Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung von Lake Formation Formation-Berechtigungen
<a name="managing-permissions"></a>

Lake Formation bietet zentrale Zugriffskontrollen für Daten in Ihrem Data Lake. Sie können auf Sicherheitsrichtlinien basierende Regeln für Ihre Benutzer und Anwendungen nach Rollen in Lake Formation definieren, und die Integration mit AWS Identity and Access Management authentifiziert diese Benutzer und Rollen. Sobald die Regeln definiert sind, setzt Lake Formation Ihre Zugriffskontrollen auf Tabellen-, Spalten- und RO-Ebene für Benutzer von Amazon Redshift Spectrum und Amazon Athena durch. 

**Topics**
+ [Erteilung von Berechtigungen zum Speicherort von Daten](granting-location-permissions.md)
+ [Erteilen von Berechtigungen für Datenkatalogressourcen](granting-catalog-permissions.md)
+ [Beispielszenario für Berechtigungen](security-permissions-example-scenario.md)
+ [Datenfilterung und Sicherheit auf Zellebene in Lake Formation](data-filtering.md)
+ [Datenbank- und Tabellenberechtigungen in Lake Formation anzeigen](viewing-permissions.md)
+ [Widerrufen der Genehmigung mithilfe der Lake Formation Formation-Konsole](revoking-permssions-console-all.md)
+ [Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md)
+ [Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md)
+ [Ressourcenlinks erstellen](creating-resource-links.md)
+ [Regionsübergreifender Zugriff auf Tabellen](data-access-across-region.md)

# Erteilung von Berechtigungen zum Speicherort von Daten
<a name="granting-location-permissions"></a>

Mit Datenstandortberechtigungen AWS Lake Formation in können Prinzipale Datenkatalogressourcen erstellen und ändern, die auf bestimmte registrierte Amazon S3 S3-Standorte verweisen. Datenstandortberechtigungen funktionieren zusätzlich zu den Datenberechtigungen von Lake Formation, um Informationen in Ihrem Data Lake zu sichern.

Lake Formation verwendet den Dienst AWS Resource Access Manager (AWS RAM) nicht für die Erteilung von Datenstandortberechtigungen, sodass Sie für Datenstandortberechtigungen keine Einladungen zur gemeinsamen Nutzung von Ressourcen annehmen müssen.

Sie können Datenstandortberechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder AWS Command Line Interface (AWS CLI) erteilen.

**Anmerkung**  
Damit ein Grant erfolgreich ist, müssen Sie zuerst den Datenstandort bei Lake Formation registrieren.

**Weitere Informationen finden Sie unter:**  
[Underlying data access control](access-control-underlying-data.md#data-location-permissions)

**Topics**
+ [Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md)
+ [Erteilen von Datenstandortberechtigungen (externes Konto)](granting-location-permissions-external.md)
+ [Erteilen von Berechtigungen für einen Datenstandort, der mit Ihrem Konto geteilt wird](regranting-locations.md)

# Erteilen von Datenspeicherberechtigungen (dasselbe Konto)
<a name="granting-location-permissions-local"></a>

Gehen Sie wie folgt vor, um Prinzipalen in Ihrem AWS Konto Datenstandortberechtigungen zu erteilen. Sie können Berechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

------
#### [ AWS-Managementkonsole ]

**So gewähren Sie Berechtigungen zum Speicherort von Daten (dasselbe Konto)**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator oder als Principal an, dem Berechtigungen für den gewünschten Datenspeicherort erteilt wurden.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** aus.

1. Wählen Sie **Grant (Erteilen)**.

1. Stellen Sie sicher, dass im Dialogfeld **Berechtigungen gewähren** die Kachel **Mein Konto** ausgewählt ist. Geben Sie dann die folgenden Informationen ein:
   + Wählen Sie für **IAM-Benutzer und -Rollen** einen oder mehrere Prinzipale aus. 
   + Geben Sie für **SAML- und Amazon Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Amazon Quick-Benutzer oder -Gruppen.

     Geben Sie jeweils einen ARN ein und drücken **Sie nach jedem ARN die Eingabetaste**. Informationen zur Erstellung von finden Sie ARNs unter[Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format).
   + Wählen Sie für **Speicherorte** die Option **Durchsuchen** und wählen Sie einen Amazon Simple Storage Service (Amazon S3) -Speicherort aus. Der Standort muss bei Lake Formation registriert sein. Wählen Sie erneut **Durchsuchen**, um einen weiteren Standort hinzuzufügen. Sie können den Standort auch eingeben, stellen Sie jedoch sicher, dass Sie dem Standort Folgendes `s3://` voranstellen.
   + Geben Sie **unter Registrierter Kontostandort** die AWS Konto-ID ein, bei der der Standort registriert ist. Dies ist standardmäßig Ihre Konto-ID. In einem kontoübergreifenden Szenario können Data Lake-Administratoren in einem Empfängerkonto hier das Besitzerkonto angeben, wenn sie anderen Prinzipalen im Empfängerkonto die Datenspeicherberechtigung erteilen.
   + **(Optional) Wählen Sie Grantable aus, damit die ausgewählten Principals Datenstandortberechtigungen für den ausgewählten Standort erteilen können.**  
![\[Im Dialogfeld Berechtigungen gewähren sind der Benutzer datalake_user und der Speicherort s3://119 ausgewählt. retail/transactions/q\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-location-dialog-local.png)

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

**Um Berechtigungen für den Datenspeicherort zu gewähren (dasselbe Konto)**
+ Führen Sie einen `grant-permissions` Befehl aus und gewähren Sie `DATA_LOCATION_ACCESS` dem Principal, wobei Sie den Amazon S3 S3-Pfad als Ressource angeben.  
**Example**  

  Im folgenden Beispiel werden dem Benutzer Berechtigungen `s3://retail` zum Speicherort von Daten erteilt`datalake_user1`.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
  ```  
**Example**  

  Im folgenden Beispiel werden einer `ALLIAMPrincipals` Gruppe `s3://retail` Datenspeicherberechtigungen erteilt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
  ```

------

**Weitere Informationen finden Sie unter:**  
[Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md)

# Erteilen von Datenstandortberechtigungen (externes Konto)
<a name="granting-location-permissions-external"></a>

Gehen Sie wie folgt vor, um einem externen AWS Konto oder einer externen Organisation Datenspeicherberechtigungen zu erteilen. 

Sie können Berechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

**Bevor Sie beginnen**  
Stellen Sie sicher, dass alle Voraussetzungen für den kontoübergreifenden Zugriff erfüllt sind. Weitere Informationen finden Sie unter [Voraussetzungen](cross-account-prereqs.md).

------
#### [ AWS-Managementkonsole ]

**Um Berechtigungen zum Speicherort von Daten zu gewähren (externes Konto, Konsole)**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** und dann **Grant** aus.

1. Wählen Sie im Dialogfeld „**Berechtigungen gewähren**“ die Kachel **Externes Konto** aus.

1. Geben Sie die folgenden Informationen ein:
   + Geben Sie als **AWS Konto-ID oder AWS Organisations-ID** gültige AWS Kontonummern IDs, Organisation oder Organisationseinheit ein IDs.

     Drücken **Sie nach jeder ID die Eingabetaste**.

     Eine Organisations-ID besteht aus „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.

     Eine Organisationseinheit-ID besteht aus „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweites „-“ (Bindestrich) und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.
   + Wählen Sie unter **Speicherorte** die Option **Durchsuchen** und wählen Sie einen Amazon Simple Storage Service (Amazon S3) -Speicherort aus. Der Standort muss bei Lake Formation registriert sein.  
![\[Im Dialogfeld „Berechtigungen erteilen“ ist das Optionsfeld Externes AWS Konto ausgewählt, ein Konto und ein Speicherort angegeben.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-location-dialog-external.png)

1. Wählen Sie **Grantable** aus.

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

**Um Berechtigungen zum Speicherort von Daten zu gewähren (externes Konto, AWS CLI)**
+ Um einem externen AWS Konto Berechtigungen zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` mit der Grant-Option das Konto 1111-2222-3333 am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, das dem Konto 1234-5678-9012 gehört.

  Um einer Organisation Berechtigungen zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` der Organisation `o-abcdefghijkl` am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, der dem Konto 1234-5678-9012 gehört, die Option Grant.

   Um einem Principal Berechtigungen in einem externen AWS Konto zu erteilen, geben Sie einen Befehl ein, der dem folgenden ähnelt.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
  ```

  Dieser Befehl gewährt `DATA_LOCATION_ACCESS` einem Principal das Konto 1111-2222-3333 am Amazon S3 S3-Standort`s3://retail/transactions/2020q1`, das dem Konto 1234-5678-9012 gehört.  
**Example**  

  Im folgenden Beispiel werden Datenstandortberechtigungen für Gruppen in einem externen Konto erteilt. `s3://retail` `ALLIAMPrincipals`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
  ```

------

**Weitere Informationen finden Sie unter:**  
[Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md)

# Erteilen von Berechtigungen für einen Datenstandort, der mit Ihrem Konto geteilt wird
<a name="regranting-locations"></a>

Nachdem eine Datenkatalogressource für Ihr AWS Konto freigegeben wurde, können Sie als Data Lake-Administrator anderen Prinzipalen in Ihrem Konto Berechtigungen für die Ressource gewähren. Wenn die `ALTER` Berechtigung für eine gemeinsam genutzte Tabelle erteilt wurde und die Tabelle auf einen registrierten Amazon S3 S3-Standort verweist, müssen Sie auch Datenstandortberechtigungen für den Standort erteilen. Wenn die `ALTER` Berechtigung `CREATE_TABLE` oder für eine gemeinsam genutzte Datenbank erteilt wird und die Datenbank über eine Standorteigenschaft verfügt, die auf einen registrierten Standort verweist, müssen Sie ebenfalls Datenstandortberechtigungen für den Standort erteilen.

Um einem Hauptbenutzer in Ihrem Konto Datenstandortberechtigungen für einen gemeinsam genutzten Standort zu erteilen, muss Ihrem Konto die `DATA_LOCATION_ACCESS` Berechtigung für den Standort mit der Option „Gewähren“ erteilt worden sein. Wenn Sie dann einem anderen Auftraggeber in Ihrem Konto eine Genehmigung erteilen`DATA_LOCATION_ACCESS`, müssen Sie die Datenkatalog-ID (AWS Konto-ID) des Eigentümerkontos angeben. Das Besitzerkonto ist das Konto, mit dem der Standort registriert wurde.

Sie können die AWS Lake Formation Konsole, die API oder die AWS Command Line Interface () verwenden,AWS CLI um Datenstandortberechtigungen zu erteilen.

**Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (Konsole)**
+ Führen Sie die Schritte unter [Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md) aus.

  Für **Speicherorte** müssen Sie die Speicherorte eingeben. Geben Sie **unter Standort des registrierten AWS Kontos** die Konto-ID des Eigentümerkontos ein.

**Um Berechtigungen für einen Datenspeicherort zu gewähren, der mit Ihrem Konto geteilt wird (AWS CLI)**
+ Geben Sie einen der folgenden Befehle ein, um entweder einem Benutzer oder einer Rolle Berechtigungen zu erteilen.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  ```

# Erteilen von Berechtigungen für Datenkatalogressourcen
<a name="granting-catalog-permissions"></a>

Sie können Prinzipalen **Datenberechtigungen** gewähren, AWS Lake Formation sodass die Prinzipale Datenkatalogressourcen erstellen und verwalten und auf die zugrunde liegenden Daten zugreifen können. Sie können **Data Lake-Berechtigungen für** Kataloge, Datenbanken, Tabellen und Ansichten gewähren. Wenn Sie Berechtigungen für Tabellen gewähren, können Sie den Zugriff auf bestimmte Tabellenspalten oder -zeilen einschränken, um eine noch detailliertere Zugriffskontrolle zu erreichen.

Sie können Berechtigungen für einzelne Kataloge, Datenbanken, Tabellen und Ansichten oder mit einem einzigen Erteilungsvorgang Berechtigungen für alle Datenbanken, Tabellen und Ansichten in einem Katalog oder einer Datenbank gewähren. Wenn Sie IAM-Prinzipalen Berechtigungen für alle Tabellen in einer Datenbank gewähren, erteilen Sie damit implizit die `DESCRIBE` Berechtigung für die Datenbank. Die Datenbank wird dann auf der **Datenbankseite** der Konsole angezeigt und durch den `GetDatabases` API-Vorgang zurückgegeben. Das gleiche Prinzip gilt auf Katalogebene: Wenn Sie Berechtigungen für Datenbanken innerhalb eines Katalogs erhalten, erhalten Sie auch `DESCRIBE` Berechtigungen für diesen Katalog.

**Wichtig**  
Die implizite `DESCRIBE` Berechtigung gilt nur, wenn Sie IAM-Prinzipalen innerhalb desselben Kontos Berechtigungen gewähren. AWS Für kontoübergreifende Ressourcen müssen Sie explizit Berechtigungen erteilen. `DESCRIBE` Die automatische `DESCRIBE` Berechtigungsgewährung gilt nicht, wenn die attributebasierte Zugriffskontrolle (ABAC) verwendet wird. Wenn mithilfe von Attributen Berechtigungen für alle Tabellen in einer Datenbank erteilt werden, erteilt Lake Formation der Datenbank nicht implizit `DESCRIBE` Berechtigungen.

Sie können Berechtigungen entweder mithilfe der benannten Ressourcenmethode oder der Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation, Tag-Based Access Control) gewähren.

Sie können Prinzipalen derselben Person oder externen Konten AWS-Konto oder Organisationen Berechtigungen gewähren. Wenn Sie externen Konten oder Organisationen gewähren, geben Sie Datenkatalogobjekte, deren Eigentümer Sie sind, für diese Konten oder Organisationen frei. Prinzipale in diesen Konten oder Organisationen können dann auf Datenkatalogobjekte, deren Eigentümer Sie sind, und auf die zugrunde liegenden Daten zugreifen.

**Anmerkung**  
Derzeit unterstützt die LF-TBAC-Methode die Gewährung kontenübergreifender Berechtigungen für IAM-Prinzipale AWS-Konten, Organisationen und Organisationseinheiten (). OUs

Wenn Sie externen Konten oder Organisationen Berechtigungen gewähren, müssen Sie die Option „Gewähren“ angeben. Nur der Data Lake-Administrator im externen Konto kann auf die gemeinsam genutzten Objekte zugreifen, bis der Administrator anderen Prinzipalen im externen Konto Berechtigungen für die gemeinsam genutzten Objekte erteilt.

Sie können Datenkatalogberechtigungen mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

**Anmerkung**  
Wenn Sie ein Datenkatalogobjekt löschen, werden alle mit dem Objekt verknüpften Berechtigungen ungültig. Durch das Neuerstellen derselben Ressource mit demselben Namen werden die Lake Formation Formation-Berechtigungen nicht wiederhergestellt. Benutzer müssen erneut neue Berechtigungen einrichten.

**Weitere Informationen finden Sie auch unter:**  
 [Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS Konten](sharing-catalog-resources.md) 
 [Zugriffskontrolle für Metadaten](access-control-metadata.md) 
 [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md) 

# IAM-Berechtigungen sind erforderlich, um Lake Formation Formation-Berechtigungen zu gewähren oder zu widerrufen
<a name="required-permissions-for-grant"></a>

Alle Principals, einschließlich des Data Lake-Administrators, benötigen die folgenden AWS Identity and Access Management (IAM-) Berechtigungen, um AWS Lake Formation Datenkatalogberechtigungen oder Datenstandortberechtigungen mit der Lake Formation API oder dem zu erteilen oder zu widerrufen: AWS CLI
+ `lakeformation:GrantPermissions`
+ `lakeformation:BatchGrantPermissions`
+ `lakeformation:RevokePermissions`
+ `lakeformation:BatchRevokePermissions`
+ `glue:GetTable``glue:GetDatabase`, oder `glue:GetCatalog` für eine Tabelle, Datenbank oder einen Katalog, dem Sie mithilfe der benannten Ressourcenmethode Berechtigungen gewähren.

**Anmerkung**  
Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um Lake Formation Formation-Berechtigungen zu gewähren und zu widerrufen. Sie benötigen jedoch weiterhin die IAM-Berechtigungen für die Lake Formation Grant- und Revoe-API-Operationen.  
IAM-Rollen mit `AWSLakeFormationDataAdmin` AWS verwalteten Richtlinien können keine neuen Data Lake-Administratoren hinzufügen, da diese Richtlinie eine ausdrückliche Ablehnung des Lake Formation Formation-API-Vorgangs enthält,`PutDataLakeSetting`. 

Die folgende IAM-Richtlinie wird für Principals empfohlen, die keine Data Lake-Administratoren sind und über die Lake Formation Formation-Konsole Berechtigungen gewähren oder entziehen möchten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetCatalogs",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetCatalog",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Alle in dieser Richtlinie `iam:` enthaltenen Berechtigungen sind in der AWS verwalteten Richtlinie verfügbar. `glue:` `AWSGlueConsoleFullAccess`

Um Berechtigungen mithilfe der Tag-Based Access Control (LF-TBAC) von Lake Formation zu gewähren, benötigen Principals zusätzliche IAM-Berechtigungen. Weitere Informationen erhalten Sie unter [Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation](lf-tag-considerations.md) und [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

**Kontoübergreifende -Berechtigungen**  
Benutzer, die mithilfe der benannten Ressourcenmethode kontenübergreifende Lake Formation Formation-Berechtigungen gewähren möchten, müssen auch über die Berechtigungen in der `AWSLakeFormationCrossAccountManager` AWS verwalteten Richtlinie verfügen.

Data Lake-Administratoren benötigen dieselben Berechtigungen für die Gewährung kontoübergreifender Berechtigungen sowie die Berechtigung AWS Resource Access Manager (AWS RAM), um Organisationen Berechtigungen gewähren zu können. Weitere Informationen finden Sie unter [Berechtigungen des Data Lake-Administrators](permissions-reference.md#persona-dl-admin).

**Der Benutzer mit Administratorrechten**  
Ein Principal mit Administratorberechtigungen — z. B. mit der `AdministratorAccess` AWS verwalteten Richtlinie — hat die Berechtigung, Lake Formation Formation-Berechtigungen zu erteilen und Data Lake-Administratoren zu erstellen. Um einem Benutzer oder einer Rolle den Zugriff auf Lake Formation-Administratoroperationen zu verweigern, fügen Sie seiner Richtlinie eine `Deny` Erklärung für Administrator-API-Operationen hinzu oder fügen Sie sie hinzu.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

**Wichtig**  
Um zu verhindern, dass Benutzer sich mit einem ETL-Skript (Extrahieren, Transformieren und Laden) als Administrator hinzufügen, stellen Sie sicher, dass allen Benutzern und Rollen, die keine Administratoren sind, der Zugriff auf diese API-Operationen verweigert wird. Die `AWSLakeFormationDataAdmin` AWS verwaltete Richtlinie enthält eine ausdrückliche Ablehnung des Lake Formation Formation-API-Vorgangs, `PutDataLakeSetting` sodass Benutzer keine neuen Data Lake-Administratoren hinzufügen können.

# Erteilen von Datenberechtigungen mithilfe der benannten Ressourcenmethode
<a name="granting-cat-perms-named-resource"></a>

Die Ressourcenmethode Named Data Catalog ist eine Möglichkeit, AWS Glue Data Catalog Objekten wie Katalogen, Datenbanken, Tabellen, Spalten und Ansichten mithilfe eines zentralisierten Ansatzes Berechtigungen zu erteilen. Sie ermöglicht es Ihnen, ressourcenbasierte Richtlinien zu definieren, die den Zugriff auf bestimmte Ressourcen in Ihrem Data Lake steuern.

Wenn Sie die benannte Ressourcenmethode verwenden, um Berechtigungen zu erteilen, können Sie den Ressourcentyp und die Berechtigungen angeben, die Sie für diese Ressource gewähren oder entziehen möchten. Sie können die Berechtigung bei Bedarf auch später widerrufen und so die Berechtigungen von den zugehörigen Ressourcen entfernen. 

Sie können Berechtigungen mithilfe der AWS Lake Formation Konsole APIs, oder der AWS Command Line Interface (AWS CLI) erteilen.

**Topics**
+ [Erteilen von Katalogberechtigungen mithilfe der benannten Ressourcenmethode](granting-multi-catalog-permissions.md)
+ [Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode](granting-database-permissions.md)
+ [Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode](granting-table-permissions.md)
+ [Erteilen von Berechtigungen für Ansichten mithilfe der benannten Ressourcenmethode](granting-view-permissions.md)

# Erteilen von Katalogberechtigungen mithilfe der benannten Ressourcenmethode
<a name="granting-multi-catalog-permissions"></a>

In den folgenden Schritten wird erklärt, wie Katalogberechtigungen mithilfe der benannten Ressourcenmethode erteilt werden.

