

# 設定、管理、プログラムによるアクセス
<a name="setting-up"></a>

Amazon Web Services に既にサインアップしている場合は、Amazon Athena の使用を今すぐ開始できます。AWS にまだサインアップしていない場合、または開始するのにサポートが必要な場合は、必ず次のタスクを完了します。

## AWS アカウントへのサインアップ
<a name="sign-up-for-aws"></a>

AWS の使用を開始するには、AWS アカウント が必要です。AWS アカウントの作成については、「*AWS アカウント管理 リファレンスガイド*」の「[AWS アカウントの始め方](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)」を参照してください。

## プログラム的なアクセス権を付与する
<a name="setting-up-grant-programmatic-access"></a>

AWS マネジメントコンソール の外部で AWS を操作するには、ユーザーはプログラムによるアクセスが必要です。プログラムによるアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。

ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。


****  

| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 | 
| --- | --- | --- | 
| IAM | (推奨) 一時的な認証情報としてコンソール認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/setting-up.html) | 
| ワークフォースアイデンティティ<br />(IAM アイデンティティセンターで管理されているユーザー) | 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/setting-up.html) | 
| IAM | 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | IAM ユーザーガイドの「[AWS リソースでの一時的な認証情報の使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)」の指示に従ってください。 | 
| IAM | (非推奨)長期的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/athena/latest/ug/setting-up.html) | 

## Athena を使用するためのマネージドポリシーをアタッチする
<a name="setting-up-attach-managed-policies-for-athena"></a>

Athena マネージドポリシーは Athena 機能を使用するアクセス許可を付与します。これらのマネージドポリシーを、ユーザーが Athena を使用するために割り当てられる 1 つ以上の IAM ロールにアタッチできます。

 IAM [ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) は、特定の許可があり、アカウントで作成できるもう 1 つの IAM アイデンティティです。IAM ロールは、ID が AWS で実行できることとできないことを決定する許可ポリシーを持つ AWS ID であるという点で IAM ユーザーと似ています。ただし、ユーザーは 1 人の特定の人に一意に関連付けられますが、ロールはそれを必要とする任意の人が引き受けるようになっています。また、ロールには標準の長期認証情報 (パスワードやアクセスキーなど) も関連付けられません。代わりに、ロールを引き受けると、ロールセッション用の一時的なセキュリティ認証情報が提供されます。

ロールの詳細については、「*IAM ユーザーガイド*」の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」および「[IAM ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)」を参照してください。

Athena へのアクセスを付与するロールを作成するには、そのロールに Athena マネージドポリシーをアタッチします。Athena には `AmazonAthenaFullAccess` と `AWSQuicksightAthenaAccess` の 2 つのマネージドポリシーがあります。これらのポリシーは、代わりに、Amazon S3 にクエリを実行し、クエリ結果を別のバケットに書き込むためのアクセス許可を Athena に付与します。Athena のポリシーの内容を確認するには、「[AWSAmazon Athena の 管理ポリシー](security-iam-awsmanpol.md)」を参照してください。

Athena マネージドポリシーをロールにアタッチする手順については、「*IAM ユーザーガイド*」の「[IAM ID アクセス許可の追加 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)」に従って、`AmazonAthenaFullAccess` および `AWSQuicksightAthenaAccess` のマネージドポリシーを、作成したロールに追加します。

**注記**  
Amazon S3 内の基盤となるデータセットにアクセスするには、追加の許可が必要になる場合があります。アカウントの所有者ではないか、バケットへのアクセスが制限されている場合は、バケット所有者に連絡してリソースベースのバケットポリシーを使用するアクセス権を付与してもらうか、アカウント管理者に連絡してロールベースのポリシーを使用するアクセス権を付与してもらいます。詳細については、「[Athena から Amazon S3 へのアクセスを制御する](s3-permissions.md)」を参照してください。データセットまたは Athena クエリ結果が暗号化されている場合は、追加の許可が必要になる場合があります。詳細については、「[保管中の暗号化](encryption.md)」を参照してください。