Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Überlegungen und Einschränkungen zum Abfragen von bei Lake Formation registrierten Daten
<a name="lf-athena-limitations"></a>

Beachten Sie Folgendes, wenn Sie Athena verwenden, um in Lake Formation registrierte Daten abzufragen. Weitere Informationen finden Sie unter [Bekannte Probleme für AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html) im *AWS Lake Formation -Entwicklerhandbuch*.

**Topics**
+ [Spaltenmetadaten, die in einigen Fällen für Benutzer ohne Datenberechtigungen für Spalten sichtbar sind](#lf-athena-limitations-column-metadata)
+ [Arbeiten mit Lake-Formation-Berechtigungen für Ansichten](#lf-athena-limitations-permissions-to-views)
+ [Iceberg-DDL-Support](#lf-athena-limitations-iceberg-ddl-operations)
+ [Differenzierte Zugriffskontrolle von Lake Formation und Athena-Arbeitsgruppen](#lf-athena-limitations-fine-grained-access-control)
+ [Athena-Abfrageergebnisse-Speicherort in Amazon S3 nicht bei Lake Formation registriert](#lf-athena-limitations-query-results-location)
+ [Verwenden von Athena-Workgroups zum Einschränken des Zugriffs auf den Abfrageverlauf](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [CSE KMS Amazon S3, das bei Lake Formation registriert ist, kann in Athena nicht abgefragt werden](#lf-athena-limitations-cse-kms)
+ [Speicherorte für partitionierte Daten, die bei Lake Formation registriert sind, müssen sich in Tabellen-Unterverzeichnissen befinden](#lf-athena-limitations-partioned-data-locations)
+ [Erstellen von CTAS (Table As Select)-Abfragen erfordern Amazon-S3-Schreibberechtigungen](#lf-athena-limitations-ctas-queries)
+ [Die DESCRIBE-Berechtigung ist für die Standarddatenbank erforderlich](#lf-athena-limitations-describe-default)

## Spaltenmetadaten sind mit Avro und Benutzerdefiniert unter bestimmten Umständen für nicht autorisierte Benutzer sichtbar SerDe
<a name="lf-athena-limitations-column-metadata"></a>

Die Autorisierung auf Lake-Formation-Spaltenebene verhindert, dass ein Benutzer auf Daten in Spalten zugreift, für die er keine Lake-Formation-Berechtigungen besitzt. In bestimmten Situationen können Benutzer jedoch auf Metadaten zugreifen, die alle Spalten in der Tabelle beschreiben, einschließlich der Spalten, für deren Daten sie keine Berechtigungen besitzen.

Dies tritt auf, wenn Spaltenmetadaten in Tabelleneigenschaften für Tabellen gespeichert werden, die entweder das Apache Avro-Speicherformat oder einen benutzerdefinierten Serializer/Deserializer (SerDe) verwenden, in dem das Tabellenschema zusammen mit der Definition in den Tabelleneigenschaften definiert ist. SerDe Wenn Sie Athena mit Lake Formation verwenden, empfehlen wir, den Inhalt der Tabelleneigenschaften zu überprüfen, die Sie in Lake Formation registrieren, und nach Möglichkeit die in den Tabelleneigenschaften gespeicherten Informationen zu begrenzen, um zu verhindern, dass vertrauliche Metadaten für Benutzer sichtbar sind.