------
#### [ Console ]

Verwenden Sie die Seite „**Berechtigungen gewähren**“ in der Lake Formation Formation-Konsole. Die Seite ist in die folgenden Abschnitte unterteilt:
+ **Prinzipaltyp** — Sie können bestimmten Prinzipalen Berechtigungen gewähren oder Attribut-Tags verwenden.
  +  **Principals** — Die IAM-Benutzer, Rollen, IAM Identity Center-Benutzer und -Gruppen, SAML-Benutzer und -Gruppen, AWS Konten, Organisationen oder Organisationseinheiten, denen Berechtigungen erteilt werden sollen.

    **Prinzipal nach Attributen** — Fügen Sie Tag-Schlüssel-Wert-Paare aus oder IAM-Sitzungs-Tags hinzu. IAMroles Principals mit übereinstimmenden Attributen erhalten Zugriff auf die angegebene Ressource. 
  +  **LF-Tags oder Katalogressourcen** — Die Kataloge, Datenbanken, Tabellen, Ansichten oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
  +  **Genehmigungen** — Die Lake Formation erteilt Genehmigungen.

**Anmerkung**  
Informationen zum Erteilen von Berechtigungen für einen Datenbankressourcen-Link finden Sie unter[Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md).

1. Öffnen Sie die Seite „**Berechtigungen gewähren**“.

   Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator, Ersteller des Katalogs oder als IAM-Benutzer an, der über **Grantable-Berechtigungen für** den Katalog verfügt.

   Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenberechtigungen** aus. Wählen Sie dann **Grant (Erteilen)** aus.
   + Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Kataloge** aus. **Wählen Sie dann auf der Seite **Kataloge** einen Katalog aus und wählen Sie im Menü **Aktionen** unter **Berechtigungen** die Option Gewähren aus.**
**Anmerkung**  
Sie können über den zugehörigen Ressourcenlink Berechtigungen für einen Katalog gewähren. Wählen Sie dazu auf der Seite **Kataloge** einen Katalog-Link-Container und wählen Sie im Menü **Aktionen** die Option **Auf Ziel gewähren** aus. Weitere Informationen finden Sie unter [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md).

1. Wählen Sie anschließend im Abschnitt **Principal Type** die Option Principals aus, oder geben Sie die Attribute an, die den Principals zugewiesen sind.  
![\[Der Abschnitt Haupttyp enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und beschreibenden Text enthält. Die Optionen sind Principals und Principals nach Attributen sortiert. Unter dem Titel befinden sich die Principals.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-catalog-principal-type.png)

****Geben Sie Principals an****  
**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer und -Rollen** aus.  
**IAM Identity Center**  
Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste **Benutzer und Gruppen** aus. Wählen Sie **Hinzufügen** aus, um weitere Benutzer oder Gruppen hinzuzufügen.  
**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Amazon Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.  
**Externe Konten**  
Geben Sie für **AWS-Konto, AWS Organisation** oder **IAM-Principal** ein oder mehrere gültige AWS Konten IDs, Organisationen IDs, Organisationseinheiten IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die **Eingabetaste**.  
Eine Organisations-ID besteht aus „o-“, gefolgt von 10—32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4—32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.

****Prinzipale nach Attributen****  
**Attribute**  
Fügen Sie die Schlüssel-Wert-Paare des IAM-Tags aus der IAM-Rolle hinzu.   
**Umfang der Berechtigungen**  
Geben Sie an, ob Sie Prinzipalen mit übereinstimmenden Attributen in demselben Konto oder in einem anderen Konto Berechtigungen gewähren.

1. Wählen Sie im Abschnitt **LF-Tags oder Katalogressourcen** die Option **Benannte Datenkatalogressourcen** aus.  
![\[Der Abschnitt LF-Tags oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind, und Benannte Datenkatalogressourcen. Unter den Kacheln befinden sich zwei Dropdownlisten: Datenbank und Tabelle. Unter der Datenbank-Dropdown-Liste befindet sich eine Kachel, die den ausgewählten Datenbanknamen enthält.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-target-resources-catalog.png)

1. Wählen Sie einen oder mehrere Kataloge aus der Liste **Kataloge** aus. Sie können auch eine oder mehrere **Datenbanken**, **Tabellen** und and/or **Datenfilter** auswählen.

1. Wählen Sie im Abschnitt **Katalogberechtigungen** die Optionen Berechtigungen und erteilbare Berechtigungen aus. Wählen Sie unter **Katalogberechtigungen** mindestens eine Berechtigung aus, die Sie gewähren möchten.  
![\[Der Abschnitt „Berechtigungen“, die Kachel „Katalogberechtigungen“. Unter den Kacheln befindet sich eine Gruppe von Kontrollkästchen, mit denen Katalogberechtigungen erteilt werden können. Zu den Kontrollkästchen gehören „Superuser“, „Katalog erstellen“, „Datenbank erstellen“, „Ändern“, „Löschen“, „Beschreiben“ und „Super“. Unter dieser Gruppe befindet sich eine weitere Gruppe derselben Kontrollkästchen für erteilbare Berechtigungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)

   Wählen Sie **Superuser**, um uneingeschränkte Administratorrechte zu gewähren, sodass Sie beliebige Operationen mit allen Ressourcen innerhalb des Katalogs (Datenbanken, Tabellen und Ansichten) ausführen können.
**Anmerkung**  
Stellen Sie nach der Erteilung von `Create database` oder für einen Katalog mit einer Standorteigenschaft, die `Alter` auf einen registrierten Standort verweist, sicher, dass Sie auch den Prinzipalen Datenspeicherberechtigungen für den Standort gewähren. Weitere Informationen finden Sie unter [Erteilung von Berechtigungen zum Speicherort von Daten](granting-location-permissions.md).

1. (Optional) Wählen Sie unter **Erteilbare Berechtigungen** die Berechtigungen aus, die der Zuschussempfänger anderen Prinzipalen in seinem Konto gewähren kann. AWS Diese Option wird nicht unterstützt, wenn Sie einem IAM-Prinzipal von einem externen Konto aus Berechtigungen gewähren. 

1. Wählen Sie **Grant (Erteilen)**.

   Auf der Seite „**Datenberechtigungen**“ werden die Berechtigungsdetails angezeigt. Wenn Sie die Option **„Prinzipale nach Attributen**“ verwendet haben, um Berechtigungen zu erteilen, können Sie die erteilten Berechtigungen `ALLPrincipals` in der Liste einsehen.

------
#### [ AWS CLI ]

Informationen zum Erteilen von Katalogberechtigungen mithilfe von AWS CLI finden Sie unter[Erstellen von Amazon Redshift Redshift-Verbundkatalogen](create-ns-catalog.md).

------

# Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode
<a name="granting-database-permissions"></a>

In den folgenden Schritten wird erklärt, wie Datenbankberechtigungen mithilfe der benannten Ressourcenmethode erteilt werden.

------
#### [ Console ]

Verwenden Sie die Seite „**Berechtigungen gewähren**“ in der Lake Formation Formation-Konsole. Die Seite ist in die folgenden Abschnitte unterteilt:
+  **Prinzipaltyp** — Der Bereich **Principals** umfasst die IAM-Benutzer, -Rollen, IAM Identity Center-Benutzer und -Gruppen, SAML-Benutzer und -Gruppen, AWS Konten, Organisationen oder Organisationseinheiten, für die Berechtigungen erteilt werden sollen. Im Abschnitt **Prinzipale nach Attributen** können Sie die Schlüssel und Werte für die Attribute angeben, die den IAM-Rollen zugeordnet sind. 
+  **LF-Tags oder Katalogressourcen** — Die Datenbanken, Tabellen, Ansichten oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
+  **Genehmigungen** — Die Lake Formation erteilt Genehmigungen.

**Anmerkung**  
Informationen zum Erteilen von Berechtigungen für einen Datenbankressourcen-Link finden Sie unter[Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md).

1. Öffnen Sie die Seite „**Berechtigungen gewähren**“.

   Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator, Datenbankersteller oder IAM-Benutzer an, der über **Grantable-Berechtigungen für** die Datenbank verfügt.

   Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenberechtigungen** aus. Wählen Sie dann **Grant (Erteilen)** aus.
   + Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus. Wählen Sie dann auf der Seite **Datenbanken** eine Datenbank aus, und wählen Sie im Menü **Aktionen** unter **Berechtigungen** die Option **Gewähren** aus.
**Anmerkung**  
Sie können Berechtigungen für eine Datenbank über ihren Ressourcenlink gewähren. Wählen Sie dazu auf der Seite **Datenbanken** einen Ressourcenlink und dann im Menü **Aktionen** die Option Für **Ziel gewähren** aus. Weitere Informationen finden Sie unter [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md).

1. Geben Sie im Abschnitt **Prinzipaltyp** die Hauptbenutzer an, oder erteilen Sie den Prinzipalen mithilfe von Attributen Berechtigungen.  
![\[Der Abschnitt Principals enthält vier Kacheln. Jede Kachel enthält eine Optionsschaltfläche und Text.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer und -Rollen** aus.  
**IAM Identity Center**  
Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste **Benutzer und Gruppen** aus. Wählen Sie **Hinzufügen** aus, um weitere Benutzer oder Gruppen hinzuzufügen.  
**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Amazon Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.  
**Externe Konten**  
Geben Sie für **AWS-Konto, AWS Organisation** oder **IAM-Principal** ein oder mehrere gültige AWS Konten IDs, Organisationen IDs, Organisationseinheiten IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die **Eingabetaste**.  
Eine Organisations-ID besteht aus „o-“, gefolgt von 10—32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4—32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.  
Prinzipale nach Attributen  
Geben Sie den Attributschlüssel und den Wert (e) an. Wenn Sie mehr als einen Wert wählen, erstellen Sie einen Attributausdruck mit einem OR-Operator. Das heißt, wenn einer der Attribut-Tag-Werte, die einer IAM-Rolle oder einem IAM-Benutzer zugewiesen sind, übereinstimmt, role/user erhält der Benutzer Zugriffsberechtigungen für die Ressource.  
 Wählen Sie den Berechtigungsbereich aus, indem Sie angeben, ob Sie Prinzipalen mit entsprechenden Attributen in demselben Konto oder in einem anderen Konto Berechtigungen gewähren. 

1. Wählen Sie im Abschnitt **LF-Tags oder Katalogressourcen** die Option **Benannte Datenkatalogressourcen** aus.  
![\[Der Abschnitt LF-Tags oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind, und Benannte Datenkatalogressourcen. Unter den Kacheln befinden sich zwei Dropdownlisten: Datenbank und Tabelle. Unter der Datenbank-Dropdown-Liste befindet sich eine Kachel, die den ausgewählten Datenbanknamen enthält.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-target-resources-section-2.png)

1. Wählen Sie eine oder mehrere Datenbanken aus der **Datenbankliste** aus. Sie können auch einen oder mehrere ** and/or **Tabellendatenfilter**** auswählen.

1. Wählen Sie im Abschnitt **Berechtigungen** die Berechtigungen und erteilbare Berechtigungen aus. Wählen Sie unter **Datenbankberechtigungen** eine oder mehrere Berechtigungen aus, die Sie gewähren möchten.  
![\[Der Abschnitt „Berechtigungen“ enthält zwei horizontal angeordnete Kacheln. Jede Kachel enthält eine Optionsschaltfläche und Text. Die Kachel Datenbankberechtigungen ist ausgewählt. Die andere Kachel, spaltenbasierte Berechtigungen, ist deaktiviert, da sie sich auf Tabellenberechtigungen bezieht. Unter den Kacheln befindet sich eine Gruppe von Kontrollkästchen für die Gewährung von Datenbankberechtigungen. Zu den Kontrollkästchen gehören Create Table, Alter, Drop, Describe und Super. Unter dieser Gruppe befindet sich eine weitere Gruppe derselben Kontrollkästchen für erteilbare Berechtigungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**Anmerkung**  
Nachdem Sie eine Datenbank mit einer `Create Table` Standorteigenschaft, die `Alter` auf einen registrierten Standort verweist, erteilt haben, müssen Sie sicherstellen, dass Sie auch den Prinzipalen Datenspeicherberechtigungen für den Standort gewähren. Weitere Informationen finden Sie unter [Erteilung von Berechtigungen zum Speicherort von Daten](granting-location-permissions.md).

1. (Optional) Wählen Sie unter **Erteilbare Berechtigungen** die Berechtigungen aus, die der Zuschussempfänger anderen Prinzipalen in seinem Konto gewähren kann. AWS Diese Option wird nicht unterstützt, wenn Sie einem IAM-Prinzipal von einem externen Konto aus Berechtigungen gewähren. 

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

Sie können Datenbankberechtigungen gewähren, indem Sie die benannte Ressourcenmethode und die AWS Command Line Interface ()AWS CLI verwenden.

**Um Datenbankberechtigungen zu gewähren, verwenden Sie AWS CLI**
+ Führen Sie einen `grant-permissions` Befehl aus und geben Sie je nach erteilter Berechtigung eine Datenbank oder den Datenkatalog als Ressource an.

  Ersetzen Sie es in den folgenden Beispielen *<account-id>* durch eine gültige AWS Konto-ID.  
**Example — Gewähren Sie die Erstellung einer Datenbank**  

  In diesem Beispiel wird `CREATE_DATABASE` dem Benutzer eine Genehmigung erteilt`datalake_user1`. Da es sich bei der Ressource, für die diese Berechtigung erteilt wird, um den Datenkatalog handelt, gibt der Befehl eine leere `CatalogResource` Struktur als `resource` Parameter an.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
  ```  
**Example — Erteilt die Erlaubnis, Tabellen in einer bestimmten Datenbank zu erstellen**  

  Das nächste Beispiel gewährt `CREATE_TABLE` dem Benutzer Zugriff auf die Datenbank `retail``datalake_user1`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example — Gewährung an ein externes AWS Konto mit der Option Grant**  

  Im nächsten Beispiel wird dem externen Konto 1111-2222-3333 `CREATE_TABLE` mit der Grant-Option `retail` in der Datenbank gewährt.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example — Zuschuss für eine Organisation**  

  Im nächsten Beispiel werden der Organisation Zuschüsse `ALTER` mit der Grant-Option `issues` in der Datenbank gewährt`o-abcdefghijkl`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
  ```  
**Example - Gewähren Sie `ALLIAMPrincipals` an dasselbe Konto**  

  Im nächsten Beispiel wird allen Principals im selben Konto `CREATE_TABLE` Berechtigungen für die Datenbank `retail` erteilt. Diese Option ermöglicht es jedem Prinzipal im Konto, eine Tabelle in der Datenbank und einen Tabellenressourcenlink zu erstellen, sodass integrierte Abfrage-Engines auf gemeinsam genutzte Datenbanken und Tabellen zugreifen können. Diese Option ist besonders nützlich, wenn ein Schulleiter einen kontoübergreifenden Zuschuss erhält und nicht berechtigt ist, Ressourcenlinks zu erstellen. In diesem Szenario kann der Data Lake-Administrator eine Platzhalterdatenbank erstellen und der `ALLIAMPrincipal` Gruppe `CREATE_TABLE` Berechtigungen erteilen, sodass jeder IAM-Prinzipal im Konto Ressourcenlinks in der Platzhalterdatenbank erstellen kann. 

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}' 
  ```  
**Example — `ALLIAMPrincipals` In einem externen Konto gewähren**  

  Das nächste Beispiel gewährt allen Prinzipalen in einem externen Konto `retail` Zugriff `CREATE_TABLE` auf die Datenbank. Diese Option ermöglicht es jedem Prinzipal im Konto, eine Tabelle in der Datenbank zu erstellen.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
  ```

**Anmerkung**  
Stellen Sie sicher, dass Sie den Prinzipalen auch Datenspeicherberechtigungen für den Standort gewähren, nachdem Sie `CREATE_TABLE` oder `ALTER` für eine Datenbank erteilt haben, deren Standorteigenschaft auf einen registrierten Standort verweist. Weitere Informationen finden Sie unter [Erteilung von Berechtigungen zum Speicherort von Daten](granting-location-permissions.md).

------

**Weitere Informationen finden Sie auch unter**  
 [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md) 
 [Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird](regranting-shared-resources.md) 
 [Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md) 

# Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode
<a name="granting-table-permissions"></a>

Sie können die Lake Formation Formation-Konsole verwenden oder AWS CLI Lake Formation Formation-Berechtigungen für Datenkatalogtabellen gewähren. Sie können Berechtigungen für einzelne Tabellen gewähren, oder Sie können mit einem einzigen Erteilungsvorgang Berechtigungen für alle Tabellen in einer Datenbank gewähren. 

Wenn Sie Berechtigungen für alle Tabellen in einer Datenbank gewähren, gewähren Sie implizit die `DESCRIBE` Berechtigung für die Datenbank. Die Datenbank wird dann auf der **Datenbankseite** der Konsole angezeigt und durch den `GetDatabases` API-Vorgang zurückgegeben. Diese automatische `DESCRIBE` Berechtigungsgewährung gilt nicht, wenn die attributebasierte Zugriffskontrolle (ABAC) verwendet wird. Wenn mithilfe von Attributen Berechtigungen für alle Tabellen in einer Datenbank erteilt werden, erteilt Lake Formation der Datenbank nicht implizit `DESCRIBE` Berechtigungen.

Wenn Sie die zu erteilende Berechtigung auswählen`SELECT`, haben Sie die Möglichkeit, einen Spalten-, Zeilen- oder Zellenfilter anzuwenden.

------
#### [ Console ]

In den folgenden Schritten wird erklärt, wie Tabellenberechtigungen mithilfe der benannten Ressourcenmethode und der Seite **Data-Lake-Berechtigungen gewähren in der Lake** Formation Formation-Konsole erteilt werden. Die Seite ist in folgende Abschnitte unterteilt:
+  **Prinzipaltypen** — Die Benutzer, Rollen, AWS Konten, Organisationen oder Organisationseinheiten, denen Berechtigungen erteilt werden sollen. Sie können auch Prinzipalen mit entsprechenden Attributen Berechtigungen erteilen.
+  **LF-Tags oder Katalogressourcen** — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
+  **Genehmigungen** — Die Lake Formation erteilt Genehmigungen.

**Anmerkung**  
Informationen zum Erteilen von Berechtigungen für einen Tabellenressourcenlink finden Sie unter[Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md).

1. Öffnen Sie die Seite „Berechtigungen gewähren“.

   Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator, als Tabellenersteller oder als Benutzer an, dem mit der Option „Gewähren“ Berechtigungen für die Tabelle erteilt wurden.

   Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie im Navigationsbereich unter **Berechtigungen die Option **Datenberechtigungen**** aus. Wählen Sie dann **Grant (Erteilen)** aus.
   + Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus. Wählen Sie dann auf der Seite **Tabellen** eine Tabelle aus, und wählen Sie im Menü **Aktionen** unter **Berechtigungen** die Option **Gewähren** aus.
**Anmerkung**  
Sie können über den zugehörigen Ressourcenlink Berechtigungen für eine Tabelle gewähren. Wählen Sie dazu auf der Seite **Tabellen** einen Ressourcenlink und dann im Menü **Aktionen** die Option **Auf Ziel gewähren** aus. Weitere Informationen finden Sie unter [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md).

1. Geben Sie als Nächstes im Abschnitt **Prinzipaltypen** Principals oder Principals mit entsprechenden Attributen an, um Berechtigungen zu gewähren.  
**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer** und -Rollen aus.  
**IAM Identity Center**  
Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste **Benutzer und Gruppen** aus.  
**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.  
**Externe Konten**  
Geben Sie für AWS-Konto „** AWS Organisation**“ oder „**IAM-Principal**“ eine oder mehrere gültige Organisationen AWS-Konto IDs IDs, Organisationseinheiten IDs oder den ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die **Eingabetaste**.  
Eine Organisations-ID besteht aus „o-“, gefolgt von 10—32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4—32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweites „-“ -Zeichen und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.  
Prinzipale nach Attributen  
Geben Sie den Attributschlüssel und den Wert (e) an. Wenn Sie mehr als einen Wert wählen, erstellen Sie einen Attributausdruck mit einem OR-Operator. Das heißt, wenn einer der Attribut-Tag-Werte, die einer IAM-Rolle oder einem IAM-Benutzer zugewiesen sind, übereinstimmt, role/user erhält der Benutzer Zugriffsberechtigungen für die Ressource  
 Wählen Sie den Berechtigungsbereich aus, indem Sie angeben, ob Sie Prinzipalen mit übereinstimmenden Attributen in demselben Konto oder in einem anderen Konto Berechtigungen gewähren. 

