Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Bewährte Methoden, Überlegungen und Einschränkungen von Lake Formation In diesem Abschnitt finden Sie schnell bewährte Methoden, Überlegungen und Einschränkungen AWS Lake Formation. Die maximale Anzahl von [Serviceressourcen](https://docs.aws.amazon.com/general/latest/gr/lake-formation.html#limits_lake-formation) oder Vorgängen für Sie finden Sie unter Servicekontingenten AWS-Konto. **Topics** + [ # Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch ](cross-account-notes.md) + [ # Einschränkungen für dienstbezogene Rollen ](service-linked-role-limitations.md) + [ # Regionsübergreifende Beschränkungen des Datenzugriffs ](x-region-considerations.md) + [ # Überlegungen und Einschränkungen im Datenkatalog ](views-notes.md) + [ # Einschränkungen bei der Datenfilterung ](data-filtering-notes.md) + [ # Überlegungen und Einschränkungen des hybriden Zugriffsmodus ](notes-hybrid.md) + [ # Einschränkungen beim Einbringen von Amazon Redshift Data Warehouse-Daten in die AWS Glue Data Catalog ](notes-ns-catalog.md) + [ # Einschränkungen bei der Integration von S3-Tabellen ](notes-s3-catalog.md) + [ # Überlegungen und Einschränkungen beim Datenaustausch im Hive-Metadatenspeicher ](notes-hms.md) + [ # Einschränkungen beim Datenaustausch mit Amazon Redshift ](notes-rs-datashare.md) + [ # Einschränkungen bei der IAM Identity Center-Integration ](identity-center-lf-notes.md) + [ # Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation ](lf-tag-considerations.md) + [ # Überlegungen zur attributbasierten Zugriffskontrolle, Einschränkungen und unterstützte Regionen ](abac-considerations.md) # Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern AWS-Konten, verteilte Data Lakes sicher über mehrere AWS Organisationen hinweg oder direkt mit IAM-Prinzipalen in einem anderen Konto zu teilen und bieten so einen detaillierten Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten. Beachten Sie die folgenden bewährten Methoden, wenn Sie den kontoübergreifenden Datenaustausch mit Lake Formation verwenden: + Die Anzahl der Genehmigungen für Lake Formation, die Sie Schulleitern in Ihrem eigenen AWS Konto gewähren können, ist unbegrenzt. Lake Formation verwendet jedoch die Kapazität AWS Resource Access Manager (AWS RAM) für kontoübergreifende Zuschüsse, die Ihr Konto mit der benannten Ressourcenmethode gewähren kann. Um die AWS RAM Kapazität zu maximieren, folgen Sie diesen bewährten Methoden für die Methode der benannten Ressourcen: + Verwenden Sie den neuen kontenübergreifenden Grant-Modus (**Version 3** und höher unter **Einstellungen für kontoübergreifende Version**), um eine Ressource für externe AWS-Konto Benutzer freizugeben. Weitere Informationen finden Sie unter [Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten](optimize-ram.md). + Ordnen Sie AWS Konten in Organisationen an und gewähren Sie Organisationen oder Organisationseinheiten Berechtigungen. Ein Zuschuss für eine Organisation oder Organisationseinheit gilt als ein Zuschuss. Durch die Gewährung an Organisationen oder Organisationseinheiten entfällt auch die Notwendigkeit, eine AWS Resource Access Manager (AWS RAM) Einladung zur gemeinsamen Nutzung des Zuschusses anzunehmen. Weitere Informationen finden Sie unter [Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md). + Anstatt Berechtigungen für viele einzelne Tabellen in einer Datenbank zu gewähren, verwenden Sie den speziellen Platzhalter **Alle Tabellen**, um Berechtigungen für alle Tabellen in der Datenbank zu gewähren. Die Erteilung für **alle Tabellen** gilt als eine einzige Erteilung. Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für Datenkatalogressourcen](granting-catalog-permissions.md). **Anmerkung** Weitere Informationen zur Beantragung einer höheren Obergrenze für die Anzahl der Ressourcenfreigaben finden Sie unter [AWS Servicekontingenten](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) im *Allgemeine AWS-Referenz*. AWS RAM + Sie müssen einen Ressourcenlink zu einer gemeinsam genutzten Datenbank erstellen, damit diese Datenbank in den Abfrage-Editoren Amazon Athena und Amazon Redshift Spectrum angezeigt wird. Ebenso müssen Sie Ressourcenlinks zu den Tabellen erstellen, um gemeinsam genutzte Tabellen mit Athena und Redshift Spectrum abfragen zu können. Die Ressourcenlinks werden dann in der Tabellenliste der Abfrage-Editoren angezeigt. Anstatt Ressourcenlinks für viele einzelne Tabellen für Abfragen zu erstellen, können Sie den Platzhalter **Alle Tabellen** verwenden, um Berechtigungen für alle Tabellen in einer Datenbank zu gewähren. Wenn Sie dann einen Ressourcenlink für diese Datenbank erstellen und diesen Datenbankressourcen-Link im Abfrage-Editor auswählen, haben Sie Zugriff auf alle Tabellen in dieser Datenbank für Ihre Abfrage. Weitere Informationen finden Sie unter [Ressourcenlinks erstellen](creating-resource-links.md). + Wenn Sie Ressourcen direkt mit Principals in einem anderen Konto teilen, ist der IAM-Prinzipal im Empfängerkonto möglicherweise nicht berechtigt, Ressourcenlinks zu erstellen, um die gemeinsam genutzten Tabellen mit Athena und Amazon Redshift Spectrum abfragen zu können. Anstatt für jede gemeinsam genutzte Tabelle einen Ressourcenlink zu erstellen, kann der Data Lake-Administrator eine Platzhalterdatenbank erstellen und der Gruppe Berechtigungen erteilen`CREATE_TABLE`. `ALLIAMPrincipal` Anschließend können alle IAM-Prinzipale im Empfängerkonto Ressourcenlinks in der Platzhalterdatenbank erstellen und mit der Abfrage der gemeinsam genutzten Tabellen beginnen. Sehen Sie sich den CLI-Beispielbefehl zum Erteilen von Berechtigungen für `ALLIAMPrincipals` in an[Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode](granting-database-permissions.md). + Wenn kontoübergreifende Berechtigungen direkt einem Prinzipal erteilt werden, kann nur der Empfänger der Zuweisung diese Berechtigungen einsehen. Der Data Lake-Administrator im AWS Konto des Empfängers kann diese direkten Zuschüsse nicht einsehen. + Athena und Redshift Spectrum unterstützen die Zugriffskontrolle auf Spaltenebene, jedoch nur zur Inklusion, nicht zum Ausschluss. Die Zugriffskontrolle auf Spaltenebene wird in ETL-Jobs nicht unterstützt. AWS Glue + Wenn eine Ressource mit Ihrem AWS Konto geteilt wird, können Sie nur Benutzern in Ihrem Konto Berechtigungen für die Ressource gewähren. Sie können anderen