## Lake Formation und Aussichten verstehen
<a name="lf-athena-limitations-permissions-to-views"></a>

Für bei Lake Formation registrierte Daten kann ein Athena-Benutzer nur dann ein `VIEW` erstellen, wenn er über Lake-Formation-Berechtigungen für die Tabellen, Spalten und Amazon-S3-Quelldatenspeicherorte verfügt, auf denen `VIEW` basiert. Nachdem ein `VIEW` in Athena erstellt wurde, können die Berechtigungen für Lake Formation auf das `VIEW` angewendet werden. Berechtigungen auf Spaltenebene sind für einen `VIEW` nicht verfügbar. Benutzer mit Lake-Formation-Berechtigungen für einen `VIEW` aber ohne Berechtigungen für die Tabelle und Spalten, auf denen die Ansicht basiert, können den `VIEW` nicht zur Datenabfrage verwenden. Benutzer mit dieser Berechtigungskombination können jedoch Anweisungen wie `DESCRIBE VIEW`, `SHOW CREATE VIEW` und `SHOW COLUMNS` verwenden, um `VIEW`-Metadaten anzuzeigen. Stellen Sie daher sicher, dass Sie die Lake-Formation-Berechtigungen für jeden `VIEW` an den zugrunde liegenden Tabellenberechtigungen ausrichten. Zellfilter, die für eine Tabelle definiert sind, gelten nicht für einen `VIEW` für diese Tabelle. Die Namen der Ressourcenlinks müssen den gleichen Namen wie die Ressource im Ausgangskonto haben. Bei der Arbeit mit Ansichten in einer kontoübergreifenden Konfiguration gibt es zusätzliche Einschränkungen. Weitere Informationen zum Einrichten von Berechtigungen für freigegebene Ansichten über Konten hinweg finden Sie unter [Kontoübergreifenden Zugriff auf den Datenkatalog konfigurieren](lf-athena-limitations-cross-account.md).

## Iceberg-DDL-Support
<a name="lf-athena-limitations-iceberg-ddl-operations"></a>

Athena unterstützt derzeit keine DDL-Operationen auf Iceberg-Tabellen, deren Standort bei Lake Formation registriert ist. Der Versuch, eine DDL-Abfrage für eine dieser Iceberg-Tabellen auszuführen, kann zu einem Amazon-S3-Fehler „Zugriff verweigert“ führen oder mit einem Abfrage-Timeout fehlschlagen. DDL-Operationen an Iceberg-Tabellen erfordern, dass der Benutzer direkten Amazon-S3-Zugriff auf den Speicherort der Iceberg-Tabelle hat.

## Differenzierte Zugriffskontrolle von Lake Formation und Athena-Arbeitsgruppen
<a name="lf-athena-limitations-fine-grained-access-control"></a>

Benutzer in derselben Athena-Arbeitsgruppe können die Daten anzeigen, die die differenzierte Zugriffskontrolle von Lake Formation so konfiguriert hat, dass sie für die Arbeitsgruppe zugänglich sind. Weitere Informationen zur Verwendung der differenzierten Zugriffskontrolle in Lake Formation finden Sie unter [Verwaltung der differenzierten Zugriffskontrolle mithilfe von AWS Lake Formation](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/) im *AWS -Big-Data-Blog*. 

## Athena-Abfrageergebnisse-Speicherort in Amazon S3 nicht bei Lake Formation registriert
<a name="lf-athena-limitations-query-results-location"></a>

Die Abfrageergebnisorte in Amazon S3 für Athena können nicht bei Lake Formation registriert werden. Lake-Formation-Berechtigungen beschränken den Zugriff auf diese Standorte nicht. Wenn Sie den Zugriff nicht einschränken, können Athena-Benutzer auf Abfrageergebnisdateien und Metadaten zugreifen, wenn sie keine Lake-Formation-Berechtigungen für die Daten haben. Um dies zu vermeiden, sollten Sie Arbeitsgruppen verwenden, um den Speicherort für Abfrageergebnisse anzugeben und die Arbeitsgruppenmitgliedschaft mit den Lake-Formation-Berechtigungen auszurichten. Anschließend können Sie IAM-Berechtigungsrichtlinien verwenden, um den Zugriff auf Abfrageergebnisspeicherorte zu beschränken. Weitere Informationen zu Abfrageergebnissen finden Sie unter [Arbeiten mit Abfrageergebnissen und aktuellen Abfragen](querying.md).

## Verwenden von Athena-Workgroups zum Einschränken des Zugriffs auf den Abfrageverlauf
<a name="lf-athena-limitations-use-workgroups-to-limit-access-to-query-history"></a>

Der Abfrageverlauf von Athena stellt eine Liste gespeicherter Abfragen und vollständiger Abfragezeichenfolgen bereit. Sofern Sie nicht Arbeitsgruppen verwenden, um den Zugriff auf Abfrageverläufe zu trennen, können Athena-Benutzer, die nicht zum Abfragen von Daten in Lake Formation berechtigt sind, Abfragezeichenfolgen anzeigen, die für diese Daten ausgeführt werden, einschließlich Spaltennamen, Auswahlkriterien usw. Es wird empfohlen, Arbeitsgruppen zu verwenden, um Abfrageverläufe zu trennen und Athena-Arbeitsgruppenmitgliedschaft mit Lake-Formation-Berechtigungen auszurichten, um den Zugriff zu beschränken. Weitere Informationen finden Sie unter [Verwendung von Arbeitsgruppen zur Kontrolle des Abfragenzugriffs und der Kosten](workgroups-manage-queries-control-costs.md).