1. Wählen Sie im Bereich **LF-Tags oder Katalogressourcen** eine Datenbank aus. Wählen Sie dann eine oder mehrere Tabellen oder **Alle** Tabellen aus.  
![\[Der Bereich LF-Tags oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und einen beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind, und Benannte Datenkatalogressourcen. Benannte Datenkatalogressourcen sind ausgewählt. Unter den Kacheln befinden sich zwei Dropdownlisten: Datenbank und Tabelle. Unter der Datenbank-Dropdown-Liste befindet sich eine Kachel, die den ausgewählten Datenbanknamen enthält. Unter der Dropdownliste Tabelle befindet sich eine Kachel, die den ausgewählten Tabellennamen enthält.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)

1. 

**Geben Sie die Berechtigungen ohne Datenfilterung an.**

   Wählen Sie im Abschnitt **Berechtigungen** die Tabellenberechtigungen aus, die Sie gewähren möchten, und wählen Sie optional erteilbare Berechtigungen aus.  
![\[Der Abschnitt Tabellen- und Spaltenberechtigungen besteht aus zwei Unterabschnitten: Tabellenberechtigungen und Erteilbare Berechtigungen. Jeder Unterabschnitt hat ein Kontrollkästchen für jede mögliche Lake Formation Formation-Berechtigung: Ändern, Insert, Drop, Delete, Select, Describe und Super. Die Super-Berechtigung befindet sich rechts neben den anderen Berechtigungen und hat eine Beschreibung: „Diese Berechtigung ermöglicht es dem Prinzipal, alle Berechtigungen auf der linken Seite zu gewähren, und ersetzt diese erteilbaren Berechtigungen.“\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)

   Wenn Sie **Select** gewähren, wird der Abschnitt **Datenberechtigungen** unter dem Abschnitt **Tabellen- und Spaltenberechtigungen** angezeigt, wobei die Option **Gesamter Datenzugriff standardmäßig** ausgewählt ist. Akzeptieren Sie die Standardeinstellung.  
![\[Der Abschnitt enthält drei horizontal angeordnete Kacheln mit jeweils einem Optionsfeld und einer Beschreibung. Die Optionsfelder lauten: Zugriff auf alle Daten (ausgewählt), Einfacher spaltenbasierter Zugriff und Erweiterte Filter auf Zellenebene.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-select-all-data-access.png)

1. Wählen Sie **Grant (Erteilen)**.

1. 

**Geben Sie die **Auswahlberechtigung mit Datenfilterung** an**

   Wählen Sie die **Select-Berechtigung aus**. Wählen Sie keine anderen Berechtigungen aus.

   Der Abschnitt **Datenberechtigungen** wird unter dem Abschnitt **Tabellen- und Spaltenberechtigungen** angezeigt.

1. Führen Sie eine der folgenden Aktionen aus:
   + Wenden Sie nur einfache Spaltenfilterung an.

     1. Wählen Sie **Einfacher spaltenbasierter Zugriff**.  
![\[Der oberste Bereich ist der Bereich Tabellen- und Spaltenberechtigungen. Er wird im vorherigen Screenshot beschrieben. Es enthält Kontrollkästchen für Tabellenberechtigungen und erteilbare Berechtigungen. Der untere Bereich, Datenberechtigungen, besteht aus drei horizontal angeordneten Kacheln, wobei jede Kachel ein Optionsfeld und eine Beschreibung enthält. Die Optionen lauten „Zugriff auf alle Daten“, „Einfacher spaltenbasierter Zugriff“ und „Erweiterte Filter auf Zellenebene“. Die Option Einfacher spaltenbasierter Zugriff ist ausgewählt. Unter den Kacheln befindet sich eine Optionsschaltflächengruppe mit der Bezeichnung Berechtigungsfilter auswählen. Die Optionen lauten Spalten einschließen und Spalten ausschließen. Unter der Optionsgruppe befindet sich eine Dropdownliste „Spalten auswählen“ und darunter befindet sich ein Unterabschnitt „Erteilbare Berechtigungen“, der ein einzelnes Kontrollkästchen mit der Bezeichnung „Auswählen“ enthält.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)

     1. Wählen Sie aus, ob Spalten ein- oder ausgeschlossen werden sollen, und wählen Sie dann die Spalten aus, die ein- oder ausgeschlossen werden sollen.

        Bei der Erteilung von Berechtigungen für ein externes AWS Konto oder eine externe Organisation werden nur Einschlusslisten unterstützt.

     1. (Optional) Aktivieren Sie unter **„Erteilbare Berechtigungen**“ die Option „Gewähren“ für die Berechtigung „Auswählen“.

         Wenn Sie die Option „Gewähren“ angeben, kann der Empfänger des Zuschusses Berechtigungen nur für die Spalten gewähren, die Sie ihm gewähren.
**Anmerkung**  
Sie können die Spaltenfilterung auch nur anwenden, indem Sie einen Datenfilter erstellen, der einen Spaltenfilter spezifiziert und alle Zeilen als Zeilenfilter angibt. Dies erfordert jedoch weitere Schritte.
   + Wenden Sie die Spalten-, Zeilen- oder Zellenfilterung an.

     1. Wählen Sie **Erweiterte Filter auf Zellenebene** aus.  
![\[Dieser Abschnitt mit dem Titel Datenberechtigungen befindet sich unter dem Abschnitt Tabellenberechtigungen. Er besteht aus drei horizontal angeordneten Kacheln, wobei jede Kachel eine Optionsschaltfläche und eine Beschreibung enthält. Die Optionen lauten „Zugriff auf alle Daten“, „Einfacher spaltenbasierter Zugriff“ und „Erweiterte Filter auf Zellenebene“. Die Option Erweiterte Filter auf Zellenebene ist ausgewählt. Unter den Kacheln befindet sich die Bezeichnung Vorhandene Berechtigungen anzeigen mit einem Dreieck auf der linken Seite. Die vorhandenen Berechtigungen werden nicht angezeigt. Darunter befindet sich ein Abschnitt mit dem Titel Zu erteilende Datenfilter. Rechts neben dem Titel befinden sich drei Schaltflächen: Aktualisieren, Filter verwalten und Neuen Filter erstellen. Unter dem Titel und den Schaltflächen befindet sich ein Textfeld mit dem Platzhaltertext „Filter suchen“. Darunter befindet sich eine Tabelle mit vorhandenen Filtern. Jede Zeile hat ein Kontrollkästchen auf der linken Seite. Die Spaltenüberschriften lauten Filtername, Tabelle, Datenbank und Tabellenkatalog-ID. Es gibt zwei Zeilen. Der Filtername in der ersten Zeile lautet restrict-pharma. Der Name in der zweiten Zeile lautet No-Pharma.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)

     1. (Optional) Erweitern Sie „**Vorhandene Berechtigungen anzeigen**“.

     1. (Optional) Wählen Sie **Neuen Filter erstellen**.

     1. (Optional) Um Details zu den aufgelisteten Filtern anzuzeigen oder um neue Filter zu erstellen oder bestehende zu löschen, wählen Sie **Filter verwalten**.

        Die Seite **Datenfilter** wird in einem neuen Browserfenster geöffnet.

        Wenn Sie mit der Seite **Datenfilter** fertig sind, kehren Sie zur Seite „**Berechtigungen gewähren**“ zurück und aktualisieren Sie die Seite gegebenenfalls, um alle neuen Datenfilter anzuzeigen, die Sie erstellt haben.

     1. Wählen Sie einen oder mehrere Datenfilter aus, die auf den Zuschuss angewendet werden sollen.
**Anmerkung**  
Wenn die Liste keine Datenfilter enthält, bedeutet dies, dass für die ausgewählte Tabelle keine Datenfilter erstellt wurden.

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

Sie können Tabellenberechtigungen gewähren, indem Sie die benannte Ressourcenmethode und die AWS Command Line Interface (AWS CLI) verwenden.

**Um Tabellenberechtigungen zu gewähren, verwenden Sie AWS CLI**
+ Führen Sie einen `grant-permissions` Befehl aus und geben Sie eine Tabelle als Ressource an.

**Example — Grant für eine einzelne Tabelle — keine Filterung**  
Im folgenden Beispiel wird dem Benutzer `datalake_user1` im AWS Konto 1111-2222-3333 in der Tabelle in der Datenbank ein `SELECT` und `ALTER` gewährt. `inventory` `retail`  

```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Wenn Sie die `ALTER` Berechtigung für eine Tabelle erteilen, deren zugrunde liegende Daten sich an einem registrierten Speicherort befinden, müssen Sie sicherstellen, dass Sie auch den Prinzipalen Datenspeicherberechtigungen für diesen Speicherort gewähren. Weitere Informationen finden Sie unter [Erteilung von Berechtigungen zum Speicherort von Daten](granting-location-permissions.md).

**Example — Mit der Option „Gewähren“ für alle Tabellen gewähren — keine Filterung**  
Im nächsten Beispiel werden Zuschüsse `SELECT` mit der Grant-Option für alle Tabellen in der Datenbank gewährt`retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```<a name="simple-column-filter-example"></a>

**Example — Grant mit einfacher Spaltenfilterung**  
Im nächsten Beispiel wird eine Teilmenge von Spalten in der Tabelle `persons` gewährt`SELECT`. Es verwendet eine einfache Spaltenfilterung.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```

**Example — Grant mit einem Datenfilter**  
Dieses Beispiel bezieht sich `SELECT` auf die `orders` Tabelle und wendet den `restrict-pharma` Datenfilter an.  

```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Im Folgenden ist der Inhalt der Datei aufgeführt`grant-params.json`.  

```
{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"],
    "PermissionsWithGrantOption": ["SELECT"]
}
```

------

**Weitere Informationen finden Sie auch unter**  
[Überblick über die Genehmigungen für Lake Formation](lf-permissions-overview.md)
[Datenfilterung und Sicherheit auf Zellebene in Lake Formation](data-filtering.md)
[Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md)
 [Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md)
 [Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md) 

# Erteilen von Berechtigungen für Ansichten mithilfe der benannten Ressourcenmethode
<a name="granting-view-permissions"></a>

In den folgenden Schritten wird erklärt, wie Sie mithilfe der benannten Ressourcenmethode und der Seite „**Berechtigungen gewähren“ Berechtigungen für** Ansichten gewähren. Die Seite ist in die folgenden Abschnitte unterteilt:
+  **Haupttypen** — Die IAM-Benutzer, Rollen, IAM Identity Center-Benutzer und -Gruppen AWS-Konten, Organisationen oder Organisationseinheiten, denen Berechtigungen erteilt werden sollen. Sie können auch Prinzipalen mit entsprechenden Attributen Berechtigungen erteilen.
+  **LF-Tags oder Katalogressourcen** — Die Datenbanken, Tabellen, Ansichten oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
+  **Berechtigungen** — Die zu erteilenden Data Lake-Berechtigungen.

## Öffnen Sie die Seite „**Berechtigungen gewähren**“
<a name="view-start-grant"></a>

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator, Datenbankersteller oder IAM-Benutzer an, der über **Grantable-Berechtigungen für** die Datenbank verfügt.

1. Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenberechtigungen** aus. Wählen Sie dann **Grant (Erteilen)** aus.
   + Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Ansichten** aus. Wählen Sie dann auf der Seite **Ansichten** eine Ansicht aus, und wählen Sie im Menü **Aktionen** unter **Berechtigungen** die Option **Gewähren** aus.
**Anmerkung**  
Sie können über den zugehörigen Ressourcenlink Berechtigungen für eine Ansicht gewähren. Wählen Sie dazu auf der Seite **Ansichten** einen Ressourcenlink und dann im Menü **Aktionen** die Option **Auf Ziel gewähren** aus. Weitere Informationen finden Sie unter [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md).

## Geben Sie die Haupttypen an
<a name="views-specify-principals"></a>

 Wählen Sie im Abschnitt **Principals types** entweder Principals oder Principals by attributes aus. Wenn Sie Principals wählen, sind die folgenden Optionen verfügbar:

**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer und -Rollen** aus.

**IAM Identity Center **  
Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste **Benutzer und Gruppen** aus.

**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Amazon Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.

**Externe Konten**  
Geben Sie für **AWS-Konto, AWS Organisation** oder **IAM-Principal** ein oder mehrere gültige AWS Konten IDs, Organisationen IDs, Organisationseinheiten IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die **Eingabetaste**.  
Eine Organisations-ID besteht aus „o-“, gefolgt von 10—32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4—32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.  
**Weitere Informationen finden Sie unter:**  
+  [Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md) 

**Prinzipale nach Attributen**  
Geben Sie den Attributschlüssel und den Wert (e) an. Wenn Sie mehr als einen Wert wählen, erstellen Sie einen Attributausdruck mit einem OR-Operator. Das heißt, wenn einer der Attribut-Tag-Werte, die einer IAM-Rolle oder einem IAM-Benutzer zugewiesen sind, übereinstimmt, role/user erhält der Benutzer Zugriffsberechtigungen für die Ressource  
 Wählen Sie den Berechtigungsbereich aus, indem Sie angeben, ob Sie Prinzipalen mit übereinstimmenden Attributen in demselben Konto oder in einem anderen Konto Berechtigungen gewähren. 

## Geben Sie die Ansichten an
<a name="view-specify-resources"></a>

Wählen Sie im Bereich **LF-Tags oder Katalogressourcen** eine oder mehrere Ansichten aus, für die Sie Berechtigungen gewähren möchten.

1. Wählen Sie **Benannte Datenkatalogressourcen** aus.

1. Wählen Sie eine oder mehrere Ansichten aus der Liste **Ansichten** aus. Sie können auch einen oder mehrere Kataloge, Datenbanken, Tabellen und and/or Datenfilter auswählen.

   Die Gewährung von Data Lake-Berechtigungen `All tables` innerhalb einer Datenbank führt dazu, dass der Empfänger über Berechtigungen für alle Tabellen und Ansichten in der Datenbank verfügt.

## Geben Sie die Berechtigungen an
<a name="view-specify-permissions"></a>

Wählen Sie im Abschnitt **Berechtigungen** die Berechtigungen und erteilbare Berechtigungen aus.

![\[Der Abschnitt „Berechtigungen“ enthält eine Gruppe von Kontrollkästchen, mit denen Sie Anzeigeberechtigungen gewähren können. Zu den Kontrollkästchen gehören Select, Describe, Drop und Super. Unter dieser Gruppe befindet sich eine weitere Gruppe derselben Kontrollkästchen für erteilbare Berechtigungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/view-permissions.png)


1. Wählen Sie unter **Berechtigungen anzeigen** eine oder mehrere Berechtigungen aus, die Sie gewähren möchten.

1. (Optional) Wählen Sie unter **Erteilbare Berechtigungen** die Berechtigungen aus, die der Empfänger der Gewährung anderen Hauptbenutzern in seiner Umgebung gewähren kann. AWS-Konto Diese Option wird nicht unterstützt, wenn Sie einem IAM-Prinzipal von einem externen Konto aus Berechtigungen gewähren. 

1. Wählen Sie **Grant (Erteilen)**.

**Weitere Informationen finden Sie unter:**  
 [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md) 
 [Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird](regranting-shared-resources.md) 

# Tag-basierte Zugangskontrolle von Lake Formation
<a name="tag-based-access-control"></a>

Lake Formation Tag-Based Access Control (LF-TBAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In Lake Formation werden diese Attribute als *LF-Tags* bezeichnet. Sie können LF-Tags an Datenkatalogressourcen anhängen und Lake Formation-Prinzipalen mithilfe dieser LF-Tags Berechtigungen für diese Ressourcen erteilen. Lake Formation ermöglicht Operationen mit diesen Ressourcen, wenn der Principal Zugriff auf einen Tag-Wert gewährt hat, der dem Ressourcen-Tag-Wert entspricht. 

LF-TBAC ist hilfreich in Umgebungen, die schnell wachsen, und hilft in Situationen, in denen die Richtlinienverwaltung umständlich wird. 

LF-TBAC ist die empfohlene Methode, um Lake Formation Formation-Berechtigungen zu erteilen, wenn es eine große Anzahl von Datenkatalogobjekten gibt, einschließlich Verbundkatalogen, Datenbanken, Tabellen und Ansichten. Lake Formation unterstützt tagbasierte Zugriffskontrolle für Verbundkataloge von Amazon S3 S3-Tabellen, Amazon Redshift Data Warehouses und föderierten Datenquellen wie SQL Server und Amazon DynamoDB Snowflake.

**Anmerkung**  
IAM-Tags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM-Tags werden verwendet, um IAM-Richtlinien zu definieren.

## So funktioniert die Tag-basierte Zugriffskontrolle von Lake Formation
<a name="how-TBAC-works"></a>

Jedes LF-Tag ist ein Schlüssel-Wert-Paar, z. B. oder. `department=sales` `classification=restricted` Ein Schlüssel kann mehrere definierte Werte haben, wie z. `department=sales,marketing,engineering,finance` 

Um die LF-TBAC-Methode zu verwenden, führen Data Lake-Administratoren und Datentechniker die folgenden Aufgaben aus.


| Aufgabe | Einzelheiten zu den Aufgaben | 
| --- | --- | 
|  1. Definieren Sie die Eigenschaften und Beziehungen von LF-Tags.  | - | 
|  2. Erstelle die LF-Tag-Ersteller in Lake Formation.  | [Hinzufügen von LF-Tag-Erstellern](TBAC-adding-tag-creator.md) | 
|  3. Erstellen Sie das LF-Tag in Lake Formation.  | [LF-Tags erstellen](TBAC-creating-tags.md) | 
|  4. Weisen Sie den Datenkatalogressourcen LF-Tags zu.  | [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md) | 
|  5. Erteilen Sie anderen Principals Berechtigungen, um Ressourcen LF-Tags zuzuweisen, optional mit der Option Grant.  | [Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md) | 
|  6. Erteilen Sie Prinzipalen LF-Tag-Ausdrücke, optional mit der Grant-Option.  | [Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md) | 
|  7. (Empfohlen) Nachdem Sie überprüft haben, ob die Prinzipale über die LF-TBAC-Methode Zugriff auf die richtigen Ressourcen haben, widerrufen Sie die Berechtigungen, die mithilfe der benannten Ressourcenmethode erteilt wurden.  | - | 

Stellen Sie sich den Fall vor, dass Sie drei Prinzipalen Berechtigungen für drei Datenbanken und sieben Tabellen erteilen müssen. 

![\[Auf der linken Seite befinden sich drei Figuren mit Benutzern, die vertikal angeordnet sind. Auf der rechten Seite befinden sich drei Datenbanken mit den Bezeichnungen A, B und C, die vertikal angeordnet sind. Datenbank A hat zwei Tabellen mit den Bezeichnungen A.1 und A.2, Datenbank B hat die Tabellen B.1 und B.2 und Datenbank C hat drei Tabellen mit den Bezeichnungen C.1, C.2 und C.3. Siebzehn Pfeile verbinden die Benutzer mit den Datenbanken und Tabellen und weisen so darauf hin, dass die Benutzer Zugriff auf die Datenbanken und Tabellen erhalten.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/TBAC_example_discreet.png)


Um die im obigen Diagramm angegebenen Berechtigungen mithilfe der Methode der benannten Ressource zu erhalten, müssten Sie 17 Zuweisungen vornehmen, und zwar wie folgt (in Pseudocode).

```
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1
...
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2
GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2
...
GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
```

Überlegen Sie sich nun, wie Sie mithilfe von LF-TBAC Berechtigungen gewähren würden. Das folgende Diagramm zeigt, dass Sie Datenbanken und Tabellen LF-Tags zugewiesen und Prinzipalen Berechtigungen für LF-Tags erteilt haben. 

In diesem Beispiel stellen die LF-Tags Bereiche des Data Lake dar, die Analysen für verschiedene Module einer ERP-Anwendungssuite (Enterprise Resource Planning) enthalten. Sie können sie verwenden, um den Zugriff auf die Analysedaten für die verschiedenen Module zu steuern. Alle LF-Tags haben den Schlüssel `module` und mögliche Werte `Sales``Orders`, und. `Customers` Ein Beispiel für ein LF-Tag sieht so aus:

```
module=Sales
```

Das Diagramm zeigt nur die LF-Tag-Werte.