AWS Konten, Organisationen (nicht einmal Ihrer eigenen Organisation) oder der `IAMAllowedPrincipals` Gruppe keine Berechtigungen für die Ressource gewähren. + Sie können einem externen Konto keine Rechte `DROP` oder `Super` für eine Datenbank gewähren. + Widerrufen Sie kontoübergreifende Berechtigungen, bevor Sie eine Datenbank oder Tabelle löschen. Andernfalls müssen Sie verwaiste Ressourcenanteile in löschen. AWS Resource Access Manager **Weitere Informationen finden Sie auch unter** [Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation](lf-tag-considerations.md) [`CREATE_TABLE`](lf-permissions-reference.md#perm-create-table)in der Liste finden Sie weitere Regeln und Einschränkungen [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md) für den kontoübergreifenden Zugriff. # Einschränkungen für dienstbezogene Rollen Eine serviceverknüpfte Rolle ist eine spezielle Art von IAM-Rolle, mit der direkt verknüpft ist. AWS Lake Formation Diese Rolle verfügt über vordefinierte Berechtigungen, die es Lake Formation ermöglichen, in Ihrem Namen AWS dienstübergreifende Aktionen auszuführen. Die folgenden Einschränkungen gelten, wenn Sie eine Service-Linked Role (SLR) verwenden, um Datenstandorte bei Lake Formation zu registrieren. + Sie können Richtlinien für dienstverknüpfte Rollen nicht mehr ändern, sobald sie einmal erstellt wurden. + Eine mit einem Dienst verknüpfte Rolle unterstützt keine kontenübergreifende gemeinsame Nutzung verschlüsselter Katalogressourcen. Verschlüsselte Ressourcen erfordern bestimmte AWS KMS Schlüsselberechtigungen. Mit Diensten verknüpfte Rollen verfügen über vordefinierte Berechtigungen, die nicht die Möglichkeit beinhalten, kontenübergreifend mit verschlüsselten Katalogressourcen zu arbeiten. + Wenn Sie mehrere Amazon S3 S3-Standorte registrieren, kann die Verwendung einer serviceverknüpften Rolle dazu führen, dass Sie Ihre IAM-Richtliniengrenzen schnell überschreiten. Das passiert, weil bei serviceverknüpften Rollen die Richtlinie für Sie AWS geschrieben wird und sie dann zu einem großen Block inkrementiert wird, der all Ihre Registrierungen umfasst. Sie können vom Kunden verwaltete Richtlinien effizienter erstellen, Berechtigungen auf mehrere Richtlinien verteilen oder unterschiedliche Rollen für verschiedene Regionen verwenden. + Amazon EMR on EC2 kann nicht auf Daten zugreifen, bei denen Sie Datenstandorte mit serviceverknüpften Rollen registrieren. + Bei Vorgängen mit servicebezogenen Rollen werden Ihre AWS Richtlinien zur Servicesteuerung umgangen. + Wenn Sie Datenstandorte mit einer serviceverknüpften Rolle registrieren, werden die IAM-Richtlinien letztendlich konsistent aktualisiert. Weitere Informationen finden Sie in der Dokumentation zur [IAM-Fehlerbehebung im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html#troubleshoot_general_eventual-consistency). + Sie können `SET_CONTEXT = TRUE` in Lake Formation Data Lake-Einstellungen nicht festlegen, wenn Sie serviceverknüpfte Rollen verwenden und Sie IAM Identity Center verwenden. Der Grund dafür ist, dass serviceverknüpfte Rollen unveränderliche Vertrauensrichtlinien haben, die nicht mit der vertrauenswürdigen Identitätsverbreitung kompatibel sind, die für die `SetContext` Überwachung mit IAM Identity Center-Prinzipalen erforderlich ist. # Regionsübergreifende Beschränkungen des Datenzugriffs Lake Formation unterstützt das Abfragen von Datenkatalogtabellen in allen Bereichen AWS-Regionen. Sie können mithilfe Amazon Athena von Amazon EMR und AWS Glue ETL von anderen Regionen aus auf Daten in einer Region zugreifen, indem Sie Ressourcenlinks in anderen Regionen erstellen, die auf die Quelldatenbanken und -tabellen verweisen. Mit regionsübergreifendem Tabellenzugriff können Sie auf Daten aus verschiedenen Regionen zugreifen, ohne die zugrunde liegenden Daten oder Metadaten in den Datenkatalog kopieren zu müssen. Die folgenden Einschränkungen gelten für den regionsübergreifenden Tabellenzugriff. + Lake Formation unterstützt das Abfragen von Datenkatalogtabellen aus einer anderen Region mit Amazon Redshift Spectrum nicht. + In der Lake Formation Formation-Konsole zeigen die Datenbank- und Tabellenansichten die Datenbank-/Tabellennamen der Quellregion nicht an. + **Um die Liste der Tabellen in einer gemeinsam genutzten Datenbank aus einer anderen Region anzuzeigen, müssen Sie zuerst einen Ressourcenlink zu der gemeinsam genutzten Datenbank erstellen, dann den Ressourcenlink auswählen und Tabellen anzeigen auswählen.** + Lake Formation unterstützt keine regionsübergreifenden Resource Link-Aufrufe von SAML-Benutzern. + Für die regionsübergreifende Funktion von Lake Formation fallen keine zusätzlichen Gebühren für Datenübertragungen an. # Überlegungen und Einschränkungen im Datenkatalog Die folgenden Überlegungen und Einschränkungen gelten für Datenkatalogansichten. + Sie können keine Datenkatalogansicht von der Lake Formation Formation-Konsole aus erstellen. Sie können Ansichten mit dem AWS CLI oder SDK erstellen. + Sie können Datenkatalogansichten aus 10 Tabellen erstellen. Es ist eine harte Grenze. Die einer Ansicht zugrunde liegenden Referenztabellen können zu derselben Datenbank oder zu verschiedenen Datenbanken innerhalb desselben AWS Kontos gehören. + Weitere Überlegungen und Einschränkungen speziell für die Erstellung von Datenkatalogsichten mit Redshift finden Sie im Abschnitt [Überlegungen und Einschränkungen zu Datenkatalogansichten](https://docs.aws.amazon.com/redshift/latest/dg/data-catalog-views-overview.html#data-catalog-views-considerations) im Amazon Redshift Database Developer Guide. Informationen zu Athena finden Sie im Abschnitt [Überlegungen und Einschränkungen zu Datenkatalogansichten](https://docs.aws.amazon.com/athena/latest/ug/views-glue.html#views-glue-limitations) im Amazon Athena Athena-Benutzerhandbuch. + Sie können Datenkatalogsichten für Tabellen erstellen, die bei Lake Formation registriert sind, sowohl im Hybridzugriffsmodus als auch im Lake Formation Formation-Modus. Bei der Verwendung von Datenkatalogsichten im Lake Formation Formation-Hybridzugriffsmodus wird empfohlen, sicherzustellen, dass die Hauptbenutzer, die die Ansicht verwenden, für Lake Formation Formation-Berechtigungen für die in der Ansicht referenzierten Basistabellen aktiviert sind, ohne Zugriff zu gewähren. Dadurch wird sichergestellt, dass die Basistabellen den Verbrauchern