Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von Berechtigungen für Daten in einem Amazon Redshift Redshift-Datashare
Mit AWS Lake Formation können Sie Daten in einem Datashare von Amazon Redshift sicher verwalten. Amazon Redshift ist ein vollständig verwalteter Data-Warehouse-Service im Petabyte-Bereich in der Cloud. AWS Mithilfe der Funktion zur gemeinsamen Nutzung von Daten hilft Ihnen Amazon Redshift dabei, Daten gemeinsam zu nutzen. AWS-Konten Weitere Informationen zur gemeinsamen Nutzung von Amazon Redshift-Daten finden Sie unter [Überblick über die gemeinsame Nutzung von Daten in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/data_sharing_intro.html).
In Amazon Redshift erstellt der Producer-Cluster-Administrator eine Datenfreigabe und teilt sie mit dem Data Lake-Administrator. step-by-stepAnweisungen zum Erstellen eines Data Lake-Administrators finden Sie unter. [Erstellen Sie einen Data Lake-Administrator](initial-lf-config.md#create-data-lake-admin)
Nachdem Sie (Data Lake-Administrator) die Datenfreigabe akzeptiert haben, müssen Sie eine AWS Glue Data Catalog Datenbank für die spezifische Datenfreigabe erstellen. Auf diese Weise können Sie den Zugriff darauf mithilfe der Lake Formation Formation-Berechtigungen steuern. Lake Formation ordnet jeden Datashare einer entsprechenden Datenkatalogdatenbank zu. Diese werden im Datenkatalog als Verbunddatenbanken angezeigt.
Eine Datenbank wird als *föderierte Datenbank* bezeichnet, wenn sie auf eine Entität außerhalb des Datenkatalogs verweist. Tabellen und Ansichten im Amazon Redshift Redshift-Datashare werden als einzelne Tabellen im Datenkatalog aufgeführt. Sie können die Verbunddatenbank mit ausgewählten IAM-Prinzipalen und SAML-Benutzern innerhalb desselben Kontos oder in einem anderen Konto mit Lake Formation teilen. Sie können auch Zeilen- und Spaltenfilterausdrücke verwenden, um den Zugriff auf bestimmte Daten einzuschränken. Weitere Informationen finden Sie unter [Datenfilterung und Sicherheit auf Zellebene in Lake Formation](data-filtering.md).
Um Benutzern Zugriff auf eine Amazon Redshift Redshift-Datenfreigabe zu gewähren, müssen Sie wie folgt vorgehen:
1. Aktualisieren Sie **die Datenkatalogeinstellungen**, um Lake Formation Formation-Berechtigungen zu aktivieren.
1. Nehmen Sie die Datashare-Einladung des Amazon Redshift Producer-Cluster-Administrators an und registrieren Sie das Datashare in Lake Formation.
Nach Abschluss dieses Schritts können Sie den Datenaustausch im Lake Formation Data Catalog verwalten.
1. Erstellen Sie eine Verbunddatenbank und definieren Sie Berechtigungen für diese Datenbank.
1. Erteilen Sie Benutzern Berechtigungen für Datenbanken und Tabellen. Sie können die gesamte Datenbank oder eine Teilmenge von Tabellen für Benutzer desselben Kontos oder eines anderen Kontos gemeinsam nutzen.
Einschränkungen finden Sie unter [Einschränkungen beim Datenaustausch mit Amazon Redshift](notes-rs-datashare.md).
**Topics**
+ [
# Voraussetzungen für die Einrichtung von Berechtigungen für Amazon Redshift Redshift-Datenfreigaben
](redshift-ds-prereqs.md)
+ [
# Berechtigungen für Amazon Redshift Redshift-Datenfreigaben einrichten
](setup-ds-perms.md)
+ [
# Abfragen verbundener Datenbanken
](qerying-fed-db.md)
# Voraussetzungen für die Einrichtung von Berechtigungen für Amazon Redshift Redshift-Datenfreigaben
**Aktualisieren Sie die Standardeinstellungen für den Datenkatalog**
Um Lake Formation-Berechtigungen für die Datenkatalogressourcen zu aktivieren, empfehlen wir, die Standardeinstellungen für den **Datenkatalog** in Lake Formation zu deaktivieren. Weitere Informationen finden Sie unter [Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus](initial-lf-config.md#setup-change-cat-settings).