![\[Wie im vorherigen Diagramm befinden sich links drei Abbildungen von Benutzern, vertikal angeordnet, und rechts drei vertikal angeordnete Datenbanken mit den Bezeichnungen A, B und C. Datenbank A hat zwei Tabellen mit den Bezeichnungen A.1 und A.2, Datenbank B hat die Tabellen mit den Bezeichnungen B.1 und B.2 und Datenbank C hat drei Tabellen mit den Bezeichnungen C.1, C.2 und C.3. Es gibt keine Pfeile zwischen den Benutzern und den Datenbanken und Tabellen. Stattdessen weisen „Flaggen“ neben den Benutzern darauf hin, dass Benutzer1 die LF-Tags Vertrieb und Kunden, Benutzer 2 die LF-Tags Bestellungen und Benutzer 3 die LF-Tags Kunden erhalten hat. Flaggen neben den Datenbanken und Tabellen weisen auf die folgenden Zuweisungen von LF-Tags zu Datenbanken und Tabellen hin: Datenbank A: Vertrieb. Tabelle A1: Eine abgeblendete Markierung gibt an, dass der Umsatz aus Datenbank A übernommen wurde. Tabelle A2: Bestellungen. Eine abgeblendete Flagge bedeutet jedoch, dass der Umsatz aus Datenbank A übernommen wurde. Datenbank B: Bestellungen. Tabelle B.1 und B.2 erben Bestellungen, und Tabelle B.2 enthält Kunden. Datenbank C hat Kunden, und die Tabellen C.1, C.2 und C.3 erben Kunden. Die C-Tabellen haben keine anderen Zuweisungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/TBAC_example_tags.png)


**Tag-Zuweisungen zu Datenkatalogressourcen und Vererbung**  
Tabellen erben LF-Tags von Datenbanken und Spalten erben LF-Tags von Tabellen. Vererbte Werte können überschrieben werden. Im vorherigen Diagramm werden abgedunkelte LF-Tags vererbt.

Aufgrund der Vererbung muss der Data Lake-Administrator nur die fünf folgenden LF-Tag-Zuweisungen zu Ressourcen vornehmen (in Pseudocode).

```
ASSIGN TAGS module=Sales TO database A
ASSIGN TAGS module=Orders TO table A.2
ASSIGN TAGS module=Orders TO database B
ASSIGN TAGS module=Customers TO table B.2
ASSIGN TAGS module=Customers TO database C
```

**Tag-Zuschüsse für Schulleiter**  
Nach der Zuweisung von LF-Tags zu den Datenbanken und Tabellen muss der Data Lake-Administrator den Prinzipalen nur vier LF-Tags gewähren, und zwar wie folgt (in Pseudocode).

```
GRANT TAGS module=Sales TO Principal 1
GRANT TAGS module=Customers TO Principal 1
GRANT TAGS module=Orders TO Principal 2
GRANT TAGS module=Customers TO Principal 3
```

Jetzt kann ein Principal mit dem `module=Sales` LF-Tag auf Datenkatalogressourcen mit dem LF-Tag zugreifen (z. B. Datenbank A), ein Principal mit dem `module=Sales` LF-Tag kann auf Ressourcen mit dem `module=Customers` LF-Tag zugreifen usw. `module=Customers`

Die obigen Grant-Befehle sind unvollständig. Dies liegt daran, dass sie zwar anhand von LF-Tags die Datenkatalogressourcen angeben, für die die Prinzipale Berechtigungen haben, sie geben jedoch nicht genau an, welche Lake Formation Formation-Berechtigungen (z. B.`ALTER`) die Principals `SELECT` für diese Ressourcen haben. Daher stellen die folgenden Pseudocode-Befehle genauer dar, wie Lake Formation Formation-Berechtigungen für Datenkatalogressourcen über LF-Tags erteilt werden.

```
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Sales TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Customers TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Orders TO Principal 2
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Customers TO Principal 3
```

**Zusammenstellen — Die daraus resultierenden Berechtigungen für Ressourcen**  
Angesichts der LF-Tags, die den Datenbanken und Tabellen im vorherigen Diagramm zugewiesen wurden, und der LF-Tags, die den Prinzipalen im Diagramm gewährt wurden, sind in der folgenden Tabelle die Lake Formation Formation-Berechtigungen aufgeführt, die die Prinzipale für die Datenbanken und Tabellen haben.


| Auftraggeber | Über LF-Tags erteilte Berechtigungen | 
| --- | --- | 
| Schulleiter 1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 
| Schulleiter 2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 
| Schulleiter 3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 

**Unterm Strich**  
In diesem einfachen Beispiel konnte der Data Lake-Administrator mithilfe von fünf Zuweisungsvorgängen und acht Zuweisungsvorgängen 17 Berechtigungen angeben. Bei Dutzenden von Datenbanken und Hunderten von Tabellen wird der Vorteil der LF-TBAC-Methode gegenüber der benannten Ressourcenmethode deutlich. Im hypothetischen Fall, dass jedem Hauptbenutzer Zugriff auf jede Ressource gewährt werden muss, und wo `n(P)` ist die Anzahl der Prinzipale und ist die Anzahl der Ressourcen: `n(R)`
+ Bei der Methode mit der Bezeichnung „Ressourcen“ beträgt die Anzahl der erforderlichen Zuschüsse ✕. `n(P)` `n(R)`
+ Bei der LF-TBAC-Methode, bei der ein einziger LF-Tag verwendet wird, ergibt die Gesamtzahl der Zuschüsse an Schulleiter und der Zuweisungen an Ressourcen einen Wert von \$1. `n(P)` `n(R)`

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)

**Topics**
+ [So funktioniert die Tag-basierte Zugriffskontrolle von Lake Formation](#how-TBAC-works)
+ [Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md)
+ [Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten](managing-tag-expressions.md)
+ [Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)

# Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten
<a name="managing-tags"></a>

Um die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation zur Sicherung von Datenkatalogobjekten wie Katalogen, Datenbanken, Tabellen, Ansichten und Spalten zu verwenden, erstellen Sie LF-Tags, weisen sie Ressourcen zu und gewähren Prinzipalen LF-Tag-Berechtigungen.

Bevor Sie Datenkatalogobjekten LF-Tags zuweisen oder Prinzipalen Berechtigungen erteilen können, müssen Sie LF-Tags definieren. Nur ein Data Lake-Administrator oder ein Principal mit Berechtigungen zum Erstellen von LF-Tags kann LF-Tags erstellen.

**Ersteller von LF-Tags**  
LF-Tag Creator ist kein Administrator und hat die Rechte, LF-Tags zu erstellen und zu verwalten. Data Lake-Administratoren können LF-Tag-Ersteller mithilfe der Lake Formation Formation-Konsole oder CLI hinzufügen. LF-Tag-Ersteller verfügen über implizite Lake Formation Formation-Berechtigungen zum Aktualisieren und Löschen von LF-Tags, zum Zuweisen von LF-Tags zu Ressourcen und zum Erteilen von LF-Tag-Berechtigungen und LF-Tag-Wertberechtigungen an andere Principals.

Mit LF-Tag-Erstellerrollen können Data Lake-Administratoren Tag-Management-Aufgaben wie das Erstellen und Aktualisieren von Tag-Schlüsseln und -Werten an Prinzipale delegieren, die keine Administratoren sind. Data Lake-Administratoren können LF-Tag-Erstellern auch erteilbare Berechtigungen gewähren. `Create LF-Tag` Anschließend kann der LF-Tag-Ersteller anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tags erteilen. 

 Sie können zwei Arten von Berechtigungen für LF-Tags gewähren:
+ LF-Tag-Berechtigungen -`Create LF-Tag`, und. `Alter` `Drop` Diese Berechtigungen sind erforderlich, um LF-Tags zu erstellen, zu aktualisieren und zu löschen.

  Data Lake-Administratoren und LF-Tag-Ersteller verfügen implizit über diese Berechtigungen für die von ihnen erstellten LF-Tags und können diese Berechtigungen explizit Prinzipalen zur Verwaltung von Tags im Data Lake gewähren. 
+ Berechtigungen für LF-Tag-Schlüsselwertpaare -, und. `Assign` `Describe` `Grant with LF-Tag expressions` Diese Berechtigungen sind erforderlich, um Datenkatalogobjekten LF-Tags zuzuweisen und Prinzipalen, die die Tag-basierte Zugriffskontrolle von Lake Formation verwenden, Berechtigungen für die Ressourcen zu gewähren. LF-Tag-Ersteller erhalten diese Berechtigungen implizit, wenn sie LF-Tags erstellen.

Nach Erhalt der `Create LF-Tag` Genehmigung und erfolgreicher Erstellung von LF-Tags kann der LF-Tag-Ersteller Ressourcen LF-Tags zuweisen und anderen Benutzern, die keine Administratorrechte haben, LF-Tag-Berechtigungen (`Create LF-Tag``Alter``Drop`, und) zur Verwaltung von Tags im Data Lake gewähren. Sie können LF-Tags mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface ()AWS CLI verwalten.

**Anmerkung**  
 Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tag-Berechtigungen zu gewähren. 

Bewährte Methoden und Überlegungen finden Sie unter [Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation](lf-tag-considerations.md)

**Topics**
+ [Hinzufügen von LF-Tag-Erstellern](TBAC-adding-tag-creator.md)
+ [LF-Tags erstellen](TBAC-creating-tags.md)
+ [LF-Tags werden aktualisiert](TBAC-updating-tags.md)
+ [LF-Tags löschen](TBAC-deleting-tags.md)
+ [LF-Tags auflisten](TBAC-listing-tags.md)
+ [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md)
+ [LF-Tags anzeigen, die einer Ressource zugewiesen sind](TBAC-view-resource-tags.md)
+ [Die Ressourcen anzeigen, denen ein LF-Tag zugewiesen ist](TBAC-view-tag-resources.md)
+ [Lebenszyklus eines LF-Tags](#lf-tag-life-cycle)
+ [Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle](#TBAC-comparison-ABAC)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

# Hinzufügen von LF-Tag-Erstellern
<a name="TBAC-adding-tag-creator"></a>

 Standardmäßig können Data Lake-Administratoren LF-Tags erstellen, aktualisieren und löschen, Datenkatalogobjekten Tags zuweisen und Prinzipalen Tag-Berechtigungen gewähren. Wenn Sie die Tag-Erstellung und -Verwaltung an Prinzipale ohne Administratorrechte delegieren möchten, kann der Data Lake-Administrator LF-Tag-Erstellerrollen erstellen und Lake Formation `Create LF-Tag` Formation-Berechtigungen für die Rollen erteilen. Mit erteilbarer `Create LF-Tag` Genehmigung können LF-Tag-Ersteller Aufgaben zur Erstellung und Wartung von Tags an andere Personen delegieren, die keine Administratorrechte haben.

Damit Data Lake-Administratoren LF-Tags Datenkatalogressourcen zuweisen können, müssen sie sich selbst assoziierte Rechte für LF-Tags gewähren, die nicht von ihnen erstellt wurden.

**Anmerkung**  
Kontoübergreifende Zugriffsberechtigungen können nur Berechtigungen beinhalten. `Describe` `Associate` Sie können Prinzipalen in einem anderen Konto keine `Drop``Alter`,, und `Grant with LFTag expressions` Berechtigungen gewähren`Create LF-Tag`. 

**Topics**
+ [Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich](#tag-creator-permissions)
+ [Fügen Sie LF-Tag-Ersteller hinzu](#add-lf-tag-creator)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

## Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich
<a name="tag-creator-permissions"></a>

 Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tags erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ersteller sein muss, die folgende Anweisung hinzu.

**Anmerkung**  
Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.

Weitere Informationen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }
```

Principals, die Ressourcen LF-Tags zuweisen und Prinzipalen LF-Tags gewähren, müssen über dieselben Berechtigungen verfügen, mit Ausnahme der Berechtigungen, und. `CreateLFTag` `UpdateLFTag` `DeleteLFTag`

## Fügen Sie LF-Tag-Ersteller hinzu
<a name="add-lf-tag-creator"></a>

Ein LF-Tag-Ersteller kann mithilfe der LF-TBAC-Methode ein LF-Tag erstellen, Tag-Schlüssel und -Werte aktualisieren, Tags löschen, Tags mit Datenkatalogressourcen verknüpfen und Prinzipalen Berechtigungen für Datenkatalog-Ressourcen gewähren. Der LF-Tag-Ersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können LF-Tag-Erstellerrollen mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ console ]

**Um einen LF-Tag-Ersteller hinzuzufügen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Datalake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.

   **Wählen Sie auf der Seite **LF-Tags und Berechtigungen** den Abschnitt LF-Tag-Ersteller und dann **LF-Tag-Ersteller hinzufügen** aus.**  
![\[LF-Tag creator details form with IAM-Benutzer selection and permission options.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-lf-tag-creator.png)

1. Wählen Sie auf der Seite „**LF-Tag-Ersteller hinzufügen**“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tags verfügt.

1. Kontrollkästchen „Berechtigung aktivieren“. `Create LF-Tag`

1. (Optional) Wählen Sie Grantable Permission aus, um den ausgewählten Prinzipalen die `Create LF-Tag` Erlaubnis zu erteilen. `Create LF-Tag`

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}
```

------

Die folgenden Berechtigungen sind für eine LF-Tag-Ersteller-Rolle verfügbar:


| Berechtigung | Description | 
| --- | --- | 
| Drop | Ein Principal mit dieser Berechtigung für ein LF-Tag kann ein LF-Tag aus dem Data Lake löschen. Der Principal erhält implizite Describe Berechtigungen für alle Tag-Werte einer LF-Tag-Ressource. | 
| Alter | Ein Principal mit dieser Berechtigung für ein LF-Tag kann einem LF-Tag Tag-Wert hinzufügen oder daraus entfernen. Der Principal erhält implizite Alter Berechtigungen für alle Tag-Werte eines LF-Tags. | 
| Describe | Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag und seine Werte einsehen, wenn er Ressourcen LF-Tags zuweist oder Berechtigungen für LF-Tags erteilt. Sie können für alle Schlüsselwerte oder für bestimmte Werte gewährenDescribe. | 
| Associate | Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag einer Datenkatalogressource zuweisen. Implizite Gewährung von Zuschüssen. Associate Describe | 
| Grant with LF-Tag expression | Ein Principal mit dieser Berechtigung für ein LF-Tag kann mithilfe des LF-Tag-Schlüssels und der LF-Tag-Werte Berechtigungen für Datenkatalogressourcen gewähren. Implizite Gewährung von Zuschüssen. Grant with LF-Tag expression Describe | 

Diese Genehmigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.

# LF-Tags erstellen
<a name="TBAC-creating-tags"></a>

Alle LF-Tags müssen in Lake Formation definiert werden, bevor sie verwendet werden können. Ein LF-Tag besteht aus einem Schlüssel und einem oder mehreren möglichen Werten für den Schlüssel.

 Nachdem der Data Lake-Administrator die erforderlichen IAM-Berechtigungen und Lake Formation Formation-Berechtigungen für die Rolle LF-Tag-Ersteller eingerichtet hat, kann der Principal ein LF-Tag erstellen. Der LF-Tag-Ersteller erhält die implizite Erlaubnis, jeden Tag-Wert aus dem LF-Tag zu aktualisieren oder zu entfernen und das LF-Tag zu löschen.

Sie können LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag zu erstellen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Principal mit LF-Tag-Erstellerberechtigungen oder als Data Lake-Administrator an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** **die Option LF-Tags** aus.**

   **Die Seite mit den LF-Tags wird angezeigt.**  
![\[Die Seite enthält eine 4-spaltige Tabelle mit den Spaltenüberschriften Schlüssel, Werte, Konto-ID des Besitzers und LF-Tag-Berechtigungen. Die Tabelle hat 2 Zeilen. Über der Tabelle befinden sich 4 horizontal angeordnete Schaltflächen: Löschen (abgeblendet), Bearbeiten (abgeblendet), Berechtigungen gewähren (abgeblendet) und Tag hinzufügen. Die Seite hat auch ein Suchfeld mit dem Platzhaltertext „Tag suchen“. Rechts neben dem Suchfeld befindet sich eine Seitenauswahl, die den Wert „1“ zwischen der linken und rechten Taste sowie ein Einstellungssymbol anzeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/policy-tags-page-2.png)

1. Wählen Sie „**LF-Tag hinzufügen**“.

1. Geben **Sie im Dialogfeld „LF-Tag hinzufügen**“ einen Schlüssel und einen oder mehrere Werte ein.

   Jeder Schlüssel muss mindestens einen Wert haben. Um mehrere Werte einzugeben, geben Sie entweder eine durch Kommas getrennte Liste ein und drücken **Sie dann die EINGABETASTE**, oder geben Sie jeweils einen Wert ein und wählen Sie nach jedem Wert die Option **Hinzufügen**. Die maximal zulässige Anzahl von Werten ist 1000.

1. Wählen Sie **Add tag**.

------
#### [ AWS CLI ]

**Um ein LF-Tag zu erstellen**
+ Geben Sie einen Befehl ein`create-lf-tag`.

  Im folgenden Beispiel wird ein LF-Tag mit Schlüssel `module` und Werten `Customers` und erstellt. `Orders`

  ```
  aws lakeformation create-lf-tag --tag-key module --tag-values Customers Orders
  ```

------

 Als Tag-Ersteller erhält der Principal die `Alter` Erlaubnis für dieses LF-Tag und kann jeden Tag-Wert aus diesem LF-Tag aktualisieren oder entfernen. Der Principal, der das LF-Tag erstellt, kann auch einem anderen Prinzipal die `Alter` Erlaubnis erteilen, Tag-Werte auf diesem LF-Tag zu aktualisieren und zu entfernen. 

# LF-Tags werden aktualisiert
<a name="TBAC-updating-tags"></a>

Sie aktualisieren ein LF-Tag, für das Sie `Alter` berechtigt sind, indem Sie zulässige Schlüsselwerte hinzufügen oder löschen. Sie können den LF-Tag-Schlüssel nicht ändern. Um den Schlüssel zu ändern, löschen Sie den LF-Tag und fügen Sie einen mit dem erforderlichen Schlüssel hinzu. Zusätzlich zur `Alter` Berechtigung benötigen Sie auch die `lakeformation:UpdateLFTag` IAM-Berechtigung, um Werte zu aktualisieren.

Wenn Sie einen LF-Tag-Wert löschen, wird nicht geprüft, ob dieser LF-Tag-Wert in einer Datenkatalogressource vorhanden ist. Wenn der gelöschte LF-Tag-Wert mit einer Ressource verknüpft ist, ist er für die Ressource nicht mehr sichtbar, und alle Prinzipale, denen Berechtigungen für dieses Schlüssel-Wert-Paar erteilt wurden, verfügen nicht mehr über diese Berechtigungen.

Bevor Sie einen LF-Tag-Wert löschen, können Sie optional den [`remove-lf-tags-from-resource`Befehlsbefehl](TBAC-assigning-tags.md#remove-tag-command) verwenden, um das LF-Tag aus den Datenkatalogressourcen zu entfernen, die den Wert haben, den Sie löschen möchten, und dann die Ressource mit den Werten, die Sie behalten möchten, erneut taggen.

Nur Data Lake-Administratoren, der Ersteller des LF-Tags und Principals, die über `Alter` Berechtigungen für das LF-Tag verfügen, können ein LF-Tag aktualisieren.

Sie können ein LF-Tag mithilfe der AWS Lake Formation Konsole, der API oder der () aktualisieren. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag (Konsole) zu aktualisieren**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, LF-Tag-Ersteller oder Principal mit entsprechenden `Alter` Berechtigungen für das LF-Tag an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** die Option **LF-Tags** aus.**

1. **Wählen Sie auf der Seite **LF-Tags** ein LF-Tag aus und klicken Sie dann auf Bearbeiten.**

1. Fügen **Sie im Dialogfeld „LF-Tag bearbeiten“ LF-Tag-Werte** hinzu oder entfernen Sie sie.

   **Um mehrere Werte hinzuzufügen, geben Sie im Feld **Werte** entweder eine kommagetrennte Liste ein und drücken Sie die **Eingabetaste**, oder geben Sie jeweils einen Wert ein oder wählen Sie nach jedem Wert die Option Hinzufügen.**

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um ein LF-Tag () zu aktualisieren AWS CLI**
+ Geben Sie einen Befehl ein`update-lf-tag`. Geben Sie eines oder beide der folgenden Argumente an:
  + `--tag-values-to-add`
  + `--tag-values-to-delete`

**Example**  
Im folgenden Beispiel wird der Wert `vp` durch den Wert `vice-president` für den LF-Tag-Schlüssel ersetzt. `level`  

```
aws lakeformation update-lf-tag --tag-key level --tag-values-to-add vice-president 
--tag-values-to-delete vp
```

------

# LF-Tags löschen
<a name="TBAC-deleting-tags"></a>

Sie können LF-Tags löschen, die nicht mehr verwendet werden. Es wird nicht geprüft, ob das LF-Tag in einer Datenkatalogressource vorhanden ist. Wenn das gelöschte LF-Tag mit einer Ressource verknüpft ist, ist es für die Ressource nicht mehr sichtbar, und alle Prinzipale, denen Berechtigungen für dieses LF-Tag erteilt wurden, verfügen nicht mehr über diese Berechtigungen.