nicht über AWS Glue IAM-Berechtigungen zugänglich gemacht werden. + Bei der Version mit kontenübergreifendem Teilen von Ansichten gibt es keine Einschränkungen. + Ansichten werden genauso wie Datenkatalogtabellen versioniert, wenn Sie die `ALTER VIEW` Anweisung für einen bereits erstellten Ansichtsdialekt verwenden. Sie können nicht zu einer vorherigen Ansicht zurückkehren, da sich die Version der Ansicht mit den zugrunde liegenden Datenänderungen ändert. Sie können eine View-Version löschen und es wird standardmäßig die nächste verfügbare neueste Version verwendet. Wenn Sie die Ansichtsversion ändern, stellen Sie sicher, dass Ihre Daten mit dem ausgewählten Ansichtsversionsschema synchronisiert sind. + Es APIs werden keine neuen Datenkataloge eingeführt. Die vorhandenen `CreateTable``UpdateTable`, `DeleteTable` und `GetTable` APIs werden aktualisiert. + Amazon Redshift erstellt immer Ansichten mit Varchar-Spalten aus Tabellen mit Zeichenfolgen. Wenn Sie Dialekte aus anderen Engines hinzufügen, müssen Sie Zeichenkettenspalten mit einer expliziten Länge in Varchar umwandeln. + Die Gewährung von Data Lake-Berechtigungen `All tables` innerhalb einer Datenbank führt dazu, dass der Empfänger über Berechtigungen für alle Tabellen und Ansichten in der Datenbank verfügt. + Sie können keine Ansichten erstellen: + Diese verweisen auf andere Ansichten. + Wenn die Referenztabelle ein Ressourcenlink ist. + Wenn sich die Referenztabelle in einem anderen Konto befindet. + Aus externen Hive-Metastoren. + Kontoübergreifende Definerrollen werden für Redshift Spectrum Dialect-Ansichten nicht unterstützt. + Ressourcenlinks für den Athena-Dialekt im Athena-Abfrageeditor werden nicht unterstützt. Um kontenübergreifende Definerrollen für den Athena-Dialekt zu verwenden, fügen Sie das Konto, das die Basistabellen hostet, als Datenquelle in Athena hinzu. # Einschränkungen bei der Datenfilterung Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogtabelle gewähren, können Sie Datenfilterspezifikationen hinzufügen, um den Zugriff auf bestimmte Daten in Abfrageergebnissen und in Lake Formation integrierten Engines einzuschränken. Lake Formation verwendet Datenfilterung, um Sicherheit auf Spaltenebene, Sicherheit auf Zeilenebene und Sicherheit auf Zellebene zu erreichen. Sie können Datenfilter definieren und auf verschachtelte Spalten anwenden, wenn Ihre Quelldaten verschachtelte Strukturen enthalten. ## Hinweise und Einschränkungen für die Filterung auf Spaltenebene Es gibt drei Möglichkeiten, die Spaltenfilterung festzulegen: + Durch die Verwendung von Datenfiltern + Mithilfe einfacher Spaltenfilterung oder verschachtelter Spaltenfilterung. + Durch die Verwendung TAGs von. Einfache Spaltenfilterung gibt lediglich eine Liste von Spalten an, die ein- oder ausgeschlossen werden sollen. Sowohl die Lake Formation Formation-Konsole als auch die API AWS CLI unterstützen einfache Spaltenfilterung. Ein Beispiel finden Sie unter [Grant with Simple Column Filtering](granting-table-permissions.md#simple-column-filter-example). Die folgenden Hinweise und Einschränkungen gelten für die Spaltenfilterung: + AWS Glue 5.0 oder höher unterstützt eine differenzierte Zugriffskontrolle über Lake Formation nur für Apache Hive- und Apache Iceberg-Tabellen. + Für die Gewährung `SELECT` mit der Grant-Option und der Spaltenfilterung müssen Sie eine Einschlussliste und keine Ausschlussliste verwenden. Ohne die Option „Gewährung“ können Sie entweder Einschluss- oder Ausschlusslisten verwenden. + Um für eine Tabelle mit Spaltenfilterung eine Gewährung zu gewähren`SELECT`, müssen Sie für die Tabelle mit der Grant-Option und ohne Zeileneinschränkungen eine Erteilung erhalten `SELECT` haben. Sie müssen Zugriff auf alle Zeilen haben. + Wenn Sie die `SELECT` Gewährungsoption und die Spaltenfilterung für einen Hauptbenutzer in Ihrem Konto verwenden, muss dieser Hauptbenutzer bei der Gewährung an einen anderen Hauptbenutzer die Spaltenfilterung für dieselben Spalten oder eine Teilmenge der gewährten Spalten angeben. Wenn Sie die `SELECT` Gewährungsoption und die Spaltenfilterung für ein externes Konto verwenden, kann der Data Lake-Administrator des externen Kontos für alle Spalten einem anderen Prinzipal in seinem Konto gewähren`SELECT`. Aber selbst bei `SELECT` „Alle Spalten“ hat dieser Hauptbenutzer nur Zugriff auf die Spalten, die dem externen Konto zugewiesen wurden. + Sie können die Spaltenfilterung nicht auf Partitionsschlüssel anwenden. + Einem Prinzipal mit der `SELECT` Berechtigung für eine Teilmenge von Spalten in einer Tabelle kann die`ALTER`, `DROP``DELETE`, oder `INSERT` -Berechtigung für diese Tabelle nicht erteilt werden. Wenn Sie einem Prinzipal mit der `INSERT` Berechtigung `ALTER` `DROP``DELETE`,, oder für eine Tabelle die `SELECT` Berechtigung mit Spaltenfilterung erteilen, hat dies keine Auswirkung. Die folgenden Hinweise und Einschränkungen gelten für die Filterung verschachtelter Spalten: + Sie können fünf Ebenen verschachtelter Felder in einen Datenfilter einbeziehen oder ausschließen. **Example** Spal1.Col1\$11.Col1\$11\$11.Col1\$11\$11\$11.Col1\$11\$11\$11\$11 + Sie können keine Spaltenfilterung auf verschachtelte Felder in Partitionsspalten anwenden. + Wenn Ihr Tabellenschema einen Spaltennamen auf oberster Ebene enthält („Kunde“).“ „Adresse“), das dasselbe Muster einer verschachtelten Felddarstellung innerhalb eines Datenfilters aufweist (eine verschachtelte Spalte mit einem Spaltennamen der obersten Ebene `customer` und einem verschachtelten Feldnamen `address` wird wie `"customer"."address"` in einem Datenfilter angegeben), können Sie den Zugriff auf eine Spalte der obersten Ebene oder ein verschachteltes Feld nicht explizit angeben, da beide in den Listen nach demselben Muster dargestellt werden. inclusion/exclusion Dies ist mehrdeutig, und Lake Formation kann keine Lösung finden, wenn Sie die Spalte auf oberster Ebene oder das verschachtelte Feld angeben. + Wenn eine Spalte oder ein verschachteltes Feld auf oberster Ebene ein doppeltes Anführungszeichen im Namen enthält, müssen Sie ein zweites doppeltes Anführungszeichen angeben, wenn Sie den Zugriff auf ein verschachteltes Feld in der Ein- und Ausschlussliste eines Datenzellenfilters angeben. **Example** Beispiel für einen verschachtelten Spaltennamen mit doppelten Anführungszeichen — `a.b.double"quote` **Example** Beispiel für eine Darstellung