Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erteilung von Berechtigungen zum Speicherort von Daten
<a name="granting-location-permissions"></a>

Mit Datenstandortberechtigungen AWS Lake Formation in können Prinzipale Datenkatalogressourcen erstellen und ändern, die auf bestimmte registrierte Amazon S3 S3-Standorte verweisen. Datenstandortberechtigungen funktionieren zusätzlich zu den Datenberechtigungen von Lake Formation, um Informationen in Ihrem Data Lake zu sichern.

Lake Formation verwendet den Dienst AWS Resource Access Manager (AWS RAM) nicht für die Erteilung von Datenstandortberechtigungen, sodass Sie für Datenstandortberechtigungen keine Einladungen zur gemeinsamen Nutzung von Ressourcen annehmen müssen.

Sie können Datenstandortberechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder AWS Command Line Interface (AWS CLI) erteilen.

**Anmerkung**  
Damit ein Grant erfolgreich ist, müssen Sie zuerst den Datenstandort bei Lake Formation registrieren.

**Weitere Informationen finden Sie unter:**  
[Underlying data access control](access-control-underlying-data.md#data-location-permissions)

**Topics**
+ [Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md)
+ [Erteilen von Datenstandortberechtigungen (externes Konto)](granting-location-permissions-external.md)
+ [Erteilen von Berechtigungen für einen Datenstandort, der mit Ihrem Konto geteilt wird](regranting-locations.md)

# Erteilen von Datenspeicherberechtigungen (dasselbe Konto)
<a name="granting-location-permissions-local"></a>

Gehen Sie wie folgt vor, um Prinzipalen in Ihrem AWS Konto Datenstandortberechtigungen zu erteilen. Sie können Berechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

------
#### [ AWS-Managementkonsole ]

**So gewähren Sie Berechtigungen zum Speicherort von Daten (dasselbe Konto)**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator oder als Principal an, dem Berechtigungen für den gewünschten Datenspeicherort erteilt wurden.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** aus.

1. Wählen Sie **Grant (Erteilen)**.

1. Stellen Sie sicher, dass im Dialogfeld **Berechtigungen gewähren** die Kachel **Mein Konto** ausgewählt ist. Geben Sie dann die folgenden Informationen ein:
   + Wählen Sie für **IAM-Benutzer und -Rollen** einen oder mehrere Prinzipale aus. 
   + Geben Sie für **SAML- und Amazon Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Amazon Quick-Benutzer oder -Gruppen.

     Geben Sie jeweils einen ARN ein und drücken **Sie nach jedem ARN die Eingabetaste**. Informationen zur Erstellung von finden Sie ARNs unter[Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format).
   + Wählen Sie für **Speicherorte** die Option **Durchsuchen** und wählen Sie einen Amazon Simple Storage Service (Amazon S3) -Speicherort aus. Der Standort muss bei Lake Formation registriert sein. Wählen Sie erneut **Durchsuchen**, um einen weiteren Standort hinzuzufügen. Sie können den Standort auch eingeben, stellen Sie jedoch sicher, dass Sie dem Standort Folgendes `s3://` voranstellen.
   + Geben Sie **unter Registrierter Kontostandort** die AWS Konto-ID ein, bei der der Standort registriert ist. Dies ist standardmäßig Ihre Konto-ID. In einem kontoübergreifenden Szenario können Data Lake-Administratoren in einem Empfängerkonto hier das Besitzerkonto angeben, wenn sie anderen Prinzipalen im Empfängerkonto die Datenspeicherberechtigung erteilen.
   + **(Optional) Wählen Sie Grantable aus, damit die ausgewählten Principals Datenstandortberechtigungen für den ausgewählten Standort erteilen können.**  
![\[Im Dialogfeld Berechtigungen gewähren sind der Benutzer datalake_user und der Speicherort s3://119 ausgewählt. retail/transactions/q\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-location-dialog-local.png)

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

**Um Berechtigungen für den Datenspeicherort zu gewähren (dasselbe Konto)**
+ Führen Sie einen `grant-permissions` Befehl aus und gewähren Sie `DATA_LOCATION_ACCESS` dem Principal, wobei Sie den Amazon S3 S3-Pfad als Ressource angeben.  
**Example**  

  Im folgenden Beispiel werden dem Benutzer Berechtigungen `s3://retail` zum Speicherort von Daten erteilt`datalake_user1`.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
  ```  
**Example**  

  Im folgenden Beispiel werden einer `ALLIAMPrincipals` Gruppe `s3://retail` Datenspeicherberechtigungen erteilt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
  ```

------

**Weitere Informationen finden Sie unter:**  
[Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md)

# Erteilen von Datenstandortberechtigungen (externes Konto)
<a name="granting-location-permissions-external"></a>

Gehen Sie wie folgt vor, um einem externen AWS Konto oder einer externen Organisation Datenspeicherberechtigungen zu erteilen. 

