

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Lake でクエリアクセス権を持つサブスクライバーを作成するための前提条件
<a name="prereqs-query-subscriber"></a>

Security Lake でデータにアクセスできるサブスクライバーを作成する前に、次の必要条件を満たす必要があります。

## アクセス許可の確認
<a name="add-query-subscriber-permissions"></a>

クエリアクセス権限を持つサブスクライバーを作成する前に、以下のアクションリストを実行する権限があることを確認してください。

権限を確認するには、IAM を使用して IAM ID に添付されている IAM ポリシーを確認してください。クエリアクセスのあるサブスクライバを作成するために実行が許可される必要がある次のアクションのリストと比較します。
+ `glue:PutResourcePolicy`
+ `glue:DeleteResourcePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRolePolicy`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `lakeformation:GrantPermissions`
+ `lakeformation:ListPermissions`
+ `lakeformation:RegisterResource`
+ `lakeformation:RevokePermissions`
+ `ram:GetResourceShareAssociations`
+ `ram:GetResourceShares`
+ `ram:UpdateResourceShare`

**重要**  
権限を確認したら:  
Security Lake コンソールを使用してクエリアクセス権限を持つサブスクライバーを追加する予定がある場合は、次のステップをスキップして[Lake Formation 管理者権限を付与](#permissions-lf-admin)に進んでください。Security Lake は必要なすべての IAM ロールを作成するか、ユーザーに代わって既存のロールを使用します。
Security Lake API または CLI を使用してクエリアクセス権限を持つサブスクライバーを追加する予定がある場合は、次のステップに進み、Security Lake データをクエリするための IAM ロールを作成します。

## Security Lake データをクエリする IAM ロールを作成する (API および AWS CLI専用ステップ)
<a name="iam-role-query-subscriber"></a>

Security Lake API または を使用してサブスクライバーにクエリアクセス AWS CLI を付与する場合は、 という名前のロールを作成する必要があります`AmazonSecurityLakeMetaStoreManager`。Security Lake はこのロールを使用して AWS Glue パーティションを登録し、 AWS Glue テーブルを更新します。「[必要な IAM ロールを作成する](getting-started.html#prerequisite-iam-roles)」で既にこのロールを作成している場合があります。

## Lake Formation 管理者権限を付与
<a name="permissions-lf-admin"></a>

また、Security Lake コンソールにアクセスしてサブスクライバーを追加するために使用する IAM ロールに Lake Formation 管理者権限を追加する必要があります。

次のステップに従って、自分のロールに Lake Formation 管理者権限を付与できます。

1. Lake Formation コンソール (‭‬[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)‬) を開きます。

1. 管理ユーザーとしてサインインする

1. [**Lake Formation へようこそ**] ウィンドウが表示されたら、ステップ 1 で作成または選択した ユーザーを選択し、[開始する] を選択します。

1. **[Lake Formation へようこそ]** ウィンドウが表示されない場合は、以下の手順を実行して Lake Formation 管理者を設定します。

   1. ナビゲーションペインの **[許可]** で **[管理ロールとタスク]** を選択します。**[データレイク管理者]** セクションで、**[管理者を選択]** を選択します。

   1. **データレイク管理者の管理**ダイアログボックスの IAM ユーザーとロールで、Security Lake コンソールにアクセスするときに使用する管理者ロールを選択し、[**保存**] を選択します。

データレイク管理者の権限変更の詳細については、「*AWS Lake Formation デベロッパーガイド」*の「[データレイク管理者の作成](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin)」を参照してください。

IAM ロールには、サブスクライバーにアクセス権を付与するデータベースとテーブルに対する`SELECT` 権限が必要です。その方法については、「*AWS Lake Formation デベロッパーガイド*」の「[名前付きリソースメソッドによる Data Catalog 権限の付与](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-cat-perms-named-resource.html)」を参照してください。