Bevor Sie ein LF-Tag löschen, können Sie optional den [`remove-lf-tags-from-resource`](TBAC-assigning-tags.md#remove-tag-command)Befehl verwenden, um das LF-Tag aus allen Ressourcen zu entfernen.

Nur Data Lake-Administratoren, der Ersteller des LF-Tags oder ein Principal, der über `Drop` Berechtigungen für das LF-Tag verfügt, können ein LF-Tag löschen. Zusätzlich zur Berechtigung benötigt der Principal auch eine `Drop` `lakeformation:DeleteLFTag` IAM-Berechtigung, um ein LF-Tag zu löschen.

Sie können ein LF-Tag mithilfe der AWS Lake Formation Konsole, der API oder der () löschen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag (Konsole) zu löschen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen**, **LF-Tags und Berechtigungen die Option LF-Tags** aus.**

1. **Wählen Sie auf der Seite **LF-Tags** ein LF-Tag aus und klicken Sie dann auf Löschen.**

1. **In der Umgebung „Tag löschen“?** **Um den Löschvorgang zu bestätigen, geben Sie den LF-Tag-Schlüsselwert in das dafür vorgesehene Feld ein und wählen Sie dann Löschen aus.**

------
#### [ AWS CLI ]

**Um ein LF-Tag zu löschen ()AWS CLI**
+ Geben Sie einen Befehl ein`delete-lf-tag`. Geben Sie den Schlüssel des zu löschenden LF-Tags ein.  
**Example**  

  Im folgenden Beispiel wird das LF-Tag mit dem Schlüssel gelöscht. `region`

  ```
  aws lakeformation delete-lf-tag --tag-key region
  ```

------

# LF-Tags auflisten
<a name="TBAC-listing-tags"></a>

Sie können die LF-Tags auflisten, für die Sie die Oder-Berechtigungen haben. `Describe` `Associate` Die Werte, die mit jedem LF-Tag-Schlüssel aufgeführt sind, sind die Werte, für die Sie berechtigt sind.

Der LF-Tag-Ersteller hat implizite Berechtigungen, um die von ihm erstellten LF-Tags zu sehen.

Data Lake-Administratoren können alle LF-Tags sehen, die im lokalen AWS Konto definiert sind, sowie alle LF-Tags, für die dem lokalen Konto die `Describe` und `Associate` -Berechtigungen von externen Konten erteilt wurden. Der Data Lake-Administrator kann alle Werte für alle LF-Tags sehen.

Sie können LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der () auflisten. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um LF-Tags aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tags, als Data Lake-Administrator oder als Principal an, dem Berechtigungen für LF-Tags erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTags`

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** die Option **LF-Tags** aus.**

   **Die Seite mit den LF-Tags wird angezeigt.**  
![\[Die Seite enthält eine dreispaltige Tabelle mit den Spaltenüberschriften Schlüssel, Werte und Eigentümerkonto-ID. Die Tabelle hat 2 Zeilen. Über der Tabelle befinden sich 4 horizontal angeordnete Schaltflächen: Seite neu laden, Löschen (abgeblendet), Bearbeiten (abgeblendet) und Tag hinzufügen. Die Seite hat auch ein Suchfeld mit dem Platzhaltertext „Tag suchen“. Rechts neben dem Suchfeld befindet sich eine Seitenauswahl, die den Wert „1“ zwischen der linken und rechten Taste sowie ein Einstellungssymbol anzeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/policy-tags-page-2.png)

   In der Spalte mit der **ID des Eigentümerkontos** können Sie die LF-Tags ermitteln, die von einem externen Konto aus mit Ihrem Konto geteilt wurden.

------
#### [ AWS CLI ]

**Um LF-Tags aufzulisten ()AWS CLI**
+ Führen Sie den folgenden Befehl als Data Lake-Administrator oder als Principal aus, dem Berechtigungen für LF-Tags erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTags`

  ```
  aws lakeformation list-lf-tags
  ```

  Die Ausgabe sieht folgendermaßen oder ähnlich aus.

  ```
  {
      "LFTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "level",
              "TagValues": [
                  "director",
                  "vp",
                  "c-level"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "Orders",
                  "Sales",
                  "Customers"
              ]
          }
      ]
  }
  ```

  Um auch LF-Tags zu sehen, die von externen Konten gewährt wurden, fügen Sie die Befehlsoption hinzu. `--resource-share-type ALL`

  ```
  aws lakeformation list-lf-tags --resource-share-type ALL
  ```

  Die Ausgabe sieht folgendermaßen oder ähnlich aus. Beachten Sie den `NextToken` Schlüssel, der darauf hinweist, dass es noch mehr aufzulisten gibt.

  ```
  {
      "LFTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "level",
              "TagValues": [
                  "director",
                  "vp",
                  "c-level"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "Orders",
                  "Sales",
                  "Customers"
              ]
          }
      ],
      "NextToken": "eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ=="
  }
  ```

  Wiederholen Sie den Befehl und fügen Sie das `--next-token` Argument hinzu, um alle verbleibenden lokalen LF-Tags und LF-Tags anzuzeigen, die von externen Konten vergeben wurden. LF-Tags von externen Konten befinden sich immer auf einer separaten Seite.

  ```
  aws lakeformation list-lf-tags --resource-share-type ALL 
  --next-token eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ==
  ```

  ```
  {
      "LFTags": [
          {
              "CatalogId": "123456789012",
              "TagKey": "region",
              "TagValues": [
                  "central",
                  "south"
              ]
          }
      ]
  }
  ```

------
#### [ API ]

Sie können die für Lake Formation SDKs verfügbaren Tags verwenden, um die Tags aufzulisten, zu deren Anzeige der Anforderer berechtigt ist.

```
import boto3

client = boto3.client('lakeformation')
...

response = client.list_lf_tags(
    CatalogId='string',
    ResourceShareType='ALL',
    MaxResults=50'
)
```

Dieser Befehl gibt ein `dict` Objekt mit der folgenden Struktur zurück:

```
{
    'LFTags': [
        {
            'CatalogId': 'string',
            'TagKey': 'string',
            'TagValues': [
                'string',
            ]
        },
    ],
    'NextToken': 'string'
}
```

------

Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

# Zuweisen von LF-Tags zu Datenkatalogressourcen
<a name="TBAC-assigning-tags"></a>

Sie können Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) LF-Tags zuweisen, um den Zugriff auf diese Ressourcen zu kontrollieren. Nur Prinzipale, denen passende LF-Tags gewährt wurden (und Prinzipale, denen Zugriff mit der benannten Ressourcenmethode gewährt wurde), können auf die Ressourcen zugreifen.

Wenn eine Tabelle ein LF-Tag von einer Datenbank erbt oder eine Spalte ein LF-Tag von einer Tabelle erbt, können Sie den geerbten Wert überschreiben, indem Sie dem LF-Tag-Schlüssel einen neuen Wert zuweisen.

Die maximale Anzahl von LF-Tags, die Sie einer Ressource zuweisen können, ist 50.

**Topics**
+ [Anforderungen für die Verwaltung von Tags, die Ressourcen zugewiesen sind](#manage-tags-reqs)
+ [Weisen Sie einer Tabellenspalte LF-Tags zu](#assign-tag-column)
+ [Weisen Sie einer Datenkatalogressource LF-Tags zu](#assign-tag-catalog-resource)
+ [LF-Tags für eine Ressource aktualisieren](#update-tags)
+ [LF-Tag aus einer Ressource entfernen](#remove-tag)

## Anforderungen für die Verwaltung von Tags, die Ressourcen zugewiesen sind
<a name="manage-tags-reqs"></a>

Um einer Datenkatalogressource ein LF-Tag zuzuweisen, müssen Sie:
+ Habe die Lake Formation `ASSOCIATE` Formation-Genehmigung auf dem LF-Tag.
+ Habe die IAM-Erlaubnis`lakeformation:AddLFTagsToResource`.
+ Habe die Glue: GetDatabase -Erlaubnis für eine Glue-Datenbank.
+ Seien Sie der Eigentümer (Ersteller) der Ressource, verfügen Sie über die `Super` Lake Formation Formation-Berechtigung für die Ressource mit der `GRANT` Option oder verfügen Sie über die folgenden Berechtigungen mit der `GRANT` Option:
  + Für Datenbanken im selben AWS Konto: `DESCRIBE``CREATE_TABLE`,`ALTER`, und `DROP` 
  + Für Datenbanken in einem externen Konto:`DESCRIBE`, `CREATE_TABLE` und `ALTER`
  + Für Tabellen (und Spalten): `DESCRIBE``ALTER`,`DROP`,`INSERT`,`SELECT`, und `DELETE`

Außerdem müssen sich das LF-Tag und die Ressource, der es zugewiesen wird, im selben AWS Konto befinden.

Um ein LF-Tag aus einer Datenkatalogressource zu entfernen, müssen Sie diese Anforderungen erfüllen und außerdem über die IAM-Berechtigung verfügen. `lakeformation:RemoveLFTagsFromResource`

## Weisen Sie einer Tabellenspalte LF-Tags zu
<a name="assign-tag-column"></a>

**Um einer Tabellenspalte LF-Tags zuzuweisen (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.

1. Wählen Sie einen Tabellennamen (nicht das Optionsfeld neben dem Tabellennamen).

1. Wählen Sie auf der Seite mit den Tabellendetails im Abschnitt **Schema** die Option **Schema bearbeiten** aus.

1. Wählen Sie auf der Seite **Schema bearbeiten** eine oder mehrere Spalten aus und wählen Sie dann **LF-Tags bearbeiten** aus.
**Anmerkung**  
Wenn Sie Spalten hinzufügen oder löschen und eine neue Version speichern möchten, tun Sie dies zuerst. Bearbeiten Sie dann die LF-Tags.

   Das Dialogfeld **LF-Tags bearbeiten** wird angezeigt, in dem alle LF-Tags angezeigt werden, die aus der Tabelle übernommen wurden.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten“. Im oberen Teil des Fensters werden zwei geerbte Schlüssel angezeigt. Der erste geerbte Schlüssel hat den Schlüssel „level“ und den Wert „director (inherited)“. Der zweite geerbte Schlüssel hat den Schlüssel „module“ und den Wert „Orders (inherited)“. Unter diesen Feldern befindet sich die Schaltfläche „Neues LF-Tag zuweisen“. Unten und rechts befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2a.png)

1. (Optional) Wählen Sie in der **Werteliste** neben dem Feld **Geerbte Schlüssel** einen Wert aus, um den geerbten Wert zu überschreiben.

1. (Optional) Wählen Sie „**Neues LF-Tag zuweisen**“. Wählen Sie dann für **Zugewiesene Schlüssel** einen Schlüssel und für **Werte** einen Wert für den Schlüssel aus.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten“. Im oberen Teil des Fensters werden zwei geerbte Schlüssel angezeigt. Der erste geerbte Schlüssel hat den Schlüssel „level“ und den Wert „director (inherited)“. Der zweite geerbte Schlüssel hat den Schlüssel „module“ und den Wert „Orders (inherited)“. Unter diesem Abschnitt befinden sich, horizontal ausgerichtet, die folgenden Felder und Steuerelemente: das Feld „Zugewiesene Schlüssel“, das Feld „Werte“ und die Schaltfläche „Entfernen“. Das Feld Zugewiesene Schlüssel enthält den Text „Umgebung“. Das Feld Werte ist eine Dropdownliste mit den Werten „Produktion“ (hervorgehoben) und „Kunden“. Unter dem Feld „Zugewiesene Schlüssel“ wird die Schaltfläche „Neues LF-Tag zuweisen“ angezeigt. Unten rechts im Fenster befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2b.png)

1. (Optional) Wählen Sie erneut **Neues LF-Tag zuweisen, um ein weiteres LF-Tag** hinzuzufügen.

1. Wählen Sie **Speichern**.

## Weisen Sie einer Datenkatalogressource LF-Tags zu
<a name="assign-tag-catalog-resource"></a>

------
#### [ Console ]

**Um einer Datenkatalog-Datenbank oder -Tabelle LF-Tags zuzuweisen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. Führen Sie im Navigationsbereich unter **Datenkatalog** eine der folgenden Aktionen aus:
   + **Um Datenbanken LF-Tags zuzuweisen, wählen Sie Datenbanken.**
   + **Um Tabellen LF-Tags zuzuweisen, wählen Sie Tabellen.**

1. Wählen Sie eine Datenbank oder Tabelle aus und klicken Sie im Menü **Aktionen** auf LF-Tags **bearbeiten**.

   Das Dialogfeld **LF-Tags bearbeiten: *resource-name*** wird angezeigt.

   Wenn eine Tabelle LF-Tags von der Datenbank erbt, die sie enthält, zeigt das Fenster die geerbten LF-Tags an. Andernfalls wird der Text „Der Ressource sind keine geerbten LF-Tags zugeordnet“ angezeigt.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten: Inventar“. Ganz oben befinden sich die Felder „Geerbte Schlüssel“ (abgeblendet) und „Werte“. Das Feld Geerbte Schlüssel hat den Wert „Level“ und das Feld Werte hat den Wert „Director (geerbt)“. Unter diesem Abschnitt befinden sich, horizontal ausgerichtet, die folgenden Felder und Steuerelemente: das Feld „Zugewiesene Schlüssel“, das Feld „Werte“ und die Schaltfläche „Entfernen“. Das Feld Zugewiesene Schlüssel enthält den Text „Modul“. Das Feld Werte ist eine Dropdownliste mit den Werten „Bestellungen“, „Vertrieb“ und „Kunden“ (hervorgehoben). Unter dem Feld Zugewiesene Schlüssel befindet sich die Schaltfläche „Neues LF-Tag zuweisen“. Unten rechts im Fenster befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-tables-2.png)

1. (Optional) Wenn eine Tabelle LF-Tags geerbt hat, können Sie für die **Werteliste** neben dem Feld **Geerbte Schlüssel** einen Wert auswählen, der den geerbten Wert überschreibt.

1. Gehen Sie wie folgt vor, um neue LF-Tags zuzuweisen:

   1. Wählen Sie **Neues LF-Tag zuweisen**.

   1. Wählen Sie im Feld **Zugewiesene Schlüssel** einen LF-Tag-Schlüssel und im Feld **Werte** einen Wert aus.

   1. (Optional) Wählen Sie erneut **Neues LF-Tag zuweisen, um ein zusätzliches LF-Tag** zuzuweisen.

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um einer Datenkatalogressource LF-Tags zuzuweisen**
+ Führen Sie den Befehl `add-lf-tags-to-resource` aus.

  Im folgenden Beispiel wird der Tabelle in der Datenbank das LF-Tag `module=orders` zugewiesen. `orders` `erp` Es verwendet die Shortcut-Syntax für das Argument. `--lf-tags` Die `CatalogID` Eigenschaft für `--lf-tags` ist optional. Falls nicht angegeben, wird die Katalog-ID der Ressource (in diesem Fall der Tabelle) angenommen.

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"orders"}}' --lf-tags  CatalogId=111122223333,TagKey=module,TagValues=orders
  ```

  Das Folgende ist die Ausgabe, wenn der Befehl erfolgreich ist.

  ```
  {
      "Failures": []
  }
  ```

  Im nächsten Beispiel werden der `sales` Tabelle zwei LF-Tags zugewiesen und die JSON-Syntax für das Argument verwendet. `--lf-tags`

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"sales"}}' --lf-tags '[{"TagKey": "module","TagValues": ["sales"]},{"TagKey": "environment","TagValues": ["development"]}]'
  ```

  Im nächsten Beispiel wird der Spalte der Tabelle das LF-Tag `level=director` zugewiesen. `total` `sales`

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "TableWithColumns": {"DatabaseName":"erp", "Name":"sales", "ColumnNames":["total"]}}' --lf-tags TagKey=level,TagValues=director
  ```

------

## LF-Tags für eine Ressource aktualisieren
<a name="update-tags"></a>

**Um ein LF-Tag für eine Datenkatalogressource zu aktualisieren ()AWS CLI**
+ Verwenden Sie den `add-lf-tags-to-resource` Befehl, wie im vorherigen Verfahren beschrieben.

  Wenn Sie ein LF-Tag mit demselben Schlüssel wie ein vorhandenes LF-Tag hinzufügen, jedoch mit einem anderen Wert, wird der vorhandene Wert aktualisiert.

## LF-Tag aus einer Ressource entfernen
<a name="remove-tag"></a><a name="remove-tag-command"></a>

**Um ein LF-Tag für eine Datenkatalogressource zu entfernen ()AWS CLI**
+ Führen Sie den Befehl `remove-lf-tags-from-resource` aus. 

  Wenn eine Tabelle einen LF-Tag-Wert hat, der den Wert überschreibt, der von der übergeordneten Datenbank übernommen wurde, wird durch das Entfernen dieses LF-Tags aus der Tabelle der geerbte Wert wiederhergestellt. Dieses Verhalten gilt auch für eine Spalte, die aus der Tabelle übernommene Schlüsselwerte überschreibt. 

  Im folgenden Beispiel wird das LF-Tag `level=director` aus der `total` Spalte der Tabelle entfernt. `sales` Die `CatalogID` Eigenschaft für `--lf-tags` ist optional. Falls nicht angegeben, wird die Katalog-ID der Ressource (in diesem Fall der Tabelle) angenommen. 

  ```
  aws lakeformation remove-lf-tags-from-resource 
  --resource ' { "TableWithColumns":  
  { "DatabaseName": "erp",  "Name": "sales",  "ColumnNames":[ "total"]}}' 
  --lf-tags  CatalogId=111122223333,TagKey=level,TagValues=director
  ```

# LF-Tags anzeigen, die einer Ressource zugewiesen sind
<a name="TBAC-view-resource-tags"></a>

Sie können die LF-Tags anzeigen, die einer Datenkatalogressource zugewiesen sind. Sie müssen über die `ASSOCIATE` Berechtigung `DESCRIBE` oder für ein LF-Tag verfügen, um es anzeigen zu können.

------
#### [ Console ]

**Um die LF-Tags anzuzeigen, die einer Ressource (Konsole) zugewiesen sind**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, Ressourcenbesitzer oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für die Ressource erteilt wurden.

1. Führen Sie im Navigationsbereich unter der Überschrift **Datenkatalog** einen der folgenden Schritte aus:
   + **Um LF-Tags anzuzeigen, die einer Datenbank zugewiesen sind, wählen Sie Datenbanken.**
   + **Um die einer Tabelle zugewiesenen LF-Tags anzuzeigen, wählen Sie Tabellen.**

1. Wählen Sie auf der Seite „**Tabellen**“ oder „**Datenbanken**“ den Namen der Datenbank oder Tabelle aus. Scrollen Sie dann auf der Detailseite nach unten zum Abschnitt **LF-Tags**.

   Der folgende Screenshot zeigt die LF-Tags, die einer `customers` Tabelle zugewiesen sind, die in der Datenbank enthalten ist. `retail` Das `module` LF-Tag wird von der Datenbank vererbt. Der `credit_limit` Spalte ist das `level=vp` LF-Tag zugewiesen.  
![\[Das Bild ist ein Screenshot des Abschnitts LF-Tags auf der customers Tabellendetailseite. Der Abschnitt LF-Tags enthält eine Tabelle mit den folgenden Spalten: Ressource, Schlüssel, Wert und Geerbt von. Die Tabelle hat 3 Zeilen. Über der Tabelle befindet sich ein Texteingabefeld mit dem Platzhaltertext „Tags suchen“ und einer Schaltfläche „Tags bearbeiten“. Der Absatz vor dem Bild beschreibt die im Screenshot gezeigten Tabellenwerte.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tags-for-resource-2.png)

------
#### [ AWS CLI ]

**Um die LF-Tags anzuzeigen, die einer Ressource zugewiesen sind ()AWS CLI**
+ Verwenden Sie einen Befehl ähnlich dem folgenden.

  ```
  aws lakeformation get-resource-lf-tags --show-assigned-lf-tags --resource '{ "Table": {"CatalogId":"111122223333", "DatabaseName":"erp", "Name":"sales"}}'
  ```

  Der Befehl gibt die folgende Ausgabe zurück.