Sie können Berechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

**Bevor Sie beginnen**  
Stellen Sie sicher, dass alle Voraussetzungen für den kontoübergreifenden Zugriff erfüllt sind. Weitere Informationen finden Sie unter [Voraussetzungen](cross-account-prereqs.md).

------
#### [ AWS-Managementkonsole ]

**Um Berechtigungen zum Speicherort von Daten zu gewähren (externes Konto, Konsole)**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** und dann **Grant** aus.

1. Wählen Sie im Dialogfeld „**Berechtigungen gewähren**“ die Kachel **Externes Konto** aus.

1. Geben Sie die folgenden Informationen ein:
   + Geben Sie als **AWS Konto-ID oder AWS Organisations-ID** gültige AWS Kontonummern IDs, Organisation oder Organisationseinheit ein IDs.

     Drücken **Sie nach jeder ID die Eingabetaste**.

     Eine Organisations-ID besteht aus „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.

     Eine Organisationseinheit-ID besteht aus „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweites „-“ (Bindestrich) und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.
   + Wählen Sie unter **Speicherorte** die Option **Durchsuchen** und wählen Sie einen Amazon Simple Storage Service (Amazon S3) -Speicherort aus. Der Standort muss bei Lake Formation registriert sein.  
![\[Im Dialogfeld „Berechtigungen erteilen“ ist das Optionsfeld Externes AWS Konto ausgewählt, ein Konto und ein Speicherort angegeben.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-location-dialog-external.png)

1. Wählen Sie **Grantable** aus.

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

**Um Berechtigungen zum Speicherort von Daten zu gewähren (externes Konto, AWS CLI)**
+ Um einem externen AWS Konto Berechtigungen zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` mit der Grant-Option das Konto 1111-2222-3333 am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, das dem Konto 1234-5678-9012 gehört.

  Um einer Organisation Berechtigungen zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` der Organisation `o-abcdefghijkl` am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, der dem Konto 1234-5678-9012 gehört, die Option Grant.

   Um einem Principal Berechtigungen in einem externen AWS Konto zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` einem Principal das Konto 1111-2222-3333 am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, das dem Konto 1234-5678-9012 gehört.  
**Example**  

  Im folgenden Beispiel werden Datenstandortberechtigungen für Gruppen in einem externen Konto erteilt. `s3://retail` `ALLIAMPrincipals`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
  ```

------

**Weitere Informationen finden Sie unter:**  
[Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md)

# Erteilen von Berechtigungen für einen Datenstandort, der mit Ihrem Konto geteilt wird
<a name="regranting-locations"></a>

Nachdem eine Datenkatalogressource für Ihr AWS Konto freigegeben wurde, können Sie als Data Lake-Administrator anderen Prinzipalen in Ihrem Konto Berechtigungen für die Ressource gewähren. Wenn die `ALTER` Berechtigung für eine gemeinsam genutzte Tabelle erteilt wurde und die Tabelle auf einen registrierten Amazon S3 S3-Standort verweist, müssen Sie auch Datenstandortberechtigungen für den Standort erteilen. Wenn die `ALTER` Berechtigung `CREATE_TABLE` oder für eine gemeinsam genutzte Datenbank erteilt wird und die Datenbank über eine Standorteigenschaft verfügt, die auf einen registrierten Standort verweist, müssen Sie ebenfalls Datenstandortberechtigungen für den Standort erteilen.

Um einem Hauptbenutzer in Ihrem Konto Datenstandortberechtigungen für einen gemeinsam genutzten Standort zu erteilen, muss Ihrem Konto die `DATA_LOCATION_ACCESS` Berechtigung für den Standort mit der Option „Gewähren“ erteilt worden sein. Wenn Sie dann einem anderen Auftraggeber in Ihrem Konto eine Genehmigung erteilen`DATA_LOCATION_ACCESS`, müssen Sie die Datenkatalog-ID (AWS Konto-ID) des Eigentümerkontos angeben. Das Besitzerkonto ist das Konto, mit dem der Standort registriert wurde.

Sie können die AWS Lake Formation Konsole, die API oder die AWS Command Line Interface () verwenden,AWS CLI um Datenstandortberechtigungen zu erteilen.

**Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (Konsole)**
+ Führen Sie die Schritte unter [Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md) aus.

  Für **Speicherorte** müssen Sie die Speicherorte eingeben. Geben Sie **unter Standort des registrierten AWS Kontos** die Konto-ID des Eigentümerkontos ein.

**Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (AWS CLI)**
+ Geben Sie einen der folgenden Befehle ein, um entweder einem Benutzer oder einer Rolle Berechtigungen zu erteilen.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  ```