Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Datenaustausch mit tagbasierter Zugriffskontrolle AWS Lake Formation Tag-basierte Zugriffskontrolle (LF-TBAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In den folgenden Schritten wird erklärt, wie kontoübergreifende Berechtigungen mithilfe von LF-Tags erteilt werden. **Einrichtung für das Konto erforderlich producer/grantor** 1. LF-Tags hinzufügen. 1. Melden Sie sich bei der Lake Formation Console als Data Lake-Administrator oder LF-Tag-Ersteller an. 1. Wählen Sie in der linken Navigationsleiste **Berechtigungen** und **LF-Tags** und Berechtigungen aus. 1. Wählen Sie LF-Tag **hinzufügen**. Eine ausführliche Anleitung zum Erstellen von LF-Tags finden Sie unter. [LF-Tags erstellen](TBAC-creating-tags.md) 1. Erteilen **Sie** IAM-Prinzipalen in Ihrem Konto oder externen Konten die Berechtigungen Describe and/or **Associate** mit **LF-Tag-Schlüssel-Wert-Paaren**. Die Erteilung von Berechtigungen für **LF-Tag-Schlüssel-Wert-Paare** ermöglicht es den Prinzipalen, die LF-Tags einzusehen und sie den Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zuzuweisen. 1. Als Nächstes kann der Data Lake-Administrator oder ein IAM-Prinzipal mit **Associate-Berechtigung** das LF-Tag Datenbanken, Tabellen oder Spalten zuweisen. Weitere Informationen finden Sie unter [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md). 1. Als Nächstes erteilen Sie externen Konten mithilfe von LF-Tag-Ausdrücken Datenberechtigungen. Dadurch kann der Empfänger oder Empfänger der Berechtigungen auf die Datenkatalogressource (n) zugreifen, die mit denselben Schlüsseln und Werten gekennzeichnet sind. 1. Wählen Sie im Navigationsbereich die Optionen **Berechtigungen** und **Datenberechtigungen** aus. 1. Wählen Sie **Grant (Erteilen)**. 1. Wählen Sie auf der Seite **Berechtigungen gewähren** für **Principals** die Option **Externe Konten** aus und geben Sie die AWS-Konto Empfänger-ID oder die IAM-Rolle des Prinzipals oder den Amazon-Ressourcennamen (ARN) für den Prinzipal (Principal-ARN) ein, wenn Sie einem externen Prinzipal eine direkte kontoübergreifende Gewährung gewähren. Nachdem Sie die Konto-ID eingegeben haben, müssen **Sie die Eingabetaste** drücken. ![\[Der Bildschirm „Genehmigung erteilen“ mit den angegebenen Schlüsselwertpaaren für externes Konto und LF-Tag.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-acct-grant-tags.png) 1. Wählen Sie für **LF-Tags oder Katalogressourcen die Option Ressourcen, denen** LF-Tags **zugeordnet sind (empfohlen**). 1. **Wählen Sie die Option **LF-Tag-Schlüssel-Wert-Paare oder Gespeicherte LF-Tag-Ausdrücke**.** 1. **Wenn Sie **LF-Tag-Schlüssel-Wert-Paare wählen, geben Sie den Schlüssel und die Werte des LF-Tags** ein, das der Datenkatalogressource** zugeordnet ist, die mit dem **Konto des Empfängers** gemeinsam genutzt wird. Dem Empfänger werden Berechtigungen für die Datenkatalogressourcen gewährt, denen im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde. Wenn der LF-Tag-Ausdruck mehrere Werte pro Tag-Schlüssel angibt, kann jeder der Tag-Werte übereinstimmen. 1. Wählen Sie die Berechtigungen auf Datenbank- oder Tabellenebene aus, die für Ressourcen gewährt werden sollen, die dem LF-Tag-Ausdruck entsprechen. **Wichtig** Da der Data Lake-Administrator den Prinzipalen im Empfängerkonto Berechtigungen für gemeinsam genutzte Ressourcen gewähren muss, müssen Sie mit der Option Grant immer kontoübergreifende Berechtigungen gewähren. Weitere Informationen finden Sie unter [Erteilen von LF-Tag-Berechtigungen über die Konsole](TBAC-granting-tags-console.md). **Anmerkung** **Prinzipalen, die direkte kontoübergreifende Zuschüsse erhalten, steht die Option „Gewährbare Berechtigungen“ nicht zur Verfügung.** **Einrichtung für das Konto erforderlich receiving/grantee** 1. Melden Sie sich bei der Lake Formation Console als Data Lake-Administrator des Verbraucherkontos an. 1. Als Nächstes erhalten Sie den Ressourcenanteil im Kundenkonto. 1. Öffnen Sie die AWS RAM Konsole. 