verschachtelter Spalten in einem Datenfilter — ` "a"."b"."double""quote"` ## Einschränkungen bei der Filterung auf Zellebene Beachten Sie die folgenden Hinweise und Einschränkungen für die Filterung auf Zeilen- und Zellenebene. + Sicherheit auf Zellebene wird für verschachtelte Spalten, Ansichten und Ressourcenlinks nicht unterstützt. + Alle Ausdrücke, die in Spalten der obersten Ebene unterstützt werden, werden auch in verschachtelten Spalten unterstützt. Bei der Definition verschachtelter Ausdrücke auf Zeilenebene sollte jedoch **NICHT** auf verschachtelte Felder unter Partitionsspalten verwiesen werden. + Sicherheit auf Zellebene ist in allen Regionen verfügbar, wenn Sie Athena Engine Version 3 oder Amazon Redshift Spectrum verwenden. Für andere Dienste ist die Sicherheit auf Zellebene nur in den Regionen verfügbar, die auf der aufgeführt sind. [Unterstützte Regionen](supported-regions.md) + `SELECT INTO`-Anweisungen werden nicht unterstützt. + Die `array` `map` Datentypen und werden in Zeilenfilterausdrücken nicht unterstützt. Der `struct` Datentyp wird unterstützt. + Die Anzahl der Datenfilter, die für eine Tabelle definiert werden können, ist unbegrenzt, aber es gibt eine Obergrenze von 100 Datenfiltern für einen einzelnen Prinzipal in einer Tabelle. + Um einen Datenfilter mit einem Zeilenfilterausdruck anzuwenden, müssen `SELECT` Sie die Grant-Option auf alle Tabellenspalten anwenden. Diese Einschränkung gilt nicht für Administratoren in externen Konten, als die Gewährung für das externe Konto gewährt wurde. + Wenn ein Principal Mitglied einer Gruppe ist und sowohl dem Prinzipal als auch der Gruppe Berechtigungen für eine Teilmenge von Zeilen erteilt werden, sind die effektiven Zeilenberechtigungen des Prinzipals die Vereinigung der Berechtigungen des Prinzipals und der Gruppenberechtigungen. + Die folgenden Spaltennamen sind in einer Tabelle für die Filterung auf Zeilen- und Zellenebene eingeschränkt: + ctid + oid + xmin + cmin + xmax + cmax + Tischoide + xid einfügen + xid löschen + importoid + eindeutige ID von redcat + Wenn Sie den Filterausdruck für alle Zeilen gleichzeitig mit anderen Filterausdrücken mit Prädikaten auf eine Tabelle anwenden, hat der Ausdruck für alle Zeilen Vorrang vor allen anderen Filterausdrücken. + Wenn einem externen AWS Konto Berechtigungen für eine Teilmenge von Zeilen erteilt werden und der Data Lake-Administrator des externen Kontos diese Berechtigungen einem Prinzipal in diesem Konto erteilt, ist das effektive Filterprädikat des Prinzipals die Schnittmenge zwischen dem Prädikat des Kontos und allen Prädikaten, die dem Prinzipal direkt erteilt wurden. Wenn das Konto beispielsweise über Zeilenberechtigungen mit dem Prädikat verfügt `dept='hr'` und dem Prinzipal separat die Berechtigung erteilt wurde`country='us'`, hat der Principal nur Zugriff auf Zeilen mit und. `dept='hr'` `country='us'` Weitere Informationen zur Filterung auf Zellenebene finden Sie unter. [Datenfilterung und Sicherheit auf Zellebene in Lake Formation](data-filtering.md) Hinweise und Einschränkungen bei der Abfrage von Tabellen mithilfe von Amazon Redshift Spectrum mit Sicherheitsrichtlinien auf Zeilenebene finden Sie unter [Überlegungen und Einschränkungen bei der Verwendung von RLS-Richtlinien](https://docs.aws.amazon.com/redshift/latest/dg/t_rls_usage.html) im Amazon Redshift Database Developer Guide. # Überlegungen und Einschränkungen des hybriden Zugriffsmodus Der Hybridzugriffsmodus bietet die Flexibilität, selektiv Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen in Ihrem AWS Glue Data Catalog zu aktivieren.
 Mit dem Hybridzugriffsmodus verfügen Sie jetzt über einen inkrementellen Pfad, mit dem Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern festlegen können, ohne die Berechtigungsrichtlinien anderer vorhandener Benutzer oder Workloads zu unterbrechen. Die folgenden Überlegungen und Einschränkungen gelten für den hybriden Zugriffsmodus. **Einschränkungen** + **Amazon S3 S3-Standortregistrierung aktualisieren** — Sie können die Parameter eines Standorts, der mit einer serviceverknüpften Rolle bei Lake Formation registriert ist, nicht bearbeiten. + **Opt-in-Option bei der Verwendung von LF-Tags** — Wenn Sie Lake Formation Formation-Berechtigungen mithilfe von LF-Tags gewähren können, können Sie Principals aktivieren, um Lake Formation Formation-Berechtigungen in einem aufeinanderfolgenden Schritt durchzusetzen, indem Sie Datenbanken und Tabellen auswählen, denen LF-Tags angehängt sind. + Zugriff im **hybriden Zugriffsmodus** — Der Zugriff auf den hybriden Zugriffsmodus in Lake Formation ist auf Benutzer mit Data Lake-Administrator- oder Nur-Lese-Administratorrechten beschränkt. + **Opt-In Principals** — Derzeit kann nur eine Data Lake-Administratorrolle Principals für Ressourcen aktivieren. + **Alle Tabellen in einer Datenbank zulassen** — Wenn Sie bei kontoübergreifenden Zuweisungen Berechtigungen gewähren und sich für alle Tabellen in einer Datenbank anmelden, müssen Sie sich auch für die Datenbank anmelden, damit die Berechtigungen funktionieren. **Überlegungen** + **Aktualisierung des bei Lake Formation registrierten Amazon S3-Standorts auf den Hybridzugriffsmodus** — Wir empfehlen nicht, einen Amazon S3 S3-Datenstandort, der bereits bei Lake Formation registriert ist, in den Hybridzugriffsmodus zu konvertieren, obwohl dies möglich ist. + **API-Verhalten, wenn ein Datenstandort im Hybridzugriffsmodus registriert ist** + CreateTable — Der Standort gilt unabhängig von der Flagge für den hybriden Zugriffsmodus und dem Opt-In-Status als bei Lake Formation registriert. Daher benötigt der Benutzer die Datenstandortberechtigung, um eine Tabelle zu erstellen. + CreatePartition/BatchCreatePartitions/UpdatePartitions(wenn der Partitionsstandort so aktualisiert wird, dass er auf den mit Hybrid registrierten Standort verweist) — Der Amazon S3 S3-Standort gilt unabhängig von der Markierung für den hybriden Zugriffsmodus und dem Opt-in-Status als bei Lake Formation registriert. Daher benötigt der Benutzer die Datenstandortberechtigung, um eine Datenbank zu erstellen oder zu aktualisieren. + CreateDatabase/UpdateDatabase (wenn der Datenbankstandort so aktualisiert wird, dass er auf den im Hybridzugriffsmodus registrierten Standort verweist) — Der Standort gilt unabhängig von der Markierung für den Hybridzugriffsmodus und dem Opt-In-Status als bei