  ```
  {
      "TableTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "sales"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "environment",
              "TagValues": [
                  "development"
              ]
          }
      ],
      "ColumnTags": [
          {
              "Name": "total",
              "Tags": [
                  {
                      "CatalogId": "111122223333",
                      "TagKey": "level",
                      "TagValues": [
                          "director"
                      ]
                  }
              ]
          }
      ]
  }
  ```

  In dieser Ausgabe werden nur LF-Tags angezeigt, die explizit zugewiesen und nicht vererbt wurden. Wenn Sie alle LF-Tags in allen Spalten sehen möchten, einschließlich geerbter LF-Tags, lassen Sie die Option weg. `--show-assigned-lf-tags`

------

# Die Ressourcen anzeigen, denen ein LF-Tag zugewiesen ist
<a name="TBAC-view-tag-resources"></a>

Sie können alle Datenkatalogressourcen anzeigen, denen ein bestimmter LF-Tag-Schlüssel zugewiesen ist. Dazu benötigen Sie die folgenden Lake Formation Formation-Berechtigungen:
+ `Describe`oder `Associate` auf dem LF-Tag.
+ `Describe`oder jede andere Genehmigung von Lake Formation für die Ressource.

Darüber hinaus benötigen Sie die folgenden AWS Identity and Access Management (IAM-) Berechtigungen:
+ `lakeformation:SearchDatabasesByLFTags`
+ `lakeformation:SearchTablesByLFTags`

------
#### [ Console ]

**Um die Ressourcen anzusehen, denen ein LF-Tag zugewiesen ist (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator oder als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen und LF-Tags und Berechtigungen** **die Option LF-Tags** aus.**

1. Wählen Sie einen LF-Tag-Schlüssel (nicht das Optionsfeld neben dem Schlüsselnamen).

   Auf der LF-Tag-Detailseite wird eine Liste der Ressourcen angezeigt, denen das LF-Tag zugewiesen wurde.  
![\[Das Bild ist ein Screenshot der LF-Tag-Detailseite für den Schlüssel „Modul“. Die LF-Tag-Detailseite besteht aus zwei Abschnitten. Im oberen Bereich werden der LF-Tag-Schlüssel und die Werte angezeigt. Im unteren Bereich werden die mit diesem LF-Tag verknüpften Ressourcen in einer Tabelle mit den folgenden Spalten angezeigt: Schlüssel, Werte, Ressourcentyp und Ressource. Die Tabelle hat 12 Zeilen, aber im Screenshot sind nur 7 Zeilen zu sehen. Die Tabellenzeilen zeigen, dass das LF-Tag einer Datenbank, zwei der Tabellen in der Datenbank und durch Vererbung den Spalten dieser Tabellen zugewiesen ist.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/resources-on-tags-2.png)

------
#### [ AWS CLI ]

**Um die Ressourcen anzuzeigen, denen ein LF-Tag zugewiesen ist**
+ Führen Sie den Befehl `search-tables-by-lf-tags` oder `search-databases-by-lf-tags` aus.  
**Example**  

  Das folgende Beispiel listet Tabellen und Spalten auf, denen das `level=vp` LF-Tag zugewiesen wurde. Für jede aufgelistete Tabelle und Spalte werden alle zugewiesenen LF-Tags für die Tabelle oder Spalte ausgegeben, nicht nur der Suchausdruck.

  ```
  aws lakeformation search-tables-by-lf-tags --expression TagKey=level,TagValues=vp
  ```

------

Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

## Lebenszyklus eines LF-Tags
<a name="lf-tag-life-cycle"></a>

1. Der LF-Tag-Schöpfer Michael erstellt einen LF-Tag. `module=Customers`

1. Michael vergibt den LF-Tag `Associate` an den Dateningenieur Eduardo. Implizite Gewährung von Zuschüssen`Associate`. `Describe`

1. Michael gewährt Eduardo mit der Grant-Option `Super` auf dem Tisch`Custs`, sodass Eduardo der Tabelle LF-Tags zuweisen kann. Weitere Informationen finden Sie unter [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md).

1. Eduardo weist der Tabelle den LF-Tag zu. `module=customers` `Custs`

1. Michael gewährt der Dateningenieurin Sandra den folgenden Zuschuss (in Pseudocode).

   ```
   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
   ```

1. Sandra gewährt der Datenanalystin Maria den folgenden Zuschuss.

   ```
   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria
   ```

   Maria kann jetzt Abfragen für die `Custs` Tabelle ausführen.

**Weitere Informationen finden Sie auch unter**  
[Zugriffskontrolle für Metadaten](access-control-metadata.md)

## Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle
<a name="TBAC-comparison-ABAC"></a>

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. *In werden diese AWS Attribute als Tags bezeichnet.* Sie können Tags an IAM-Ressourcen, einschließlich IAM-Entitäten (Benutzer oder Rollen), und an AWS Ressourcen anhängen. Sie können eine einzelne ABAC-Richtlinie oder einen kleinen Richtliniensatz für Ihre IAM-Prinzipale erstellen. Diese ABAC-Richtlinien können so konzipiert werden, dass Operationen zugelassen werden, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.

Cloud-Sicherheits- und Governance-Teams verwenden IAM, um Zugriffsrichtlinien und Sicherheitsberechtigungen für alle Ressourcen zu definieren, einschließlich Amazon S3 S3-Buckets, Amazon EC2 EC2-Instances und allen Ressourcen, auf die Sie mit einem ARN verweisen können. Die IAM-Richtlinien definieren umfassende (grobe) Berechtigungen für Ihre Data Lake-Ressourcen, um beispielsweise den Zugriff auf Amazon S3 S3-Bucket-, Präfix- oder Datenbankebene zuzulassen oder zu verweigern. [Weitere Informationen zu IAM ABAC finden Sie unter Wozu dient ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

Sie können beispielsweise drei Rollen mit dem Tag-Schlüssel `project-access` erstellen. Legen Sie den Tag-Wert der ersten Rolle auf `Dev`, den zweiten auf `Marketing` und den dritten auf `Support` fest. Weisen Sie Ressourcen Tags mit dem entsprechenden Wert zu. Sie können dann eine einzelne Richtlinie verwenden, die den Zugriff erlaubt, wenn die Rolle und die Ressource mit demselben Wert für `project-access` markiert sind.

Data Governance-Teams verwenden Lake Formation, um detaillierte Berechtigungen für bestimmte Data Lake-Ressourcen zu definieren. LF-Tags werden Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugewiesen und an Principals vergeben. Ein Principal mit LF-Tags, die den LF-Tags einer Ressource entsprechen, kann auf diese Ressource zugreifen. Lake Formation Formation-Berechtigungen sind den IAM-Berechtigungen untergeordnet. Wenn IAM-Berechtigungen einem Benutzer beispielsweise keinen Zugriff auf einen Data Lake gewähren, gewährt Lake Formation diesem Benutzer keinen Zugriff auf Ressourcen innerhalb dieses Data Lakes, selbst wenn der Principal und die Ressource übereinstimmende LF-Tags haben.

Lake Formation Tag-Based Access Control (LF-TBAC) arbeitet mit IAM ABAC zusammen, um zusätzliche Berechtigungsebenen für Ihre Lake Formation Formation-Daten und -Ressourcen bereitzustellen. 
+ **Lake Formation TBAC-Genehmigungen skalieren mit Innovation.** Es ist nicht mehr notwendig, dass ein Administrator vorhandene Richtlinien aktualisiert, um den Zugriff auf neue Ressourcen zu erlauben. Nehmen wir beispielsweise an, dass Sie eine IAM-ABAC-Strategie mit dem `project-access` Tag verwenden, um Zugriff auf bestimmte Datenbanken innerhalb von Lake Formation zu gewähren. Mithilfe von LF-TBAC `Project=SuperApp` wird das LF-Tag bestimmten Tabellen oder Spalten zugewiesen, und dasselbe LF-Tag wird einem Entwickler für dieses Projekt gewährt. Über IAM kann der Entwickler auf die Datenbank zugreifen, und LF-TBAC-Berechtigungen gewähren dem Entwickler weiteren Zugriff auf bestimmte Tabellen oder Spalten innerhalb von Tabellen. Wenn dem Projekt eine neue Tabelle hinzugefügt wird, muss der Lake Formation-Administrator der neuen Tabelle nur das Tag zuweisen, damit der Entwickler Zugriff auf die Tabelle erhält.
+ **Lake Formation TBAC erfordert weniger IAM-Richtlinien.** Da Sie IAM-Richtlinien verwenden, um umfassenden Zugriff auf Lake Formation-Ressourcen und Lake Formation TBAC für die Verwaltung eines genaueren Datenzugriffs zu gewähren, erstellen Sie weniger IAM-Richtlinien.
+ **Mit Lake Formation TBAC können sich Teams schnell verändern und wachsen.** Der Grund hierfür ist, dass Berechtigungen für neue Ressourcen automatisch basierend auf Attributen erteilt werden. Wenn beispielsweise ein neuer Entwickler dem Projekt beitritt, ist es einfach, diesem Entwickler Zugriff zu gewähren, indem Sie dem Benutzer die IAM-Rolle zuordnen und ihm dann die erforderlichen LF-Tags zuweisen. Sie müssen die IAM-Richtlinie nicht ändern, um ein neues Projekt zu unterstützen oder neue LF-Tags zu erstellen. 
+ **Mit Lake Formation TBAC sind detailliertere Genehmigungen möglich.** IAM-Richtlinien gewähren Zugriff auf Ressourcen der obersten Ebene, wie z. B. Datenkatalogdatenbanken oder Tabellen. Mit **Lake Formation TBAC** können Sie Zugriff auf bestimmte Tabellen oder Spalten gewähren, die bestimmte Datenwerte enthalten.

**Anmerkung**  
IAM-Tags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM-Tags werden verwendet, um IAM-Richtlinien zu definieren.

# Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten
<a name="managing-tag-expressions"></a>

 LF-Tag-Ausdrücke sind logische Ausdrücke, die aus einem oder mehreren LF-Tags (Schlüssel-Wert-Paaren) bestehen und zur Gewährung von Berechtigungen für Ressourcen verwendet werden. AWS Glue Data Catalog Mit LF-Tag-Ausdrücken können Sie Regeln definieren, die den Zugriff auf Ihre Datenressourcen auf der Grundlage ihrer Metadaten-Tags regeln. Sie können diese Ausdrücke speichern und sie für mehrere Berechtigungszuweisungen wiederverwenden, wodurch Konsistenz gewährleistet ist und Änderungen an der Tag-Ontologie im Laufe der Zeit problemlos verwaltet werden können. 

Innerhalb eines bestimmten LF-Tag-Ausdrucks werden die Tag-Schlüssel mithilfe der AND-Operation kombiniert, während die Werte mithilfe der OR-Operation kombiniert werden. Der Tag-Ausdruck `content_type:Sales AND location:US` steht beispielsweise für Ressourcen, die sich auf Verkaufsdaten in den USA beziehen.

Sie können bis zu 1000 LF-Tag-Ausdrücke in einem erstellen. AWS-Konto Diese Ausdrücke bieten eine flexible und skalierbare Methode zur Verwaltung von Berechtigungen auf der Grundlage von Metadaten-Tags und stellen so sicher, dass nur autorisierte Benutzer oder Anwendungen auf der Grundlage der definierten Tag-Regeln auf bestimmte Datenressourcen zugreifen können.

LF-Tag-Ausdrücke bieten die folgenden Vorteile: 
+ **Wiederverwendbarkeit** — Durch die Definition und Speicherung von LF-Tag-Ausdrücken müssen Sie dieselben Ausdrücke nicht mehr manuell replizieren, wenn Sie anderen Ressourcen oder Prinzipalen Berechtigungen zuweisen.
+ **Konsistenz** — Die Wiederverwendung von LF-Tag-Ausdrücken für mehrere Berechtigungsberechtigungen gewährleistet eine einheitliche Art und Weise, wie Berechtigungen erteilt und verwaltet werden.
+ **Verwaltung der Tag-Ontologie** — LF-Tag-Ausdrücke helfen dabei, Änderungen an der Tag-Ontologie im Laufe der Zeit zu verwalten, da Sie die gespeicherten Ausdrücke aktualisieren können, anstatt einzelne Berechtigungsberechtigungen zu ändern. 

Weitere Informationen zur tagbasierten Zugriffskontrolle finden Sie im. [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md) 

**Ersteller von LF-Tag-Ausdrücken**  
Der LF-Tag Expression Creator ist ein Principal, der über die Rechte zum Erstellen und Verwalten von LF-Tag-Ausdrücken verfügt. Data Lake-Administratoren können LF-Tag-Ausdrucksersteller mithilfe der Lake Formation Formation-Konsole, CLI, API oder SDK hinzufügen. Die Ersteller von LF-Tag-Ausdrücken verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tag-Ausdrücke zu erstellen, zu aktualisieren und zu löschen und anderen Prinzipalen LF-Tag-Ausdrucksberechtigungen zu gewähren.

Ersteller von LF-Tag-Ausdrücken, die keine Data Lake-Administratoren sind, erhalten implizite,, und Berechtigungen nur für Ausdrücke, die sie erstellt `Alter` haben. `Drop` `Describe` `Grant with LF-Tag expression` 

Data Lake-Administratoren können Erstellern von LF-Tag-Ausdrücken auch erteilbare Berechtigungen gewähren. `Create LF-Tag expression` Anschließend kann der Ersteller von LF-Tag-Ausdrücken anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tag-Ausdrücken erteilen.

**Topics**
+ [Für die Erstellung von LF-Tag-Ausdrücken sind IAM-Berechtigungen erforderlich](#tag-expression-creator-permissions)
+ [Fügen Sie Ersteller von LF-Tag-Ausdrücken hinzu](#add-lf-tag-expression-creator)
+ [LF-Tag-Ausdrücke erstellen](TBAC-creating-tag-expressions.md)
+ [LF-Tag-Ausdrücke werden aktualisiert](TBAC-updating-expressions.md)
+ [LF-Tag-Ausdrücke löschen](TBAC-deleting-expressions.md)
+ [LF-Tag-Ausdrücke auflisten](TBAC-listing-expressions.md)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

## Für die Erstellung von LF-Tag-Ausdrücken sind IAM-Berechtigungen erforderlich
<a name="tag-expression-creator-permissions"></a>

 Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tag-Ausdrücke erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ausdrucksersteller sein muss, die folgende Anweisung hinzu.

**Anmerkung**  
Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags und LF-Tag-Ausdrücke zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags- und LF-Tag-Ausdrucksberechtigungen zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.

Weitere Informationen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## Fügen Sie Ersteller von LF-Tag-Ausdrücken hinzu
<a name="add-lf-tag-expression-creator"></a>

Die Ersteller von LF-Tag-Ausdrücken können wiederverwendbare LF-Tag-Ausdrücke erstellen und speichern, Tag-Schlüssel und -Werte aktualisieren, Ausdrücke löschen und Prinzipalen mithilfe der LF-TBAC-Methode Berechtigungen für Datenkatalogressourcen gewähren. Der LF-Tag-Ausdrucksersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können Rollen zum Erstellen von LF-Tag-Ausdrücken mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ console ]

**Um einen LF-Tag Expression Creator hinzuzufügen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags und** Berechtigungen aus.

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke**.

1. Wählen Sie im Abschnitt **LF-Tag-Ausdrucksersteller** die Option LF-Tag-Ausdrucksersteller **hinzufügen** aus.  
![\[Form to add LF-Tag expression creators with IAM-Benutzer selection and permissions.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. Wählen Sie auf der Seite „**Ersteller von LF-Tag-Ausdrücken hinzufügen**“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tag-Ausdrücken verfügt.

1. Aktivieren Sie das Kontrollkästchen „Berechtigung“. `Create LF-Tag expression`

1. (Optional) Damit die ausgewählten Hauptbenutzer den Hauptbenutzern `Create LF-Tag expression` Berechtigungen erteilen können, wählen Sie „Berechtigung erteilen“ aus. `Create LF-Tag expression`

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

Die Rolle „LF-Tag-Ausdrucksersteller“ kann LF-Tag-Ausdrücke erstellen, aktualisieren oder löschen. 


| Berechtigung | Description | 
| --- | --- | 
| Create | Ein Principal mit dieser Berechtigung kann LF-Tag-Ausdrücke zum Data Lake hinzufügen. | 
| Drop | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann einen LF-Tag-Ausdruck aus dem Data Lake löschen.  | 
| Alter | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann den Ausdruckstext eines LF-Tag-Ausdrucks aktualisieren. | 
| Describe | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann den Inhalt eines LF-Tag-Ausdrucks anzeigen.  | 
| Grant with LF-Tag expression | Diese Berechtigung ermöglicht es dem Empfänger, den Tag-Ausdruck als Ressource zu verwenden, wenn er Zugriffsberechtigungen für Daten oder Metadaten erteilt. Grant with LF-Tag expressionImplizite Gewährung gewährtDescribe. | 
| Super | Bei LF-Tag-Ausdrücken gewährt die Super Berechtigung die MöglichkeitDescribe,, AlterDrop, und anderen Prinzipalen Berechtigungen für den Tag-Ausdruck zu gewähren. | 

Diese Berechtigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.

# LF-Tag-Ausdrücke erstellen
<a name="TBAC-creating-tag-expressions"></a>

Sie müssen alle LF-Tags in Lake Formation definieren und sie den Datenkatalogressourcen zuweisen, bevor sie zum Erstellen von Ausdrücken verwendet werden können. Ein LF-Tag-Ausdruck besteht aus einem weiteren Schlüssel und einem oder mehreren möglichen Werten für jeden Schlüssel.

 Nachdem der Data Lake-Administrator die erforderlichen IAM-Berechtigungen und Lake Formation Formation-Berechtigungen für die Rolle LF-Tag-Ausdrucksersteller eingerichtet hat, kann der Principal wiederverwendbare LF-Tag-Ausdrücke erstellen. Der LF-Tag-Ausdrucksersteller erhält implizite Berechtigungen, um den Ausdruckstext zu aktualisieren und den LF-Tag-Ausdruck zu löschen.

Sie können LF-Tag-Ausdrücke mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu erstellen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Principal mit LF-Tag Expression Creator-Rechten oder als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die **Option LF-Tags** und Berechtigungen aus.

1. Wählen Sie **LF-Tag-Ausdrücke**. Die Seite „**LF-Tag-Ausdrücke hinzufügen**“ wird angezeigt.  
![\[Die Seite enthält Felder zum Hinzufügen eines Namens und einer Beschreibung sowie ein Dropdownmenü zur Auswahl des Ausdruckstextes. Benutzer können auch die Möglichkeit haben, Berechtigungen zu erteilen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-tag-expression.png)

1. Geben Sie die folgenden Informationen ein:
   + Name — Geben Sie einen eindeutigen Namen für den Ausdruck ein. Sie können den Ausdrucksnamen nicht aktualisieren. 
   + Beschreibung — Geben Sie eine optionale Beschreibung für den Ausdruck mit den Details des Ausdrucks ein.
   + Ausdruck — Erstellen Sie den Ausdruck, indem Sie Tag-Schlüssel und die zugehörigen Werte angeben. Sie können bis zu 50 Schlüssel pro Ausdruck hinzufügen. Sie benötigen die `Grant with LF-Tags` Lake Formation Formation-Erlaubnis für alle Tags im Ausdruckstext.

      Jeder Schlüssel muss mindestens einen Wert haben. Um mehrere Werte einzugeben, geben Sie entweder eine durch Kommas getrennte Liste ein und drücken **Sie dann die EINGABETASTE**, oder geben Sie jeweils einen Wert ein und wählen Sie nach jedem Wert die Option **Hinzufügen**. Die maximal zulässige Anzahl von Werten pro Schlüssel ist 1000.

      Lake Formation verwendet die AND/OR Logik, um mehrere Schlüssel und Werte in einem Ausdruck zu kombinieren. Innerhalb eines einzigen Paares (Schlüssel: Werteliste) werden die Werte mit dem logischen OR-Operator kombiniert. Wenn das Paar beispielsweise (Abteilung: [Vertrieb, Marketing]) lautet, bedeutet dies, dass das Tag übereinstimmt, wenn die Ressource das Abteilungs-Tag mit dem Wert Vertrieb ODER Marketing hat. 

      Wenn Sie mehrere Schlüssel angeben, werden die Schlüssel durch einen logischen AND-Operator verknüpft. Wenn der vollständige Ausdruck also (Department: [Sales, Marketing]) AND (Location: [US, Kanada]) lautet, entspricht er Ressourcen, die das Department-Tag mit dem Wert Sales OR Marketing und auch das Location-Tag mit dem Wert US OR Kanada haben. Im Folgenden finden Sie ein weiteres Beispiel mit mehreren Schlüsseln und Werten:

     LF-Tag-AusdruckContentType : (: [Video, Audio]) UND (Region: [Europa, Asien]) UND (Abteilung: [Technik, ProductManagement]).

     Dieser Ausdruck würde Ressourcen entsprechen, die: - das ContentType Tag mit dem Wert Video ODER Audio UND - das Region-Tag mit dem Wert Europa ODER Asien UND - das Department-Tag mit dem Wert Engineering OR haben. ProductManagement 

    Sie können auch einen Tag-Ausdruck speichern, wenn Sie Data Lake-Berechtigungen mithilfe von LF-Tags gewähren. Wählen Sie die Schlüssel- und Wertepaare aus und wählen Sie die Option **Als neuen Ausdruck speichern**. Geben Sie einen Namen ein, der den Ausdruck beschreibt.   
![\[Die Seite enthält Felder zur Auswahl des Ausdruckstextes und ein Feld zur Eingabe eines Namens.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/save-expression-grant.png)

1.  (Optional) Wählen Sie als Nächstes die Benutzer/Rollen und die Berechtigungen für den Ausdruck aus, die Sie ihnen im Konto gewähren möchten. Sie können auch erteilbare Berechtigungen auswählen, die es den Benutzern ermöglichen, diese Berechtigungen anderen Benutzern im Konto zu gewähren. Sie können keine kontoübergreifenden Berechtigungen für die Tagausdrücke gewähren.  
![\[Auf der Seite werden die Felder angezeigt, in denen Sie auswählen können, welche Berechtigungen anderen Hauptbenutzern erteilt werden sollen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-expression-permissions.png)

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

**Um einen LF-Tag-Ausdruck zu erstellen**
+ Geben Sie einen Befehl ein`create-lf-tag-expression`.

  Im folgenden Beispiel wird ein LF-Tag-Ausdruck mit dem Tag `Department` mit den Werten `Sales` und UND `Marketing` dem Tag `Location` mit dem Wert erstellt. `US`

