にリクエスト元であると見なされます。バケットが別の AWS アカウントからアクセスされた場合、ロールがバケット所有者と同じアカウントに属している場合、バケット所有者はデータアクセスに対して課金されます。
Lake Formation は、サービスにリンクされたロールを使用してデータの場所を登録します。ただし、このロールにはいくつかの[制約](service-linked-role-limitations.md)があります。こうした制約があるため、柔軟性と制御性を高めるために、代わりにカスタム IAM ロールを作成して使用することをお勧めします。場所を登録するために作成するカスタムロールは、[ロケーションの登録に使用されるロールの要件](registration-role.md) で指定された要件を満たしている必要があります。
**重要**
を使用して Amazon S3 の場所を AWS マネージドキー 暗号化した場合、Lake Formation サービスにリンクされたロールを使用することはできません。カスタムロールを使用して、キーに対する IAM 許可をロールに追加する必要があります。詳細については、このセクションで後ほど説明します。
以下の手順では、カスタマーマネージドキー、または AWS マネージドキーで暗号化された Amazon S3 ロケーションを登録する方法を説明します。
+ [カスタマーマネージドキーで暗号化されたロケーションの登録](#proc-register-cust-cmk)
+ [で暗号化された場所の登録 AWS マネージドキー](#proc-register-aws-cmk)
**開始する前に**
「[ロケーションの登録に使用されるロールの要件](registration-role.md)」を確認してください。
**カスタマーマネージドキーで暗号化された Amazon S3 ロケーションを登録する**
**注記**
KMS キーまたは Amazon S3 の場所がデータカタログと同じ AWS アカウントにない場合は、[AWS アカウント間で暗号化された Amazon S3 の場所を登録する](register-cross-encrypted.md)代わりに「」の手順に従います。
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開き、 AWS Identity and Access Management (IAM) 管理ユーザーとして、または場所の暗号化に使用される KMS キーのキーポリシーを変更できるユーザーとしてログインします。
1. ナビゲーションペインで **[カスタマーマネージドキー]** を選択してから、目的の KMS キーの名前を選択します。
1. KMS キーの詳細ページで **[キーポリシー]** タブを選択してから、以下のいずれかを行って、カスタムロールまたは Lake Formation サービスリンクロールを KMS キーユーザーとして追加します。
+ **デフォルトビューが表示されている場合** (**キー管理者**、**キー削除**、**キーユーザー**、**その他の AWS アカウント**セクションを使用) – **キーユーザー**セクションで、カスタムロール または Lake Formation サービスにリンクされたロール を追加します`AWSServiceRoleForLakeFormationDataAccess`。
+ **キーポリシー (JSON) が表示されている場合** – 以下の例にあるように、ポリシーを編集して、「Allow use of the key」オブジェクトにカスタムロールまたは Lake Formation サービスリンクロール (`AWSServiceRoleForLakeFormationDataAccess`) を追加します。
**注記**
そのオブジェクトが欠落している場合は、例にある許可と共に追加してください。この例は、サービスリンクロールを使用しています。
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
"arn:aws:iam::111122223333:user/keyuser"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
1. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で AWS Lake Formation コンソールを開きます。データレイク管理者、または `lakeformation:RegisterResource` IAM 許可を持つユーザーとしてサインインします。
1. ナビゲーションペインの **[管理]** で、**[データレイクのロケーション]** を選択します。
1. **[Register location]** (ロケーションを登録) を選択してから、**[Browse]**(参照) を選択して Amazon Simple Storage Service (Amazon S3) パスを選択します。
1. (強く推奨されるオプション) **[Review location permissions]** (ロケーションの許可のレビュー) を選択して、選択された Amazon S3 ロケーションにあるすべての既存のリソースとそれらの許可のリストを確認します。
選択されたロケーションの登録により、Lake Formation ユーザーがそのロケーションにすでに存在するデータにアクセスできるようになる可能性があります。このリストの確認は、既存のデータのセキュリティが確保されていることを確実にするために役立ちます。
1. **[IAM role]** (IAMロール) には、`AWSServiceRoleForLakeFormationDataAccess` サービスリンクロール (デフォルト)、または「[ロケーションの登録に使用されるロールの要件](registration-role.md)」に適合するカスタム IAM ロールを選択します。
1. **[Register location]** (ロケーションを登録) を選択します。
サービスリンクロールの詳細については、「[Lake Formation のサービスリンクロールの許可](service-linked-roles.md#service-linked-role-permissions)」を参照してください。
**で暗号化された Amazon S3 の場所を登録するには AWS マネージドキー**
**重要**
Amazon S3 の場所がデータカタログと同じ AWS アカウントにない場合は、[AWS アカウント間で暗号化された Amazon S3 の場所を登録する](register-cross-encrypted.md)代わりに「」の手順に従います。
1. ロケーションの登録に使用する IAM ロールを作成します。ロールが「[ロケーションの登録に使用されるロールの要件](registration-role.md)」に記載されている条件を満たすことを確認してください。
1. 以下のインラインポリシーをロールに追加します。これは、キーに対する許可をロールに付与します。`Resource` の仕様は、 AWS マネージドキーの Amazon リソースネーム (ARN) を指定する必要があります。ARN は AWS KMS コンソールから取得できます。正しい ARN を取得するには、場所の暗号化に AWS マネージドキー 使用された と同じ AWS アカウントとリージョンで AWS KMS コンソールにログインしてください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
キー ID の代わりに KMS キーエイリアスを使用できます - `arn:aws:kms:region:account-id:key/alias/your-key-alias`
詳細については、「 AWS Key Management Service デベロッパーガイド[」の「 セクションのエイリア AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html)ス」を参照してください。
1. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) で AWS Lake Formation コンソールを開きます。データレイク管理者、または `lakeformation:RegisterResource` IAM 許可を持つユーザーとしてサインインします。
1. ナビゲーションペインの **[管理]** で、**[データレイクのロケーション]** を選択します。
1. **[Register location]** (ロケーションを登録) を選択してから、**[Browse]**(参照) を選択して Amazon S3 パスを選択します。
1. (強く推奨されるオプション) **[Review location permissions]** (ロケーションの許可のレビュー) を選択して、選択された Amazon S3 ロケーションにあるすべての既存のリソースとそれらの許可のリストを確認します。
選択されたロケーションの登録により、Lake Formation ユーザーがそのロケーションにすでに存在するデータにアクセスできるようになる可能性があります。このリストの確認は、既存のデータのセキュリティが確保されていることを確実にするために役立ちます。
1. **[IAM role]** (IAM ロール) には、ステップ 1 で作成したロールを選択します。
1. **[Register location]** (ロケーションを登録) を選択します。