Lake Formation registriert. Daher benötigt der Benutzer die Datenstandortberechtigung, um eine Datenbank zu erstellen oder zu aktualisieren. + UpdateTable (wenn ein Tabellenstandort so aktualisiert wird, dass er auf den Standort verweist, der im Hybridzugriffsmodus registriert ist) — Der Standort gilt unabhängig von der Markierung für den hybriden Zugriffsmodus und dem Opt-in-Status als bei Lake Formation registriert. Daher benötigt der Benutzer eine Datenstandortberechtigung, um die Tabelle zu aktualisieren. Wenn der Tabellenstandort nicht aktualisiert wird oder auf einen Speicherort verweist, der nicht bei Lake Formation registriert ist, benötigt der Benutzer keine Datenstandortberechtigung, um die Tabelle zu aktualisieren. # Einschränkungen beim Einbringen von Amazon Redshift Data Warehouse-Daten in die AWS Glue Data Catalog Mit dem können Sie den Zugriff auf Analysedaten in Amazon Redshift Data Warehouses katalogisieren und verwalten. AWS Glue Data Catalog Die folgenden Einschränkungen gelten: + Kontoübergreifendes Teilen wird auf Ebene des Verbundkatalogs nicht unterstützt. Sie können jedoch einzelne Datenbanken und Tabellen innerhalb eines Verbundkatalogs für mehrere Benutzer gemeinsam nutzen. AWS-Konto + Sie müssen über die **kontoübergreifende Version der Versionseinstellungen** Version 4 oder höher verfügen, um Datenbanken oder Tabellen im Verbundkatalog für mehrere AWS-Konto Benutzer gemeinsam nutzen zu können. + Der Datenkatalog unterstützt nur die Erstellung von Katalogen der obersten Ebene. + Sie können nur die Beschreibung von Katalogen im Redshift Managed Storage (RMS) aktualisieren. + Das Einrichten von Berechtigungen für Verbundkataloge sowie für Datenbanken und Tabellen im Verbundkatalog zur Gruppierung wird nicht unterstützt. `IAMAllowedPrincipals` + DDL-Operationen (Data Definition Language) für den Katalog von Engines wie Athena, Amazon EMR Spark oder anderen, einschließlich der Einstellung von Katalogkonfigurationen, werden nicht unterstützt. + Die Ausführung von DDL-Vorgängen an RMS-Tabellen mit Athena wird nicht unterstützt. + Das Erstellen materialisierter Ansichten wird nicht unterstützt, unabhängig davon, ob es über Athena, Apache Spark AWS Glue Data Catalog, den oder den Amazon Redshift Redshift-Consumer erfolgt. + Athena unterstützt kein Erlebnis mit mehreren Katalogen. Es kann jeweils nur eine Verbindung zu einem einzelnen, bestimmten Katalog herstellen. Athena kann nicht gleichzeitig auf mehrere Kataloge zugreifen oder Abfragen durchführen. + Tagging- und Verzweigungsvorgänge auf Iceberg-Tabellen über Athena und Amazon Redshift werden nicht unterstützt. + Time Travel auf RMS-Tabellen wird nicht unterstützt. + Mehrstufige Kataloge mit Data-Lake-Tabellen werden nicht unterstützt. Alle in Amazon S3 zur Verwendung mit Data-Lake-Tabellen gespeicherten Daten müssen sich in der AWS Glue Data Catalog Standardversion befinden und können nicht in Katalogen mit mehreren Ebenen organisiert werden. + In Amazon Redshift werden Datashares nicht zum registrierten Namespace hinzugefügt. Cluster und Namespaces sind synonym. Sobald Sie einen Cluster im veröffentlicht haben, können Sie keine neuen Daten mehr hinzufügen. AWS Glue Data Catalog + Amazon EMR on EC2 unterstützt keine Verknüpfung zwischen RMS-Tabellen und Amazon S3-Tabellen. Nur EMR Serverless unterstützt diese Funktion. + Externe Schemas und Tabellen werden nicht unterstützt. + Auf RMS-Tabellen kann nur vom Erweiterungsendpunkt im AWS Glue Iceberg REST Catalog aus zugegriffen werden. + Auf Hive-Tabellen kann nicht über Engines von Drittanbietern zugegriffen werden, die mit dem AWS Glue Iceberg REST-Katalog verbunden sind. + Die Isolationsstufe read\$1committed für RMS-Tabellen über Spark wird unterstützt. + Redshift-Datenbanknamen werden in der ohne Berücksichtigung von Groß- und Kleinschreibung behandelt AWS Glue Data Catalog, sind auf 128 Zeichen beschränkt und können alphanumerisch mit Bindestrichen (-) und Unterstrichen (\$1) sein. + Bei den Katalognamen wird nicht zwischen Groß- und Kleinschreibung unterschieden, sie sind auf 50 Zeichen beschränkt und können alphanumerisch mit Bindestrichen (-) und Unterstrichen (\$1) sein. + Amazon Redshift unterstützt nicht die Verwendung der Befehle GRANT und REVOKE im Lake Formation SQL-Stil zur Verwaltung von Zugriffsberechtigungen für Tabellen, die in der veröffentlicht wurden. AWS Glue Data Catalog + Richtlinien für Sicherheit auf Zeilenebene und dynamische Datenmaskierung, die an den Amazon Redshift Redshift-Produzenten- (Quell-) Cluster angehängt sind, werden nicht durchgesetzt. Stattdessen werden die in Lake Formation definierten Zugriffsberechtigungen für die gemeinsam genutzten Daten durchgesetzt. + Das Ausführen von Vorgängen in Data Definition Language (DDL) und Data Manipulation Language (DML) für Tabellenlinks wird nicht unterstützt. + Wenn reservierte Schlüsselwörter nicht ordnungsgemäß maskiert werden, führt dies zu Ausfällen oder Fehlern. + Die Verschlüsselung von Daten in Szenarien mit mehreren Katalogen wird nicht unterstützt. # Einschränkungen bei der Integration von S3-Tabellen Amazon S3 Tables ist in AWS Glue Data Catalog (Data Catalog) integriert und registriert den Katalog als Lake Formation Formation-Datenspeicherort. Sie können diese Registrierung über die Lake Formation Formation-Konsole oder mithilfe des Dienstes einrichten APIs. **Anmerkung** Wenn Sie über eine ressourcenbasierte Richtlinie für IAM oder S3-Tabellen verfügen, die IAM-Benutzer und IAM-Rollen auf der Grundlage von Prinzipal-Tags einschränkt, müssen Sie der IAM-Rolle, die Lake Formation für den Zugriff auf Ihre S3-Daten verwendet, dieselben Prinzipal-Tags zuordnen (z. B. LakeFormationDataAccessRole) und dieser Rolle die erforderlichen Berechtigungen erteilen. Dies ist erforderlich, damit Ihre tagbasierte Zugriffskontrollrichtlinie ordnungsgemäß mit Ihrer Analyseintegration von S3 Tables funktioniert. Die folgenden Einschränkungen gelten für die Integration des S3 Tables-Katalogs mit Data Catalog und Lake Formation: + AWS Glue und Lake Formation unterstützen keine Spaltennamen mit gemischter Groß- und Kleinschreibung und konvertieren alle Spaltennamen in Kleinbuchstaben. Sie müssen sicherstellen, dass die Namen der Tabellenspalten eindeutig sind, wenn sie in Kleinbuchstaben umgewandelt werden. Verwenden Sie `customer_id` anstelle von. `customerId` Die Verwendung