  ```
  aws lakeformation create-lf-tag-expression \
  -- name "my-tag-expression" \
  -- catalog-id "123456789012" \
  -- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
  ```

   Dieser CLI-Befehl erstellt einen neuen LF-Tag-Ausdruck in der. AWS Glue Data Catalog Der Ausdruck kann verwendet werden, um Datenkatalogressourcen wie Datenbanken, Tabellen, Ansichten oder Spalten auf der Grundlage der zugehörigen Tags Berechtigungen zu gewähren. In diesem Beispiel entspricht der Ausdruck Ressourcen, bei denen der `Department` Schlüssel Werte `Sales` oder `Marketing` und der `Location` Schlüssel der Wert ist`US`. 

------

 Als Ersteller eines Tag-Ausdrucks erhält der Principal die `Alter` Erlaubnis für diesen LF-Tag-Ausdruck und kann den Ausdruck aktualisieren oder entfernen. Der Prinzipal, der den Ausdruck erstellt, kann auch einem anderen Prinzipal die `Alter` Erlaubnis erteilen, diesen Ausdruck zu aktualisieren und zu entfernen. 

# LF-Tag-Ausdrücke werden aktualisiert
<a name="TBAC-updating-expressions"></a>

Nur Data Lake-Administratoren, der Ersteller des LF-Tag-Ausdrucks und Prinzipale, die über `Alter` oder über `Super` Berechtigungen für den LF-Tag-Ausdruck verfügen, können einen LF-Tag-Ausdruck aktualisieren. Zusätzlich zu den `Alter` Berechtigungen benötigen Sie auch die `lakeformation:UpdateLFTagExpression` IAM-Berechtigung und die Erlaubnis für alle zugrunde liegenden Schlüsselwerte im neuen `Grant with LF-Tag` Ausdruckstext, um Ausdrücke zu aktualisieren.

Sie aktualisieren einen LF-Tag-Ausdruck, indem Sie die Beschreibung, den Ausdruckstext und die für den Ausdruck erteilten Berechtigungen aktualisieren. Sie können den Namen des LF-Tag-Ausdrucks nicht ändern. Um den Namen zu ändern, löschen Sie den LF-Tag-Ausdruck und fügen Sie einen mit den erforderlichen Parametern hinzu. 

Sie können einen LF-Tag-Ausdruck mithilfe der AWS Lake Formation Konsole, der API oder der () aktualisieren. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu aktualisieren**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, als Ersteller des LF-Tags oder als Principal mit `Alter` Berechtigungen für das LF-Tag an.

1. **Wählen Sie im Navigationsbereich unter Berechtigungen die Option LF-Tags und Berechtigungen aus.**

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke**.

1. **Wählen Sie im Abschnitt **LF-Tag-Ausdrücke** einen LF-Tag-Ausdruck aus und klicken Sie dann auf Bearbeiten.**

1. Aktualisieren **Sie im Dialogfeld „LF-Tag-Ausdruck bearbeiten**“ die Beschreibung und den Ausdruckstext, indem Sie Schlüssel und Werte hinzufügen oder entfernen.

   Um mehrere Werte hinzuzufügen, wählen Sie im Feld **Werte die Werte** aus der Dropdownliste aus.

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

 Mit dem update-lf-tag-expression Befehl in Lake Formation können Sie einen vorhandenen LF-Tag-Ausdruck aktualisieren. 

```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```

Die Parameter im bereitgestellten Befehl bedeuten Folgendes: 
+ name — Der Name des vorhandenen benannten Tag-Ausdrucks, den Sie aktualisieren möchten. 
+ Beschreibung — Eine neue Beschreibung für den Ausdruck.

  catalog-id — Die ID des Datenkatalogs, in dem sich der Ausdruck des benannten Tags befindet. 
+ Ausdruck — Die neue Tag-Ausdruckszeichenfolge, mit der Sie den Ausdruck aktualisieren möchten.

------

# LF-Tag-Ausdrücke löschen
<a name="TBAC-deleting-expressions"></a>

Sie können LF-Tag-Ausdrücke löschen, die nicht mehr verwendet werden. Wenn Sie Prinzipalen mithilfe des LF-Tag-Ausdrucks Berechtigungen für Datenkatalogressourcen erteilt haben, haben sie diese Rechte nicht mehr.

Nur Data Lake-Administratoren, der Ersteller des LF-Tag-Ausdrucks oder ein Principal mit `Drop` Berechtigungen für den LF-Tag-Ausdruck können einen LF-Tag-Ausdruck löschen. Zusätzlich zur Berechtigung benötigt der Principal auch eine `Drop` `lakeformation:DeleteLFTagExpression` IAM-Berechtigung, um einen LF-Tag-Ausdruck zu löschen.

Sie können einen LF-Tag-Ausdruck mithilfe der AWS Lake Formation Konsole, der API oder der () löschen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu löschen (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, Ersteller des LF-Tag-Ausdrucks oder als Principal an, der über die Berechtigungen zum Löschen des Ausdrucks verfügt.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.

1. Wählen Sie die Registerkarte **LF-Tag-Ausdruck**.

1. **Wählen Sie im Abschnitt **LF-Tag-Ausdrücke** einen LF-Tag-Ausdruck aus und klicken Sie dann auf Löschen.**

1. **Im Ausdruck „LF-Tag löschen“?** **Um den Löschvorgang zu bestätigen, geben Sie den Namen des LF-Tag-Ausdrucks in das dafür vorgesehene Feld ein und wählen Sie dann Löschen.**

------
#### [ AWS CLI ]

**Um ein LF-Tag () zu löschen AWS CLI**
+ Geben Sie einen Befehl ein`delete-lf-tag-expression`. Geben Sie den Namen des Ausdrucks und die Katalog-ID an, die gelöscht werden sollen.  
**Example**  

  Im folgenden Beispiel wird der LF-Tag-Ausdruck mit dem Namen `my-tag-expression` aus dem Datenkatalog mit der ID gelöscht. `123456789012` Der `catalog-id` Parameter ist optional, wenn Sie dasselbe Konto wie Ihre Konfiguration verwenden. AWS CLI Nach dem Löschen eines LF-Tag-Ausdrucks bereinigt Lake Formation die zugehörigen Berechtigungsdatensätze für diesen Ausdruck. Dies umfasst sowohl einzelne Berechtigungsdatensätze als auch aggregierte Berechtigungsdatensätze, die den gelöschten Ausdruck enthalten.

  ```
  aws lakeformation delete-lf-tag-expression \
  --name "my-tag-expression" \
  --catalog-id "123456789012"
  ```

------

# LF-Tag-Ausdrücke auflisten
<a name="TBAC-listing-expressions"></a>

 Sie können die LF-Tag-Ausdrücke auflisten, für die Sie die Beschreibungsberechtigung haben. Data Lake-Administratoren, Ersteller von LF-Tag-Ausdrücken und Administratoren mit Lesezugriff können implizit alle Tag-Ausdrücke in ihrem Konto sehen. 

Sie können LF-Tag-Ausdrücke mithilfe der AWS Lake Formation Konsole, der API oder der () auflisten. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um LF-Tag-Ausdrücke aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tag-Ausdrucks, als Data Lake-Administrator oder als Principal an, dem Berechtigungen für LF-Tag-Ausdrücke erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTagExpressions`

1. **Im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen**.**

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke, um die Ausdrücke** zu sehen. Dieser Abschnitt enthält Informationen zu den vorhandenen LF-Tag-Ausdrücken, einschließlich des Ausdrucksnamens, des Ausdrucks selbst mit Links zu den enthaltenen Tags und Optionen zum Erstellen, Bearbeiten oder Löschen von Ausdrücken. 

------
#### [ AWS CLI ]

**Um LF-Tags aufzulisten ()AWS CLI**
+ Um LF-Tag-Ausdrücke mit dem aufzulisten AWS CLI, können Sie den Befehl verwenden. list-lf-tag-expressions Die Anforderungssyntax lautet: 

  ```
  aws lakeformation list-lf-tag-expressions \
  -- catalog-id "123456789012" \
  -- max-items "100" \
  -- next-token "next-token"
  ```

   Wobei Folgendes gilt:
  + `catalog-id`ist die AWS Konto-ID des Datenkatalogs, für den Sie Tagausdrücke auflisten möchten.
  + `max-items`gibt die maximale Anzahl von zurückzugebenden Tag-Ausdrücken an. Wenn dieser Parameter nicht verwendet wird, ist der Standardwert 100.
  + `next-token`ist ein Fortsetzungstoken, wenn die Ergebnisse in einer früheren Anfrage gekürzt wurden.

  Die Antwort wird eine Liste von LF-Tag-Ausdrücken und gegebenenfalls ein Next-Token enthalten. 

------

# Verwaltung von LF-Tag-Wertberechtigungen
<a name="TBAC-granting-tags"></a>

Sie können Prinzipalen die `Alter` Berechtigungen für LF-Tags gewähren`Drop`, um LF-Tag-Wertausdrücke zu verwalten. Sie können Prinzipalen auch die `Grant with LF-Tag expressions` Berechtigungen `Describe``Associate`, und für LF-Tags gewähren, um die LF-Tags anzuzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zuzuweisen. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md).

Sie können diese Berechtigungen mit der Grant-Option gewähren, sodass andere Principals sie gewähren können. Die `Associate` Berechtigungen `Grant with LF-Tag expressions``Describe`, und werden unter erklärt. [Fügen Sie LF-Tag-Ersteller hinzu](TBAC-adding-tag-creator.md#add-lf-tag-creator)

Sie können die `Describe` und `Associate` -Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die `Associate` Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.

Bei der Gewährung an ein externes Konto müssen Sie die Option „Gewähren“ angeben.

Sie können Berechtigungen für LF-Tags erteilen, indem Sie die Lake Formation Formation-Konsole, die API oder die AWS Command Line Interface ()AWS CLI verwenden.

**Topics**
+ [LF-Tag-Berechtigungen mithilfe der Konsole auflisten](TBAC-listing-tag-perms-console.md)
+ [Erteilen von LF-Tag-Berechtigungen über die Konsole](TBAC-granting-tags-console.md)
+ [Verwaltung von LF-Tag-Berechtigungen mit dem AWS CLI](TBAC-granting-revoking-tags-cli.md)

Weitere Informationen finden Sie unter [Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md) und [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md).

# LF-Tag-Berechtigungen mithilfe der Konsole auflisten
<a name="TBAC-listing-tag-perms-console"></a>

Sie können die Lake Formation Formation-Konsole verwenden, um die für LF-Tags erteilten Berechtigungen einzusehen. Sie müssen ein LF-Tag-Ersteller oder ein Data Lake-Administrator sein oder über die `Associate` Berechtigung `Describe` oder für ein LF-Tag verfügen, um es sehen zu können.

**Um die LF-Tag-Berechtigungen aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tags, als Data Lake-Administrator oder als Benutzer an, dem die, `Drop` `Alter``Associate`, oder `Describe` -Berechtigungen für LF-Tags erteilt wurden.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen die Option LF-Tags und Berechtigungen** **und anschließend den Abschnitt LF-Tag-Berechtigungen** aus.**

   Der Abschnitt **LF-Tag-Berechtigungen** zeigt eine Tabelle, die Principal-, Tag-Schlüssel, Werte und Berechtigungen enthält.  
![\[Die Seite enthält eine Tabelle mit Berechtigungen mit den folgenden Spalten: Principal, Principal Type, Keys, Values, Permissions und Grantable. Es gibt fünf Zeilen. Links von jeder Zeile befindet sich ein Optionsfeld. Über der Tabelle befinden sich ein Suchfeld und die folgenden Schaltflächen: Refresh, View, Revoke und Grant. Da anfänglich keine Zeile ausgewählt ist, sind die Schaltflächen „Anzeigen“ und „Widerrufen“ deaktiviert. Die Werte in der ersten Zeile sind: Principal=arn:aws:iam: :111122223333:user/datalake_admin, Principal Type=IAM user, keys=Environment, Values=All values, permissions=DESCRIBE, grantable=DESCRIBE.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/list-tag-permissions-page.png)

# Erteilen von LF-Tag-Berechtigungen über die Konsole
<a name="TBAC-granting-tags-console"></a>

In den folgenden Schritten wird erklärt, wie Sie mithilfe der Seite „LF-Tag-Berechtigungen gewähren“ in der Lake Formation **Formation-Konsole Berechtigungen gewähren Berechtigungen für LF-Tags** gewähren. Die Seite ist in folgende Abschnitte unterteilt:
+ **Berechtigungsarten** — Die Art der zu erteilenden Genehmigung.
+ **Principals** — Die IAM-Benutzer oder -Rollen oder SAML-Benutzer oder -Rollen, denen Berechtigungen erteilt werden sollen.
+  Berechtigungen für **LF-Tag-Schlüssel-Wert-Paare — Die LF-Tag-Schlüssel-Wert-Paare, für die Berechtigungen** erteilt werden sollen.
+  LF-Tag-Berechtigungen — **Die LF-Tags**, für die Berechtigungen erteilt werden sollen.
+  Berechtigungen für **LF-Tag-Ausdrücke — Die LF-Tags, für die Berechtigungen** erteilt werden sollen.
+  **Berechtigungen** — Die zu erteilenden Berechtigungen.

## Öffnen Sie die Seite „**LF-Tag-Berechtigungen gewähren**“
<a name="tag-start-grant"></a>

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als LF-Tag-Ersteller, Data Lake-Administrator oder als Benutzer an. Mit dieser Option wurden LF-Tag-Berechtigungen oder LF-Tag-Schlüssel-Wert-Paar-Berechtigungen für LF-Tags erteilt. `Grant`

1. ****Wählen Sie im Navigationsbereich die Option LF-Tags und Berechtigungen und anschließend den Abschnitt LF-Tag-Berechtigungen aus.****

1. Klicken Sie auf**Gewähren von Berechtigungen**aus.

## Geben Sie den Berechtigungstyp an
<a name="grant-tag-permission-type"></a>

Wählen Sie im Abschnitt **Berechtigungstyp** einen Berechtigungstyp aus.

LF-Tag-Berechtigungen  
Wählen Sie die **LF-Tag-Berechtigungen**, damit Principals LF-Tag-Werte aktualisieren oder LF-Tags löschen können.

Berechtigungen für LF-Tag-Schlüsselwertpaare  
Wählen Sie die **LF-Tag-Berechtigungen für Schlüssel-Wert-Paare**, um es Prinzipalen zu ermöglichen, Datenkatalogressourcen LF-Tags zuzuweisen, LF-Tags und -Werte anzuzeigen und Prinzipalen LF-Tag-basierte Berechtigungen für Datenkatalogressourcen zu gewähren.  
**Die in den folgenden Abschnitten verfügbaren Optionen hängen vom Berechtigungstyp ab.**

Berechtigungen für LF-Tag-Ausdrücke  
Wählen Sie die **LF-Tag-Ausdrucksberechtigungen**, um es den Prinzipalen zu ermöglichen, Ausdrücke zu aktualisieren oder Ausdrücke zu löschen.

## Geben Sie die Prinzipale an
<a name="grant-tags-principals"></a>

**Anmerkung**  
Sie können externen Konten oder Prinzipalen in einem anderen Konto keine LF-Tag-Berechtigungen (`Alter`und`Drop`) gewähren.

Wählen Sie im Abschnitt **Principals** einen Prinzipaltyp aus und geben Sie die Principals an, denen Berechtigungen erteilt werden sollen.

![\[Der Abschnitt Principals enthält drei Kacheln, die im folgenden Text benannt werden. Jede Kachel enthält eine Optionsschaltfläche und Text. Die Kachel „IAM-Benutzer und -Rollen“ ist ausgewählt, und unter den Kacheln befindet sich eine Dropdownliste mit IAM-Benutzern und -Rollen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-tags-principals-section.png)


**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer** und -Rollen aus.

**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die **Eingabetaste**.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.

**Externe Konten**  
Geben Sie als **AWS Konto** ein oder mehrere gültige AWS Konten ein IDs. Drücken **Sie nach jeder ID die Eingabetaste**.  
Eine Organisations-ID besteht aus einem „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.  
Geben Sie für IAM-Principal den ARN für den IAM-Benutzer oder die IAM-Rolle ein.

## Geben Sie die LF-Tags an
<a name="grant-tags-tags"></a>

Um Berechtigungen für LF-Tags zu gewähren, geben Sie im Abschnitt LF-Tag-Berechtigungen die **LF-Tags an, für die Berechtigungen erteilt** werden sollen.

![\[Der Abschnitt LF-Tags enthält zwei Zeilen mit Feldern, wobei jede Zeile, die von links nach rechts verläuft, ein Schlüsselfeld, ein Wertfeld und eine Schaltfläche zum Entfernen enthält. Das Wertfeld ist eine Dropdownliste. Unter den beiden Feldreihen befindet sich die Schaltfläche LF-Tag hinzufügen. In der ersten Zeile wird „Modul“ im Schlüsselfeld angezeigt, und unter dem Wertefeld befinden sich zwei kleine Kacheln, die Bestellungen bzw. Verkäufe enthalten, was darauf hinweist, dass der Benutzer Bestellungen und Verkäufe als Werte für das Schlüsselmodul ausgewählt hat. Jede Kachel hat ein X, auf das Sie klicken können (wie bei einem Schließfeld), um die Kachel zu löschen. Die zweite Zeile mit Feldern ist leer.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)

+ Wählen Sie über das Drop-down-Menü ein oder mehrere LF-Tags aus.

## Geben Sie die Schlüssel-Wert-Paare für das LF-Tag an
<a name="w2aac15b9c27c19c21c15"></a>

1. Um Berechtigungen für LF-Tag-Schlüssel-Wert-Paare zu gewähren (Sie müssen zuerst **LF-Tag-Schlüssel-Wert-Paar-Berechtigungen als **Berechtigungstyp** auswählen), wählen Sie LF-Tag-Schlüssel-Wert-Paar** **hinzufügen, um die erste Zeile mit Feldern für die Angabe von LF-Tag-Schlüsseln und Werten anzuzeigen**.  
![\[Interface for adding LF-Tag key-value pairs and setting associated permissions.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tag-key-value-pair.png)

1. Positionieren Sie den Cursor im **Schlüsselfeld, beginnen Sie optional mit der Eingabe, um die Auswahlliste einzugrenzen**, und wählen Sie einen LF-Tag-Schlüssel aus.

1. Wählen Sie in der **Werteliste** einen oder mehrere Werte aus, und drücken Sie dann die **Tabulatortaste** oder klicken oder tippen Sie auf eine Stelle außerhalb des Felds, um die ausgewählten Werte zu speichern.
**Anmerkung**  
Wenn eine der Zeilen in der **Werteliste** den Fokus hat, wird durch Drücken der **EINGABETASTE** das Kontrollkästchen aktiviert oder deaktiviert.