1. Wählen Sie im Navigationsbereich unter **Für mich freigegeben** die Option **Resource Shares** aus. 1. Wählen Sie die Ressourcenfreigaben aus und klicken Sie auf **Ressourcenfreigabe akzeptieren**. 1. Wenn Sie eine Ressource mit einem anderen Konto teilen, gehört die Ressource immer noch zum Produzentenkonto und ist in der Athena-Konsole nicht sichtbar. Um die Ressource in der Athena-Konsole sichtbar zu machen, müssen Sie einen Ressourcenlink erstellen, der auf die gemeinsam genutzte Ressource verweist. Anweisungen zum Erstellen eines Ressourcenlinks finden Sie unter [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalogtabelle erstellen](create-resource-link-table.md) und [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalog-Datenbank erstellen](create-resource-link-database.md) 1. Wählen Sie im Datenkatalog die Option **Datenbanken** oder **Tabellen** aus. 1. Wählen Sie auf der Databases/Tables Seite den Link **Erstellen**, **Ressource** aus. 1. Geben Sie die folgenden Informationen für einen Datenbankressourcen-Link ein: + **Name des Ressourcenlinks** — Ein eindeutiger Name für den Ressourcenlink. + **Zielkatalog** — Der Katalog, in dem Sie den Ressourcenlink erstellen. + **Gemeinsam genutzte Datenbankregion** — Die Region der Datenbank, die für Sie freigegeben wurde, wenn Sie den Ressourcenlink in einer anderen Region erstellen. + **Gemeinsam genutzte Datenbank** — Wählen Sie die gemeinsam genutzte Datenbank aus. + **Katalog-ID der gemeinsam genutzten Datenbank** — Geben Sie die Katalog-ID für die gemeinsam genutzte Datenbank ein. 1. Wählen Sie **Erstellen** aus. Sie können den neu erstellten Ressourcenlink in der Datenbankliste sehen. In ähnlicher Weise können Sie einen Ressourcenlink zu einer gemeinsam genutzten Tabelle erstellen. 1. Erteilen Sie nun den IAM-Prinzipalen, die Sie die Ressource gemeinsam nutzen, die **Beschreibungsberechtigung** für den Ressourcenlink. 1. **Wählen Sie auf der Seite **Datenbanken/Tabellen** den Ressourcenlink aus, und wählen Sie im Menü **Aktionen** die Option Gewähren aus.** 1. Wählen Sie im Abschnitt **Berechtigungen gewähren** die Option **IAM-Benutzer** und -Rollen aus. 1. Wählen Sie die IAM-Rolle aus, der Sie Zugriff auf den Ressourcenlink gewähren möchten. 1. Wählen Sie im Abschnitt Berechtigungen für **Ressourcenlinks** die Option **Beschreiben** aus. 1. Wählen Sie **Grant (Erteilen)**. 1. Erteilen Sie als Nächstes den Prinzipalen im Verbraucherkonto **LF-Tag-Schlüsselwertberechtigungen**. Sie sollten die LF-Tags, die mit Ihnen geteilt wurden, im Verbraucherkonto auf der Lake Formation Formation-Konsole unter **Berechtigungen, **LF-Tags** und Berechtigungen** finden können. Sie können von Grantor geteilte Tags mit Ressourcen verknüpfen, die über das Grantor-Konto gemeinsam genutzt wurden. Dazu gehören: Datenbanken, Tabellen und Spalten. Sie können anderen Prinzipalen weitere Berechtigungen für die Ressourcen gewähren. ![\[Auf dem Bildschirm werden die Berechtigungen für LF-Tags im Konto angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/lf-tag-permissions.png) 1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, Datenberechtigungen** **die Option Grant** aus.** 1. Wählen Sie auf der Seite **Berechtigungen gewähren** die Option **IAM-Benutzer und -Rollen** aus. 1. Wählen Sie als Nächstes die IAM-Benutzer und -Rollen in Ihrem Konto aus, um Zugriff auf die gemeinsam genutzten Datenbanken/Tabellen zu gewähren. 1. **Wählen Sie als Nächstes für **LF-Tags oder Katalogressourcen die Option Ressourcen**, denen LF-Tags zugeordnet sind.** 1. Wählen Sie als Nächstes den Schlüssel und die Werte des LF-Tags aus, das mit Ihnen geteilt wird. 1. Wählen Sie als Nächstes die Datenbank- und Tabellenberechtigungen aus, die Sie den IAM-Benutzern und -Rollen gewähren möchten. Sie können auch **Grantable Permissions** auswählen, sodass die IAM-Benutzer und -Rollen anderen Benutzer/Rollen Berechtigungen gewähren können. 1. Wählen Sie **Grant (Erteilen)**. 1. Sie können die erteilten Berechtigungen unter **Datenberechtigungen** in der Lake Formation Formation-Konsole einsehen.