**Berechtigungen aktualisieren**
Zusätzlich zu den Data Lake-Administratorberechtigungen (`AWSLakeFormationDataAdmin`) sind auch die folgenden Berechtigungen erforderlich, um eine Amazon Redshift-Datenfreigabe in Lake Formation zu akzeptieren:
+ `glue:PassConnection on aws:redshift`
+ `redshift:AssociateDataShareConsumer`
+ `redshift:DescribeDataSharesForConsumer`
+ `redshift:DescribeDataShares`
Der IAM-Benutzer des Data Lake-Administrators verfügt implizit über die folgenden Berechtigungen.
+ data\$1location\$1access
+ Datenbank erstellen
+ Lakefomation: Ressource registrieren
# Berechtigungen für Amazon Redshift Redshift-Datenfreigaben einrichten
In diesem Thema werden die Schritte beschrieben, die Sie ausführen müssen, um eine Einladung zur gemeinsamen Nutzung anzunehmen, eine Verbunddatenbank zu erstellen und Berechtigungen zu erteilen. Sie können die Lake Formation Formation-Konsole oder die AWS Command Line Interface (AWS CLI) verwenden. Die Beispiele in diesem Thema zeigen den Producer-Cluster, den Datenkatalog und den Datenverbraucher in demselben Konto.
Weitere Informationen zu den kontoübergreifenden Funktionen von Lake Formation finden Sie unter[Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md).
**So richten Sie Berechtigungen für eine Datenfreigabe ein**
1. Überprüfen Sie eine Datashare-Einladung und akzeptieren Sie sie.
------
#### [ Console ]
1. Melden Sie sich bei der Lake Formation Formation-Konsole als Data Lake-Administrator unter an [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Navigieren Sie zur Seite „**Datenfreigabe**“.
1. Überprüfen Sie die Datashares, auf die Sie zugreifen dürfen. In der Spalte **Status** wird Ihr aktueller Teilnahmestatus für den Datenaustausch angezeigt. Der Status **Ausstehend** gibt an, dass Sie zu einem Datashare hinzugefügt wurden, ihn aber noch nicht akzeptiert oder die Einladung abgelehnt haben.
1. **Um auf eine DataShare-Einladung zu antworten, wählen Sie den Namen des Datenaustauschs aus und klicken Sie auf Einladung überprüfen.** Überprüfen **Sie unter Datashare annehmen oder ablehnen** die Details der Einladung. Wählen Sie **Annehmen**, um die Einladung anzunehmen, oder **Ablehnen**, um die Einladung abzulehnen. Sie erhalten keinen Zugriff auf den Datashare, wenn Sie die Einladung ablehnen.
------
#### [ AWS CLI ]
Die folgenden Beispiele zeigen, wie Sie die Einladung ansehen, annehmen und registrieren können. Ersetzen Sie die AWS-Konto ID durch eine gültige AWS-Konto ID. Ersetzen Sie das `data-share-arn` durch den tatsächlichen Amazon-Ressourcennamen (ARN), der auf den Datashare verweist.
1. Eine ausstehende Einladung anzeigen.
```
aws redshift describe-data-shares \
--data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \
```
1. Akzeptieren Sie eine Datenfreigabe.
```
aws redshift associate-data-share-consumer \
--data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \
--consumer-arn 'arn:aws:glue:us-east-1:111122223333:catalog
```
1. Registrieren Sie den Datashare im Lake Formation Formation-Konto. Verwenden Sie den [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)API-Vorgang, um den Datashare in Lake Formation zu registrieren. `DataShareArn`ist der Eingabeparameter für. `ResourceArn`
**Anmerkung**
Dies ist ein obligatorischer Schritt.
```
aws lakeformation register-resource \
--resource-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds'
```
------
1. Erstellen Sie eine Datenbank.
Nachdem Sie eine Datshare-Einladung angenommen haben, müssen Sie eine Datenbank erstellen, die auf die Amazon Redshift Redshift-Datenbank verweist, die dem Datashare zugeordnet ist. Sie müssen ein Data Lake-Administrator sein, um eine Datenbank erstellen zu können.
------
#### [ Console ]
1. Wählen Sie im Bereich **Einladungen** den Datashare aus und klicken Sie auf **Datenbankdetails festlegen**.
1. Geben **Sie im Feld Datenbankdetails festlegen** einen eindeutigen Namen und eine eindeutige Kennung für die Datenfreigabe ein. Sie verwenden diesen Bezeichner, um den Datashare intern in der Metadatenhierarchie (DBName.Schema.Table) zuzuordnen.