von Spaltennamen mit Groß- und Kleinschreibung wurde nur in der Vorschauversion unterstützt. + Die CreateCatalog API kann in Amazon S3 keine Tabellen-Buckets erstellen. + Die SearchTables API kann S3-Tabellen nicht durchsuchen. # Überlegungen und Einschränkungen beim Datenaustausch im Hive-Metadatenspeicher Mit dem AWS Glue Data Catalog Metadatenverbund (Data Catalog Federation) können Sie den Datenkatalog mit externen Metastores verbinden, die Metadaten für Ihre Amazon S3 S3-Daten speichern, und Datenzugriffsberechtigungen mithilfe von AWS Lake Formation sicher verwalten. Die folgenden Überlegungen und Einschränkungen gelten für Verbunddatenbanken, die aus Hive-Datenbanken erstellt werden: **Überlegungen** + **AWS SAM Anwendungssupport** — Sie sind verantwortlich für die Verfügbarkeit der bereitgestellten Anwendungsressourcen (Amazon API Gateway und AWS SAM der Lambda-Funktion). Stellen Sie sicher, dass die Verbindung zwischen dem AWS Glue Data Catalog und dem Hive-Metastore funktioniert, wenn Benutzer Abfragen ausführen. + **Versionsanforderung für Hive Metastore** — Sie können Verbunddatenbanken nur mit Apache Hive Version 3 und höher erstellen. + **Anforderung einer zugewiesenen Datenbank** — Jede Hive-Datenbank muss einer neuen Datenbank in Lake Formation zugeordnet werden. + **Verbundunterstützung auf Datenbankebene** — Sie können nur auf Datenbankebene eine Verbindung zu Hive Metastore herstellen. + **Berechtigungen für Verbunddatenbanken** — Die Berechtigungen, die auf eine Verbunddatenbank oder Tabellen unter einer Verbunddatenbank angewendet werden, bleiben auch dann bestehen, wenn eine Quelltabelle oder eine Datenbank gelöscht wird. Wenn die Quelldatenbank oder -tabelle neu erstellt wird, müssen Sie die Berechtigungen nicht erneut gewähren. Wenn eine Verbundtabelle mit Lake Formation Formation-Berechtigungen an der Quelle gelöscht wird, sind Lake Formation Formation-Berechtigungen weiterhin sichtbar, und Sie können sie bei Bedarf widerrufen. Wenn ein Benutzer eine Verbunddatenbank löscht, gehen alle zugehörigen Berechtigungen verloren. Durch das Neuerstellen derselben Datenbank mit demselben Namen werden die Lake Formation Formation-Berechtigungen nicht wiederhergestellt. Benutzer müssen erneut neue Berechtigungen einrichten. + **IAMAllowedHauptgruppenberechtigungen für** Verbunddatenbanken — Basierend auf dem `DataLakeSettings` kann Lake Formation Berechtigungen für alle Datenbanken und Tabellen einer virtuellen Gruppe mit dem Namen `IAMAllowedPrincipal` zuweisen. Das `IAMAllowedPrincipal` bezieht sich auf alle IAM-Prinzipale, die über IAM-Prinzipalrichtlinien und Ressourcenrichtlinien Zugriff auf Datenkatalogressourcen haben. AWS Glue Wenn diese Berechtigungen für eine Datenbank oder Tabelle vorhanden sind, erhalten alle Prinzipale Zugriff auf die Datenbank oder Tabelle. Lake Formation erlaubt jedoch keine `IAMAllowedPrincipal` Berechtigungen für Tabellen in Verbunddatenbanken. Wenn Sie Verbunddatenbanken erstellen, stellen Sie sicher, dass Sie den `CreateTableDefaultPermissions` Parameter als leere Liste übergeben. Weitere Informationen finden Sie unter [Ändern der Standardeinstellungen für Ihren Data Lake](change-settings.md). + **Tabellen in Abfragen verknüpfen** — Sie können Hive-Metastore-Tabellen mit systemeigenen Data Catalog-Tabellen verbinden, um Abfragen auszuführen. **Einschränkungen** + **Einschränkung bei der Synchronisierung von Metadaten zwischen dem AWS Glue Data Catalog und dem Hive-Metastore** — Nachdem Sie die Hive-Metastore-Verbindung hergestellt haben, müssen Sie eine Verbunddatenbank erstellen, um Metadaten im Hive-Metastore mit dem zu synchronisieren. AWS Glue Data Catalog Die Tabellen in der Verbunddatenbank werden zur Laufzeit synchronisiert, wenn Benutzer Abfragen ausführen. + **Einschränkung beim Erstellen neuer Tabellen in einer Verbunddatenbank** — Sie können keine neuen Tabellen in einer Verbunddatenbank erstellen. + **Einschränkung von Datenberechtigungen** — Support für Berechtigungen für Hive-Metastore-Tabellenansichten ist nicht verfügbar. # Einschränkungen beim Datenaustausch mit Amazon Redshift AWS Lake Formation ermöglicht es Ihnen, Daten in einem Datashare von Amazon Redshift sicher zu verwalten. Amazon Redshift ist ein vollständig verwalteter Data-Warehouse-Service im Petabyte-Bereich in der Cloud. AWS Mithilfe der Funktion zur gemeinsamen Nutzung von Daten hilft Ihnen Amazon Redshift dabei, Daten gemeinsam zu nutzen. AWS-Konten Weitere Informationen zur gemeinsamen Nutzung von Amazon Redshift-Daten finden Sie unter [Überblick über die gemeinsame Nutzung von Daten in Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/data_sharing_intro.html). Die folgenden Hinweise und Einschränkungen gelten für Verbunddatenbanken, die aus Amazon Redshift-Datenfreigaben erstellt wurden: + **Anforderung einer zugewiesenen Datenbank** — Jeder Amazon Redshift Redshift-Datenaustausch muss einer neuen Datenbank in Lake Formation zugeordnet werden. Dies ist erforderlich, um eindeutige Tabellennamen beizubehalten, wenn die Darstellung der Datashare-Objekte in der Datenkatalogdatenbank vereinfacht wird. + **Einschränkung beim Erstellen neuer Tabellen in einer Verbunddatenbank** — Sie können keine neuen Tabellen in Verbunddatenbanken erstellen. + **Berechtigungen für die Verbunddatenbanken** — Die Berechtigungen, die auf eine Verbunddatenbank oder Tabellen in einer Verbunddatenbank angewendet werden, bleiben auch dann bestehen, wenn eine Quelltabelle oder eine Datenbank gelöscht wird. Wenn die Quelldatenbank oder -tabelle neu erstellt wird, müssen Sie die Berechtigungen nicht erneut gewähren. Wenn eine Verbundtabelle mit Lake Formation Formation-Berechtigungen an der Quelle gelöscht wird, sind Lake Formation Formation-Berechtigungen weiterhin sichtbar und Sie können sie bei Bedarf widerrufen. Wenn ein Benutzer eine Verbunddatenbank löscht, gehen alle zugehörigen Berechtigungen verloren. Durch das Neuerstellen derselben Datenbank mit demselben Namen werden die Lake Formation Formation-Berechtigungen nicht wiederhergestellt. Benutzer müssen erneut neue Berechtigungen einrichten. + **IAMAllowedHauptgruppenberechtigungen für Verbunddatenbanken** — Basierend auf dem `DataLakeSettings` kann Lake Formation Berechtigungen für alle Datenbanken und Tabellen einer virtuellen Gruppe mit dem Namen `IAMAllowedPrincipal` zuweisen. Das `IAMAllowedPrincipal` bezieht sich auf alle IAM-Prinzipale, die über IAM-Prinzipalrichtlinien und Ressourcenrichtlinien Zugriff auf Datenkatalogressourcen haben. AWS Glue Wenn diese Berechtigungen für eine Datenbank oder Tabelle vorhanden sind, erhalten alle Prinzipale Zugriff auf die Datenbank oder Tabelle. Lake Formation erlaubt jedoch keine `IAMAllowedPrincipal` Berechtigungen für Tabellen in Verbunddatenbanken. Wenn Sie Verbunddatenbanken erstellen, stellen Sie sicher, dass Sie den `CreateTableDefaultPermissions` Parameter als leere Liste übergeben. Weitere Informationen finden Sie unter [Ändern der Standardeinstellungen für Ihren Data Lake](change-settings.md). + **Datenfilterung** — In Lake Formation können Sie Berechtigungen für eine Tabelle in einer Verbunddatenbank mit Filterung auf Spalten- und Zeilenebene gewähren. Sie können jedoch keine Filterung auf Spalten- und Zeilenebene kombinieren, um den Zugriff auf Tabellen in Verbunddatenbanken auf Zellenebene einzuschränken. + **Kennung für Groß** - und Kleinschreibung — Amazon Redshift Redshift-Datashare-Objekte, die von Lake Formation verwaltet werden, unterstützen Tabellen- und Spaltennamen nur in Kleinbuchstaben. Aktivieren Sie die Groß- und Kleinschreibung nicht für Datenbanken, Tabellen und Spalten in Amazon Redshift Redshift-Datenfreigaben, wenn diese mit Lake Formation gemeinsam genutzt und verwaltet werden. + **Abfrageunterstützung** — Sie können Amazon Redshift-Datenfreigaben, die von Lake Formation verwaltet werden, mit Amazon Redshift abfragen. Athena unterstützt nicht die Abfrage von Amazon Redshift-Datenfreigaben, die von Lake Formation verwaltet werden. Weitere Informationen zu Einschränkungen bei der Arbeit mit Datenfreigaben in Amazon Redshift finden Sie unter [Einschränkungen für die gemeinsame Nutzung von Daten](https://docs.aws.amazon.com/redshift/latest/dg/datashare-overview.html#limitations-datashare) im Amazon Redshift Database Developer Guide. # Einschränkungen bei der IAM Identity Center-Integration Mit AWS IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IdPs) herstellen und den Zugriff für Benutzer und Gruppen über AWS Analysedienste hinweg zentral verwalten. Sie können die Anwendung in IAM Identity Center AWS Lake Formation als aktivierte Anwendung konfigurieren, und Data Lake-Administratoren können autorisierten Benutzern und Gruppen detaillierte Berechtigungen für Ressourcen gewähren. AWS Glue Data Catalog Die folgenden Einschränkungen gelten für die Integration von Lake Formation mit IAM Identity Center: + Sie können IAM Identity Center-Benutzer und -Gruppen in Lake Formation nicht als Data Lake-Administratoren oder Administratoren mit Schreibschutz zuweisen. Benutzer und Gruppen von IAM Identity Center können verschlüsselte Datenkatalogressourcen abfragen, wenn Sie eine IAM-Rolle verwenden, die in Ihrem Namen die Verschlüsselung und Entschlüsselung des Datenkatalogs übernehmen AWS Glue kann. AWS verwaltete Schlüssel unterstützen keine vertrauenswürdige Identitätsweitergabe. + Benutzer und Gruppen von IAM Identity Center können nur API-Operationen aufrufen, die in der von IAM Identity Center bereitgestellten `AWSIAMIdentityCenterAllowListForIdentityContext` Richtlinie aufgeführt sind. + Lake Formation ermöglicht es IAM-Rollen von externen Konten, im Namen von IAM Identity Center-Benutzern und -Gruppen als Trägerrollen für den Zugriff auf Datenkatalogressourcen zu fungieren. Berechtigungen können jedoch nur für Datenkatalogressourcen innerhalb des Eigentümerkontos erteilt werden. Wenn Sie versuchen, Benutzern und Gruppen von IAM Identity Center Berechtigungen für Datenkatalogressourcen in einem externen Konto zu gewähren, gibt Lake Formation die folgende Fehlermeldung aus: „Kontoübergreifende Zuweisungen werden für den Prinzipal nicht unterstützt“. + Wenn Sie Lake Formation mit IAM Identity Center verwenden, ist die Konfiguration der Anwendungszuweisung `false` standardmäßig auf eingestellt. Wenn Sie diese Konfiguration direkt über die [IAM Identity Center-API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_PutApplicationAssignmentConfiguration.html) ändern, müssen Sie anschließend alle Anwendungszuweisungen manuell mithilfe der API verwalten. Lake Formation synchronisiert oder verwaltet Zuweisungsänderungen, die außerhalb der Standardworkflows vorgenommen wurden, nicht automatisch, was sich auf die Zugriffsmuster und Autorisierungsabläufe in Ihrer Data-Lake-Umgebung auswirken kann. # Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation Sie können LF-Tags erstellen, verwalten und zuweisen, um den Zugriff auf Datenbanken, Tabellen und Spalten im Datenkatalog zu kontrollieren. Beachten Sie bei der Verwendung der tagbasierten Zugriffskontrolle von Lake Formation die folgenden bewährten Methoden: + Alle LF-Tags müssen vordefiniert sein, bevor sie Datenkatalogressourcen zugewiesen oder Prinzipalen gewährt werden können. Der Data Lake-Administrator kann Tag-Management-Aufgaben delegieren, indem er *LF-Tag-Ersteller mit den erforderlichen IAM-Berechtigungen* erstellt. Dateningenieure und Analysten entscheiden über die Eigenschaften und Beziehungen von LF-Tags. Die LF-Tag-Ersteller erstellen und verwalten dann die LF-Tags in Lake Formation. + Sie können Datenkatalogressourcen mehrere LF-Tags zuweisen. Einer bestimmten Ressource kann nur ein Wert für einen bestimmten Schlüssel zugewiesen werden. Sie können beispielsweise`module=Orders`, `region=West``division=Consumer`, usw. einer Datenbank, Tabelle oder Spalte zuweisen. Sie können nichts zuweisen`module=Orders,Customers`. + Sie können Ressourcen keine LF-Tags zuweisen, wenn Sie die Ressource erstellen. Sie können LF-Tags nur vorhandenen Ressourcen hinzufügen. + Sie können einem Prinzipal LF-Tag-Ausdrücke und nicht nur einzelne LF-Tags zuweisen. Ein LF-Tag-Ausdruck sieht ungefähr wie folgt aus (in Pseudocode). ``` module=sales AND division=(consumer OR commercial) ``` *Ein Prinzipal, dem dieser LF-Tag-Ausdruck erteilt wurde, kann nur auf zugewiesene Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugreifen und entweder oder. `module=sales`* `division=consumer` `division=commercial` Wenn Sie möchten, dass der Prinzipal auf Ressourcen zugreifen kann, die über `module=sales` *oder* verfügen`division=commercial`, sollten Sie nicht beide in dieselbe Zuweisung einbeziehen. Vergeben Sie zwei Zuschüsse, einen für `module=sales` und einen