翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Lake でクエリアクセス権を持つサブスクライバーを作成する
任意の方法を選択して、現在の でクエリアクセス権を持つサブスクライバーを作成します AWS リージョン。サブスクライバー AWS リージョン は、それが作成された からのみデータをクエリできます。サブスクライバーを作成するには、サブスクライバーの AWS アカウント ID と外部 ID が必要です。外部 ID は、サブスクライバーが提供する固有の識別子です。外部 IDs*「IAM* [ユーザーガイド」の「How to use an external ID when granting access to your AWS resources to a third party](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)」を参照してください。
**注記**
セキュリティレイクは、Lake Formation のクロスアカウントデータ共有バージョン 1 をサポートしていません。Lake Formation のクロスアカウントデータ共有をバージョン 2 またはバージョン 3 に更新する必要があります。 AWS Lake Formation コンソールまたは AWS CLI を使用して**クロスアカウントバージョン設定**を更新する手順については、[「 デベロッパーガイド」の「新しいバージョンを有効にする](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html#version-update-steps)には」を参照してください。 *AWS Lake Formation *
------
#### [ Console ]
1. Security Lake コンソール [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) を開きます。
委任管理者アカウントにサインインします。
1. ページの右上隅にある AWS リージョン セレクターを使用して、サブスクライバーを作成するリージョンを選択します。
1. 左のナビゲーションペインで **[サブスクライバー]** を選択します。
1. 「**サブスクライバー**」ページで、「**サブスクライバーを作成**」を選択します。
1. **サブスクライバーの詳細**には、**サブスクライバー名**とオプションの**説明を入力します**。
**リージョン**は、現在選択されている として自動入力 AWS リージョン されるため、変更できません。
1. [**ログとイベントのソース**] では、クエリ結果を返すときに Security Lake に含めたいソースを選択します。
1. [**データアクセス方法**] では、[**Lake Formation**] を選択してサブスクライバーのクエリアクセスを作成します。
1. **サブスクライバーの認証情報**には、サブスクライバーの AWS アカウント ID と[外部 ID](https://docs.aws.amazon.com//security-lake/latest/userguide/prereqs-creating-subscriber.html#subscriber-external-id) を指定します。
1. (オプション) [**タグ**] には、サブスクライバーに割り当てるタグを 50 個まで入力します。
*タグ*は、特定のタイプの AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグは、さまざまな方法でリソースの識別、分類、管理に役立ちます。詳細については[Security Lake リソースのタグ付け](tagging-resources.md)を参照してください。
1. **[作成]** を選択します。
------
#### [ API ]
クエリアクセス付きのサブスクライバーをプログラムで作成するには、Security Lake API の [CreateSubscriber](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateSubscriber.html) オペレーションを使用します。 AWS Command Line Interface (AWS CLI) を使用している場合は、[create-subscriber](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-subscriber.html) コマンドを実行します。
リクエストで、これらのパラメータを使用してサブスクライバーに次の設定を指定します。
+ `accessTypes` の場合、`LAKEFORMATION` を指定します。
+ `sources`では、クエリ結果を返すときに Security Lake に含めたいソースをそれぞれ指定します。
+ には`subscriberIdentity`、サブスクライバーがソースデータのクエリに使用する AWS ID と外部 ID を指定します。
次の の例では、指定されたサブスクライバー ID の現在の AWS リージョンにクエリアクセス権を持つサブスクライバーを作成します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\\) の行継続文字を使用しています。
```
$ aws securitylake create-subscriber \
--subscriber-identity {"accountID": {{129345678912}},"externalId": {{123456789012}}} \
--sources [{"awsLogSource": {"sourceName": {{VPC_FLOW,}} "sourceVersion": {{2.0}}}}] \
--subscriber-name {{subscriber name}} \
--access-types {{LAKEFORMATION}}
```
------
## クロスアカウントテーブル共有セットアップ (サブスクライバーステップ)
Security Lake は、Lake Formation のクロスアカウントテーブル共有を使用してサブスクライバーのクエリアクセスをサポートします。Security Lake コンソール、API、または でクエリアクセスを持つサブスクライバーを作成すると AWS CLI、Security Lake は AWS Resource Access Manager () で[リソース共有](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-terms-and-concepts.html#term-resource-share)を作成して、関連する Lake Formation テーブルに関する情報をサブスクライバーと共有しますAWS RAM。
クエリアクセス権限を持つサブスクライバに特定の種類の編集を行うと、Security Lake は新しいリソース共有を作成します。詳細については、「[Security Lake でのクエリアクセスを持つサブスクライバーの編集](editing-query-access-subscriber.md)」を参照してください。
サブスクライバーは、次のステップに従って Lake Formation テーブルからデータを取得する必要があります。
1. **リソース共有を受け入れる** — サブスクライバーは、サブスクライバーを作成または編集したときに生成される、`resourceShareArn`と`resourceShareName`を含むリソース共有を受け入れる必要があります。次のいずれかのアクセス方法を選択します。
+ コンソールと については AWS CLI、[「リソース共有の招待の承諾 AWS RAM](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html)」を参照してください。
+ API の場合は、[GetResourceShareInvitations](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourceShareInvitations.html) API を呼び出します。`resourceShareArn`と`resourceShareName`でフィルタリングして、正しいリソースシェアを見つけてください。[AcceptResourceShareInvitation ](https://docs.aws.amazon.com/ram/latest/APIReference/API_AcceptResourceShareInvitation.html)API を使用して招待を受け入れます。
リソース共有の招待は 12 時間で期限切れになるため、12 時間以内に招待を検証して承諾する必要があります。招待の有効期限が切れても、引き続き `PENDING` 状態で表示されますが、招待を受け入れても共有リソースにアクセスできなくなります。12 時間以上経過したら、Lake Formation サブスクライバーを削除し、サブスクライバーを再作成して新しいリソース共有の招待状を取得します。
1. **共有データベースへのリソースリンクを作成する** – サブスクライバーは、共有 Lake Formation データベースへのリソースリンクを AWS Lake Formation (コンソールを使用している場合) または AWS Glue (API/AWS CLI を使用している場合) のいずれかで作成する必要があります。このリソースリンクは、サブスクライバーのアカウントを共有データベースにポイントします。次のいずれかのアクセス方法を選択します。
+ コンソールおよび については AWS CLI、[「 デベロッパーガイド」の「共有 Data Catalog データベースへのリソースリンクの作成](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-database.html)」を参照してください。 *AWS Lake Formation *
+ 利用者は、[CreateDatabase](https://docs.aws.amazon.com/glue/latest/webapi/API_CreateDatabase.html) API を使用してリソースリンクテーブルを格納する独自のデータベースも作成することをお勧めします。
1. **共有テーブルをクエリする** — Amazon Athena などのサービスはテーブルを直接参照でき、Security Lake が収集した新しいデータを自動的にクエリに使用できるようになります。クエリはサブスクライバーの で実行され AWS アカウント、クエリによって発生したコストはサブスクライバーに請求されます。自分の Security Lake アカウントのリソースへの読み取りアクセスを制御できます。
*クロスアカウント権限の付与について詳しくは、「AWS Lake Formation デベロッパーガイド*」の「[Lake Formation でのクロスアカウントデータ共有](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html)」を参照してください。