1. Wählen Sie **Weiter**, um anderen Benutzern Berechtigungen für die gemeinsam genutzte Datenbank und die Tabellen zu gewähren.
------
#### [ AWS CLI ]
Verwenden Sie den folgenden Beispielcode, um eine Datenbank zu erstellen, die mithilfe von auf die Amazon Redshift Redshift-Datenbank verweist, die mit Lake Formation gemeinsam genutzt wird AWS CLI.
```
aws glue create-database --cli-input-json \
'{
"CatalogId": "111122223333",
"DatabaseInput": {
"Name": "tahoedb",
"FederatedDatabase": {
"Identifier": "arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds",
"ConnectionName": "aws:redshift"
}
}
}'
```
------
1. Erteilen Sie Berechtigungen.
Nachdem Sie die Datenbank erstellt haben, können Sie Benutzern in Ihrem Konto oder externen AWS-Konten Organisationen Berechtigungen gewähren. Sie können keine Schreibberechtigungen für Daten (Einfügen, Löschen) und Metadatenberechtigungen (Ändern, Löschen, Erstellen) für die Verbunddatenbank gewähren, die einem Amazon Redshift Redshift-Datenshare zugeordnet ist. Weitere Informationen zum Erteilen von Berechtigungen finden Sie unter. [Verwaltung von Lake Formation Formation-Berechtigungen](managing-permissions.md)
**Anmerkung**
Als Data Lake-Administrator können Sie nur Tabellen in den Verbunddatenbanken anzeigen. Um andere Aktionen ausführen zu können, müssen Sie sich selbst mehr Berechtigungen für diese Tabellen gewähren.
------
#### [ Console ]
1. Wählen Sie auf dem Bildschirm **Berechtigungen gewähren** die Benutzer aus, denen Sie Berechtigungen erteilen möchten.
1. Wählen Sie **Grant (Erteilen)**.
------
#### [ AWS CLI ]
Verwenden Sie die folgenden Beispiele, um Datenbank- und Tabellenberechtigungen zu gewähren, indem Sie AWS CLI:
```
aws lakeformation grant-permissions --input-cli-json file://input.json
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
},
"Resource": {
"Database": {
"CatalogId": "111122223333",
"Name": "tahoedb"
}
},
"Permissions": [
"DESCRIBE"
],
"PermissionsWithGrantOption": [
]
}
```
```
aws lakeformation grant-permissions --input-cli-json file://input.json
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
},
"Resource": {
"Table": {
"CatalogId": "111122223333",
"DatabaseName": "tahoedb",
"Name": "public.customer"
}
},
"Permissions": [
"SELECT"
],
"PermissionsWithGrantOption": [
"SELECT"
]
}
```
------
# Abfragen verbundener Datenbanken
Nachdem Sie die Berechtigungen erteilt haben, können sich Benutzer anmelden und mit der Abfrage der Verbunddatenbank mithilfe von Amazon Redshift beginnen. Benutzer können jetzt den lokalen Datenbanknamen verwenden, um in SQL-Abfragen auf den Amazon Redshift Redshift-Datashare zu verweisen. In Amazon Redshift wird für die Kundentabelle im öffentlichen Schema, die über den Datashare gemeinsam genutzt wird, eine entsprechende Tabelle wie `public.customer` im Datenkatalog erstellt.
1. Vor der Abfrage der Verbunddatenbank mit Amazon Redshift erstellt der Clusteradministrator mithilfe des folgenden Befehls eine Datenbank aus der Data Catalog-Datenbank:
```
CREATE DATABASE sharedcustomerdb FROM ARN 'arn:aws:glue::111122223333:database/tahoedb' WITH DATA CATALOG SCHEMA tahoedb
```
1. Der Clusteradministrator erteilt Nutzungsberechtigungen für die Datenbank.
```
GRANT USAGE ON DATABASE sharedcustomerdb TO IAM:user;
```
1. Sie (der Verbundbenutzer) können sich jetzt bei den SQL-Tools anmelden, um die Tabelle abzufragen.
```
Select * from sharedcustomerdb.public.customer limit 10;
```
Weitere Informationen finden Sie unter [Abfragen AWS Glue Data Catalog](https://docs.aws.amazon.com/redshift/latest/mgmt/query-editor-v2-glue.html) im Amazon Redshift Management Guide.