## Abfrage von CSE\$1KMS-verschlüsselten Tabellen, die bei Lake Formation registriert sind
<a name="lf-athena-limitations-cse-kms"></a>

OTF-Tabellen (Open Table Format) wie Apache Iceberg, die die folgenden Eigenschaften aufweisen, können mit Athena nicht abgefragt werden:
+ Die Tabellen basieren auf Amazon-S3-Datenstandorten, die bei Lake Formation registriert sind.
+ Die Objekte in Amazon S3 werden mithilfe der clientseitigen Verschlüsselung (CSE) verschlüsselt.
+ Die Verschlüsselung verwendet vom Kunden verwaltete Schlüssel (). AWS KMS `CSE_KMS`

Um Nicht-OTF-Tabellen abzufragen, die mit einem `CSE_KMS` Schlüssel verschlüsselt sind, fügen Sie der Richtlinie des AWS KMS Schlüssels, den Sie für die CSE-Verschlüsselung verwenden, den folgenden Block hinzu. *<KMS\$1KEY\$1ARN>*ist der ARN des AWS KMS Schlüssels, der die Daten verschlüsselt. *<IAM-ROLE-ARN>*ist der ARN der IAM-Rolle, die den Amazon S3 S3-Standort in Lake Formation registriert.

```
{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "kms:Decrypt",
    "Resource": "<KMS-KEY-ARN>",
    "Condition": {
        "ArnLike": {
            "aws:PrincipalArn": "<IAM-ROLE-ARN>"
        }
    }
}
```

## Speicherorte für partitionierte Daten, die bei Lake Formation registriert sind, müssen sich in Tabellen-Unterverzeichnissen befinden
<a name="lf-athena-limitations-partioned-data-locations"></a>

Bei Lake Formation registrierte partitionierte Tabellen müssen über partitionierte Daten in Verzeichnissen verfügen, die Unterverzeichnisse der Tabelle in Amazon S3 sind. Beispielsweise kann eine Tabelle mit dem Speicherort `s3://amzn-s3-demo-bucket/mytable` und den Partitionen `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12` usw. in Lake Formation registriert und mit Athena abgefragt werden. Andererseits kann eine Tabelle mit dem Speicherort `s3://amzn-s3-demo-bucket/mytable` und Partitionen in `s3://amzn-s3-demo-bucket/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/dt=2019-07-12` usw. nicht in Lake Formation registriert werden. Da solche Partitionen keine Unterverzeichnisse von `s3://amzn-s3-demo-bucket/mytable` sind, können sie auch nicht von Athena gelesen werden.

## Erstellen von CTAS (Table As Select)-Abfragen erfordern Amazon-S3-Schreibberechtigungen
<a name="lf-athena-limitations-ctas-queries"></a>

Create Table As Statements (CTAS) erfordern Schreibzugriff auf den Amazon-S3-Speicherort von Tabellen. Um CTAS-Abfragen für bei Lake Formation registrierte Daten auszuführen, müssen Athena-Benutzer zusätzlich zu den entsprechenden Lake-Formation-Berechtigungen zum Lesen der Datenstandorte über IAM-Berechtigungen zum Schreiben in die Tabelle von Amazon-S3-Standorten verfügen. Weitere Informationen finden Sie unter [Erstellen einer Tabelle aus Abfrageergebnissen (CTAS)](ctas.md).

## Die DESCRIBE-Berechtigung ist für die Standarddatenbank erforderlich
<a name="lf-athena-limitations-describe-default"></a>

Die Lake Formation `DESCRIBE`-Genehmigung ist für die `default`-Datenbank erforderlich, damit Lake Formation sie sehen kann. Der folgende AWS CLI Beispielbefehl erteilt dem Benutzer `datalake_user1` im AWS Konto `111122223333` die `DESCRIBE` Berechtigung für die `default` Datenbank.

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```

Weitere Informationen finden Sie unter [BESCHREIBEN](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe) im *AWS Lake Formation Entwicklerhandbuch*.