für`division=commercial`. Der einfachste LF-Tag-Ausdruck besteht aus nur einem LF-Tag, z. B. `module=sales` + Ein Principal, dem Berechtigungen für ein LF-Tag mit mehreren Werten erteilt wurden, kann mit einem dieser Werte auf Datenkatalogressourcen zugreifen. Wenn einem Benutzer beispielsweise ein LF-Tag mit key= `module` und values= gewährt wird, hat der Benutzer Zugriff auf `orders,customers` Ressourcen, denen entweder oder zugewiesen ist. `module=orders` `module=customers` + Sie benötigen die `Grant with LF-Tag expressions` Berechtigung, Datenberechtigungen für Datenkatalogressourcen mithilfe der LF-TBAC-Methode zu erteilen. Der Data Lake-Administrator und der LF-Tag-Ersteller erhalten diese Berechtigung implizit. Ein Principal, der über die `Grant with LFTag expressions` entsprechende Berechtigung verfügt, kann Datenberechtigungen für die Ressourcen gewähren, indem er: + die benannte Ressourcenmethode + die LF-TBAC-Methode, aber nur unter Verwendung desselben LF-Tag-Ausdrucks Gehen Sie beispielsweise davon aus, dass der Data Lake-Administrator den folgenden Zuschuss erteilt (in Pseudocode). ``` GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION ``` In diesem Fall `user1` kann anderen Prinzipalen mithilfe `SELECT` der LF-TBAC-Methode eine Genehmigung für Tabellen erteilt werden, jedoch nur mit dem vollständigen LF-Tag-Ausdruck. `module=customers, region=west,south` + Wenn einem Prinzipal sowohl mit der LF-TBAC-Methode als auch mit der benannten Ressourcenmethode Berechtigungen für eine Ressource erteilt werden, sind die Berechtigungen, die der Prinzipal für die Ressource besitzt, die Vereinigung der von beiden Methoden erteilten Berechtigungen. + Lake Formation unterstützt die kontenübergreifende Gewährung `DESCRIBE` und `ASSOCIATE` Aktivierung von LF-Tags sowie die kontenübergreifende Erteilung von Berechtigungen für Datenkatalogressourcen mithilfe der LF-TBAC-Methode. In beiden Fällen ist der Principal eine Konto-ID. AWS **Anmerkung** Lake Formation unterstützt kontenübergreifende Zuschüsse für Organisationen und Organisationseinheiten mithilfe der LF-TBAC-Methode. **Um diese Funktion nutzen zu können, müssen Sie die Einstellungen für die **kontoübergreifende Version auf Version 3** aktualisieren.** Weitere Informationen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md). + Datenkatalogressourcen, die in einem Konto erstellt wurden, können nur mit LF-Tags gekennzeichnet werden, die in demselben Konto erstellt wurden. In einem Konto erstellte LF-Tags können nicht mit gemeinsam genutzten Ressourcen aus einem anderen Konto verknüpft werden. + Wenn Sie die Tag-Based Access Control (LF-TBAC) von Lake Formation verwenden, um kontenübergreifenden Zugriff auf Datenkatalogressourcen zu gewähren, sind Ergänzungen der Datenkatalog-Ressourcenrichtlinie für Ihr Konto erforderlich. AWS Weitere Informationen finden Sie unter [Voraussetzungen](cross-account-prereqs.md). + LF-Tag-Schlüssel und LF-Tag-Werte dürfen eine Länge von 50 Zeichen nicht überschreiten. + Die maximale Anzahl von LF-Tags, die einer Datenkatalogressource zugewiesen werden können, beträgt 50. + Bei den folgenden Grenzwerten handelt es sich um weiche Grenzwerte: + Die maximale Anzahl von LF-Tags, die erstellt werden können, beträgt 1000. + Die maximale Anzahl von Werten, die für ein LF-Tag definiert werden können, ist 1000. + Tags, Schlüssel und Werte werden beim Speichern ausschließlich in Kleinbuchstaben umgewandelt. + Einer bestimmten Ressource kann nur ein Wert für ein LF-Tag zugewiesen werden. + Wenn einem Principal mit einem einzigen Grant mehrere LF-Tags gewährt werden, kann der Principal nur auf Datenkatalogressourcen zugreifen, die über alle LF-Tags verfügen. + Wenn eine Auswertung eines LF-Tag-Ausdrucks dazu führt, dass nur auf eine Teilmenge von Tabellenspalten zugegriffen wird, die bei einer Übereinstimmung erteilte Lake Formation Formation-Berechtigung jedoch eine der Berechtigungen ist, die vollen Spaltenzugriff erforderten, nämlich,, oder,,,,,,,,,,`Alter`,,`Drop`,,`Insert`,,`Delete`,,, dann wird keine dieser Berechtigungen gewährt. Stattdessen wird nur `Describe` gewährt. Wenn die erteilte Erlaubnis `All` (`Super`) lautet, dann `Describe` werden nur `Select` und erteilt. + Platzhalter werden nicht mit LF-Tags verwendet. Um allen Spalten einer Tabelle ein LF-Tag zuzuweisen, weisen Sie der Tabelle das LF-Tag zu, und alle Spalten in der Tabelle erben das LF-Tag. Um allen Tabellen in einer Datenbank ein LF-Tag zuzuweisen, weisen Sie der Datenbank das LF-Tag zu, und alle Tabellen in der Datenbank erben dieses LF-Tag. + Sie können bis zu 1000 LF-Tag-Ausdrücke in einem Konto erstellen. + Sie können bis zu 50 LF-Tag-Ausdrücke verwenden, um einem Prinzipal Berechtigungen für die Datenkatalogressourcen zu erteilen. + Beim Erteilen oder Widerrufen von Berechtigungen für einen Inline-LF-Tag-Ausdruck darf die Größe des LF-Tag-Ausdrucks 900 Byte nicht überschreiten. Verwenden Sie die gespeicherten LF-Tag-Ausdrücke, um Berechtigungen für größere LF-Tag-Ausdrücke zu erteilen. Weitere Informationen finden Sie unter [LF-Tag-Ausdrücke erstellen](TBAC-creating-tag-expressions.md). + Um LF-Tag zu bestehenden Redshift-Verbundkatalogen hinzuzufügen, die vor der allgemeinen Verfügbarkeit der LF-Tag-Unterstützung für Verbundkataloge erstellt wurden, müssen Sie sich an das Support-Team wenden, um Unterstützung zu erhalten. AWS # Überlegungen zur attributbasierten Zugriffskontrolle, Einschränkungen und unterstützte Regionen Die folgenden Überlegungen und Einschränkungen gelten für die attributebasierte Zugriffskontrolle (ABAC). + ABAC unterstützt die Gewährung von Zugriff mithilfe von LF-Tag-Richtlinien nicht. + Erteilbare Berechtigungen sind bei ABAC nicht verfügbar. + ABAC unterstützt die Erteilung von Berechtigungen für IAM Identity Center-Benutzer nicht. + Wenn Sie ABAC-Grants für eine Tabelle in Lake Formation verwenden, gewährt Lake Formation keine `DESCRIBE` Berechtigungen für die übergeordnete Datenbank oder den übergeordneten Katalog. Dies unterscheidet sich von Nicht-ABAC-Szenarien, in denen Lake Formation implizite `DESCRIBE` Berechtigungen für übergeordnete Ressourcen bereitstellt. + Alle Principals mit dem `AmazonDataZoneProject` Tag-Schlüssel werden für alle Datenkatalogressourcen immer so behandelt, als ob sie bei Lake Formation angemeldet sind. + ABAC unterstützt nur Zeichenkettenattribute.