   Die ausgewählten Werte werden als Kacheln unter der **Werteliste** angezeigt. Wählen Sie ✖, um einen Wert zu entfernen. Wählen Sie **Entfernen**, um das gesamte LF-Tag zu entfernen.

1. Um ein weiteres LF-Tag hinzuzufügen, wählen Sie erneut **LF-Tag hinzufügen** und wiederholen Sie die beiden vorherigen Schritte.

## Geben Sie die LF-Tag-Ausdrücke an
<a name="w2aac15b9c27c19c21c17"></a>

1. **Um Berechtigungen für LF-Tag-Ausdrücke zu gewähren, müssen Sie zunächst **LF-Tag-Ausdrucksberechtigungen** als Berechtigungstyp auswählen.**  
![\[Permission type selection interface with LF-Tag expression permissions highlighted.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tag-expression.png)

1. Wählen Sie einen LF-Tag-Ausdruck.

1. Die ausgewählten Ausdrücke werden als Kacheln unter der Liste der **LF-Tag-Ausdrücke** angezeigt. Wählen Sie ✖, um einen Ausdruck zu entfernen.

1. Um einen weiteren LF-Tag-Ausdruck hinzuzufügen, wählen Sie einen anderen Ausdruck.

## Geben Sie die Berechtigungen an
<a name="grant-tags-permissions"></a>

In diesem Abschnitt werden entweder die **LF-Tag-Berechtigungen oder die **LF-Tag-Werteberechtigungen**** basierend auf dem **Berechtigungstyp** angezeigt, den Sie im vorherigen Schritt ausgewählt haben.

Wählen Sie je nach **Berechtigungstyp**, den Sie gewähren möchten, die **LF-Tag-Berechtigungen oder die LF-Tag-Schlüsselwertpaar-Berechtigungen** und die **erteilbaren** Berechtigungen aus.

1. Wählen Sie unter **LF-Tag-Berechtigungen** die zu erteilenden Berechtigungen aus.

   **Wenn **Sie Drop** and **Alter** gewähren, wird implizit Describe gewährt.** 

   Sie müssen für alle Tag-Werte die Berechtigungen **Alter** und **Drop** gewähren.

1. Wählen Sie unter **LT-Tag-Schlüsselwertberechtigungen die zu erteilenden Berechtigungen** aus.

   **Die Erteilung von **Associate gewährt implizit Describe**.** Wählen Sie den **Ausdruck Grant with LF-Tag**, um es dem Empfänger zu ermöglichen, mithilfe der LF-TBAC-Methode Zugriffsberechtigungen für Datenkatalogressourcen zu gewähren oder zu widerrufen.

1. Wählen Sie unter **LF-Tag-Ausdrucksberechtigungen** die zu erteilenden Berechtigungen aus.

   **Wenn **Sie Drop** and **Alter** gewähren, wird implizit Describe gewährt.** 

   Durch die Erteilung der **Super-Berechtigung** werden alle verfügbaren Berechtigungen gewährt.

1. (Optional) Wählen Sie unter **Erteilbare Berechtigungen** die Berechtigungen aus, die der Empfänger der Gewährung anderen Hauptbenutzern in seinem AWS Konto gewähren kann.

1. Wählen Sie **Grant (Erteilen)**.

# Verwaltung von LF-Tag-Berechtigungen mit dem AWS CLI
<a name="TBAC-granting-revoking-tags-cli"></a>

Sie können Berechtigungen für LF-Tags gewähren, widerrufen und auflisten, indem Sie die () verwenden. AWS Command Line Interface AWS CLI

**Um LF-Tag-Berechtigungen aufzulisten ()AWS CLI**
+ Geben Sie einen Befehl ein`list-permissions`. Sie müssen der Ersteller des LF-Tags oder ein Data Lake-Administrator sein oder über die,,, `Drop``Alter`, `Grant with LF-Tag permissions` -Berechtigung für ein LF-Tag verfügen `Describe``Associate`, um es sehen zu können.

  Der folgende Befehl fordert alle LF-Tags an, für die Sie Berechtigungen haben.

  ```
  aws lakeformation list-permissions --resource-type LF_TAG
  ```

  Im Folgenden finden Sie eine Beispielausgabe für einen Data Lake-Administrator, der alle LF-Tags sieht, die allen Prinzipalen gewährt wurden. Benutzern ohne Administratorrechte werden nur LF-Tags angezeigt, die ihnen gewährt wurden. LF-Tag-Berechtigungen, die von einem externen Konto aus gewährt wurden, werden auf einer separaten Ergebnisseite angezeigt. Um sie zu sehen, wiederholen Sie den Befehl und geben Sie dem `--next-token` Argument das Token an, das bei der vorherigen Befehlsausführung zurückgegeben wurde.

  ```
  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "environment",
                      "TagValues": [
                          "*"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": [
                  "ASSOCIATE"
              ]
          },
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "DESCRIBE"
              ],
              "PermissionsWithGrantOption": []
          },
  ...
      ],
      "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
  }
  ```

  Sie können alle Grants für einen bestimmten LF-Tag-Schlüssel auflisten. Der folgende Befehl gibt alle für das LF-Tag gewährten Berechtigungen zurück. `module`

  ```
  aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```

  Sie können auch LF-Tag-Werte auflisten, die einem bestimmten Prinzipal für ein bestimmtes LF-Tag gewährt wurden. Wenn Sie das `--principal` Argument angeben, müssen Sie das Argument angeben. `--resource` Daher kann der Befehl effektiv nur die Werte anfordern, die einem bestimmten Prinzipal für einen bestimmten LF-Tag-Schlüssel gewährt wurden. Der folgende Befehl zeigt, wie dies für den Principal `datalake_user1` und den LF-Tag-Schlüssel funktioniert. `module`

  ```
  aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```

  Dies ist eine Beispielausgabe.

  ```
  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": []
          }
      ]
  }
  ```

**Um Berechtigungen für LF-Tags () zu gewähren AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden. In diesem Beispiel wird `datalake_user1` dem Benutzer die `Associate` Berechtigung für das LF-Tag mit dem Schlüssel erteilt. `module` Es gewährt Berechtigungen zum Anzeigen und Zuweisen aller Werte für diesen Schlüssel, wie durch das Sternchen (\$1) gekennzeichnet.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

   Durch die Erteilung der `Associate` Berechtigung wird die Berechtigung implizit erteilt. `Describe`

   Das nächste Beispiel gewährt `Associate` dem externen AWS Konto 1234-5678-9012 auf dem LF-Tag mit dem Schlüssel und der Grant-Option. `module` Es gewährt Berechtigungen, nur die Werte und anzuzeigen und zuzuweisen. `sales` `orders`

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
   ```

1. Durch die Erteilung der `GrantWithLFTagExpression` Berechtigung wird die `Describe` Berechtigung implizit erteilt.

   Das nächste Beispiel erteilt `GrantWithLFTagExpression` einem Benutzer auf dem LF-Tag mit dem Schlüssel die Option `module` Grant. Es gewährt Berechtigungen zum Anzeigen und Erteilen von Berechtigungen für Datenkatalogressourcen, wobei nur die Werte `sales` und verwendet werden. `orders`

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
   ```

1. Im nächsten Beispiel werden einem Benutzer `Drop` Berechtigungen für das LF-Tag mit dem Schlüssel und der `module` Option Grant erteilt. Sie gewährt Berechtigungen zum Löschen des LF-Tags. Um ein LF-Tag zu löschen, benötigen Sie Berechtigungen für alle Werte dieses Schlüssels.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

1. Das nächste Beispiel gewährt dem Benutzer mit dem LF-Tag mit dem Schlüssel `Alter` Berechtigungen mit der `module` Grant-Option. Es gewährt Berechtigungen zum Löschen des LF-Tags. Um ein LF-Tag zu aktualisieren, benötigen Sie Berechtigungen für alle Werte dieses Schlüssels.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

**Um Berechtigungen für LF-Tags () zu widerrufen AWS CLI**
+ Verwenden Sie einen Befehl ähnlich dem folgenden. In diesem Beispiel wird dem Benutzer die `Associate` Erlaubnis für das LF-Tag mit dem Schlüssel entzogen. `module` `datalake_user1`

  ```
  aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```

# Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode
<a name="granting-catalog-perms-TBAC"></a>

Sie können Prinzipalen die `DESCRIBE` und `ASSOCIATE` Lake Formation Formation-Berechtigungen für LF-Tags gewähren, sodass sie die LF-Tags anzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen, Ansichten und Spalten) zuweisen können. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md).

Zunächst kann nur der Data Lake-Administrator diese Berechtigungen gewähren. Wenn der Data Lake-Administrator diese Berechtigungen mit der Option „Gewähren“ erteilt, können sie von anderen Prinzipalen erteilt werden. Die `ASSOCIATE` Berechtigungen `DESCRIBE` und werden unter erklärt. [Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation](lf-tag-considerations.md)

Sie können die `DESCRIBE` und `ASSOCIATE` -Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die `ASSOCIATE` Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.

Wenn Sie die Gewährung an ein externes Konto vornehmen, müssen Sie die Option „Gewähren“ angeben.

Sie können Berechtigungen für LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface ()AWS CLI gewähren.

**Anmerkung**  
Die folgenden Schritte sind für S3-Tables-Kataloge nicht erforderlich. Sie können LF-Tags verwenden, um Berechtigungen für bestehende S3 Tables-Kataloge zu gewähren, ohne sie zu löschen und neu zu erstellen.

**Aktivierung der LF-Tags-Unterstützung für bestehende Verbundkataloge, die Lake Formation Formation-Berechtigungen verwenden**

Gehen Sie wie folgt vor, wenn Sie bereits Verbundkataloge haben, die Lake Formation Formation-Berechtigungen verwenden, wie Amazon Redshift, oder Amazon DynamoDB Kataloge, die erstellt wurden, bevor die Unterstützung von LF-Tags für Verbundkataloge verfügbar war. 

1. Den vorhandenen Katalog löschen — Rufen Sie den `deleteCatalog` API-Vorgang auf, um den vorhandenen Verbundkatalog zu entfernen, der Lake Formation Formation-Berechtigungen verwendet.

1.  Neuen Verbundkatalog erstellen — Erstellen Sie einen neuen Katalog und verweisen Sie den neuen Katalog auf Ihren vorhandenen Namespace/Datashare. 

   Verwenden Sie einen neuen Namen für den Katalog — Bei diesem Vorgang werden Ihre bereits vorhandenen Verbundkataloge aktualisiert, sodass sie die LF-Tag-Funktionalität unterstützen. Wenn Sie denselben Katalognamen verwenden möchten, wenden AWS Sie sich an das Support-Team, um Unterstützung zu erhalten. 

**Topics**
+ [Erteilen von Datenkatalogberechtigungen](#granting-cat-perms-TBAC-console)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

## Erteilen von Datenkatalogberechtigungen
<a name="granting-cat-perms-TBAC-console"></a>

Verwenden Sie die Lake Formation-Konsole oder AWS CLI gewähren Sie Lake Formation Formation-Berechtigungen für Datenkatalogdatenbanken, Tabellen, Ansichten und Spalten mithilfe der Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation.

------
#### [ Console ]

In den folgenden Schritten wird erklärt, wie Sie mithilfe der Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation, Tag-Based Access Control) und der Seite **Data-Lake-Berechtigungen gewähren in der Lake Formation Formation-Konsole Berechtigungen** gewähren. Die Seite ist in die folgenden Abschnitte unterteilt:
+  **Principals** — Die Benutzer, Rollen und Benutzer, denen Berechtigungen erteilt werden AWS-Konten sollen.
+  **LF-Tags oder Katalogressourcen** — Die Datenbanken, Tabellen oder Ressourcenlinks, für die Berechtigungen erteilt werden sollen.
+  **Genehmigungen** — Die Lake Formation erteilt Genehmigungen.

1. 

**Öffnen Sie die Seite Data Lake-Berechtigungen gewähren.**

   Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für Data Catalog-Ressourcen über LF-TBAC mit der Grant-Option erteilt wurden.

   **Wählen Sie im Navigationsbereich unter **Berechtigungen die Option Data Lake-Berechtigungen** aus.** Wählen Sie dann **Grant (Erteilen)** aus.

1. 

**Geben Sie die Prinzipale an.**

    Wählen Sie im Abschnitt **Principals** einen Prinzipaltyp aus und geben Sie dann die Principals an, denen Berechtigungen erteilt werden sollen.  
![\[Der Abschnitt Principals enthält vier Kacheln, die im folgenden Text benannt werden. Jede Kachel enthält eine Optionsschaltfläche und Text. Die Kachel „IAM Identity Center“ ist ausgewählt, und die Dropdownliste „Benutzer und Gruppen“ befindet sich unter den Kacheln.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer und** -Rollen aus.  
**IAM Identity Center **  
Wählen Sie einen oder mehrere Benutzer oder aus der Liste **Benutzer und Gruppen** aus.  
**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die Eingabetaste.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.  
**Externe Konten**  
Geben Sie für **AWS-Konten AWS Organisation** oder **IAM-Principal** eine oder mehrere gültige Organisationen AWS-Konto IDs IDs, Organisationseinheiten IDs oder ARN für den IAM-Benutzer oder die IAM-Rolle ein. Drücken Sie nach jeder ID die **Eingabetaste**.  
Eine Organisations-ID besteht aus einem „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.

1. 

**Geben Sie die LF-Tags an.**

   Stellen Sie sicher, dass die Option **Ressourcen, denen LF-Tags zugeordnet sind**, ausgewählt ist. **Wählen Sie **LF-Tag-Schlüssel-Wert-Paare oder Gespeicherte LF-Tag-Ausdrücke**.**

   1. Wenn Sie die Option **LF-Tag-Schlüssel-Wert-Paare wählen, wählen Sie die Schlüssel** und Werte aus.

      Wenn Sie mehr als einen Wert wählen, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. `OR` Das bedeutet, dass Ihnen Berechtigungen für die Ressource erteilt werden, wenn einer der LF-Tag-Werte mit einem LF-Tag übereinstimmt, der einer Datenkatalogressource zugewiesen ist.  
![\[Der Bereich LF-Tag oder Katalogressourcen enthält zwei horizontal angeordnete Kacheln, wobei jede Kachel ein Optionsfeld und einen beschreibenden Text enthält. Die Optionen lauten Ressourcen, denen LF-Tags zugeordnet sind (empfohlen), und Benannte Datenkatalogressourcen. Ressourcen, denen LF-Tags zugeordnet sind, sind ausgewählt. Unter den Kacheln befinden sich ein Schlüsselfeld und ein Wertefeld, die horizontal angeordnet sind. Das Schlüsselfeld enthält „Modul“ und das Feld Werte ist eine Dropdownliste mit drei Einträgen: Bestellungen, Verkäufe und Kunden. Jedem Eintrag ist ein Kontrollkästchen zugeordnet. Das Kontrollkästchen für Kunden ist aktiviert. Rechts neben diesen beiden Feldern befindet sich die Schaltfläche Entfernen. Unten befindet sich die Schaltfläche LF-Tag hinzufügen, die angibt, dass Sie eine weitere Zeile hinzufügen können, die die Felder Schlüssel und Werte sowie die Schaltfläche Entfernen enthält.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)

   1. (Optional) Wählen Sie erneut „**LF-Tag-Schlüssel-Wert-Paar hinzufügen“, um ein anderes LF-Tag** anzugeben.

      Wenn Sie mehr als ein LF-Tag angeben, erstellen Sie einen LF-Tag-Ausdruck mit einem Operator. `AND` Dem Prinzipal werden nur dann Berechtigungen für eine Datenkatalogressource gewährt, wenn der Ressource für jedes LF-Tag im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde.

   1. Wählen Sie die Option **Als neuen Ausdruck speichern, um den Ausdruck wiederzuverwenden**.

      Sie `Create LF-Tag expression` müssen Ausdrücke speichern.

      Weitere Hinweise zu LF-Tag-Ausdrücken finden Sie unter. [Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten](managing-tag-expressions.md)

1. 

**Geben Sie die Berechtigungen an.**

   Geben Sie die Berechtigungen an, die Sie dem Prinzipal für entsprechende Datenkatalogressourcen gewähren möchten. Passende Ressourcen sind Ressourcen, denen LF-Tags zugewiesen wurden, die einem der LF-Tag-Ausdrücke entsprechen, die dem Prinzipal erteilt wurden. 

   Sie können die Berechtigungen angeben, die für übereinstimmende Datenbanken, übereinstimmende Tabellen und übereinstimmende Ansichten gewährt werden sollen.  
![\[Zwei Abschnitte der Seite werden angezeigt. Der Abschnitt Datenbankberechtigungen enthält Kontrollkästchen für Datenbankberechtigungen und erteilbare Berechtigungen. Unter dem Abschnitt Datenbank werden im Abschnitt Tabellenberechtigungen die Kontrollkästchen für Tabellenberechtigungen und erteilbare Berechtigungen angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)

   Wählen Sie unter **Datenbankberechtigungen** die Datenbankberechtigungen aus, die Sie dem Prinzipal für passende Datenbanken gewähren möchten.

   Wählen Sie unter **Tabellenberechtigungen** die Tabellen- oder Anzeigeberechtigungen aus, die dem Prinzipal für übereinstimmende Tabellen und Ansichten erteilt werden sollen.

   Sie können auch `Select``Describe`, und `Drop` Berechtigungen aus den **Tabellenberechtigungen** auswählen, die auf Ansichten angewendet werden sollen.

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

Sie können die Methode AWS Command Line Interface (AWS CLI) und die Tag-Based Access Control (LF-TBAC) -Methode (Lake Formation) verwenden, um Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken, -Tabellen und -Spalten zu gewähren.

**Erteilen von Data-Lake-Berechtigungen mithilfe der und der LF-TBAC-Methode AWS CLI**
+ Verwenden Sie den Befehl `grant-permissions`.  
**Example**  

  Im folgenden Beispiel wird dem Benutzer der LF-Tag-Ausdruck "`module=*`" (alle Werte des LF-Tag-Schlüssels) gewährt. `module` `datalake_user1` Dieser Benutzer hat Zugriff auf alle passenden Datenbanken`CREATE_TABLE`, d. h. Datenbanken, denen das LF-Tag mit dem Schlüssel mit einem beliebigen Wert zugewiesen wurde. `module`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 
  ```  
**Example**  

  Im nächsten Beispiel wird dem Benutzer der LF-Tag-Ausdruck "" gewährt. `(level=director) AND (region=west OR region=south)` `datalake_user1` Dieser Benutzer verfügt über die `DROP` Berechtigungen `SELECT``ALTER`, und mit der Grant-Option für übereinstimmende Tabellen, denen `level=director` sowohl als auch (oder) zugewiesen wurde. `region=west` `region=south`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
  ```  
**Example**  

  Im nächsten Beispiel wird dem Konto 1234-5678-9012 der LF-Tag-Ausdruck "`module=orders`" zugewiesen. AWS Der Data Lake-Administrator in diesem Konto kann dann den Prinzipalen in seinem Konto den Ausdruck "" `module=orders` gewähren. Diese Prinzipale sind dann `CREATE_TABLE` berechtigt, Datenbanken abzugleichen, die dem Konto 1111-2222-3333 gehören und mit dem Konto 1234-5678-9012 gemeinsam genutzt wurden, indem sie entweder die benannte Ressourcenmethode oder die LF-TBAC-Methode verwenden.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
  ```

------

# Attributbasierte Zugriffskontrolle
<a name="attribute-based-access-control"></a>

In AWS Lake Formation können Sie Zugriff auf AWS Glue Data Catalog Objekte wie Kataloge, Datenbanken, Tabellen und Datenfilter gewähren, indem Sie Attribute verwenden, bei denen es sich um IAM-Tags und Sitzungs-Tags handelt, die mit IAM-Entitäten wie Rollen und Benutzern verknüpft sind.

Weitere Informationen zur Verwendung von Sitzungs-Tags finden Sie unter [assume-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) im Benutzerhandbuch. AWS CLI 

Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen definiert werden. AWS *nennt diese Attribute Tags.* Sie können ABAC verwenden, um Principals innerhalb desselben Kontos oder in einem anderen Konto Zugriff auf die Datenkatalogressourcen zu gewähren. Jeder IAM-Prinzipal mit passenden Schlüsseln und Werten für das IAM-Tag oder das Sitzungs-Tag erhält Zugriff auf die Ressource. Sie müssen über erteilbare Berechtigungen für die Ressourcen verfügen, um diese Berechtigungen gewähren zu können.

Mit ABAC können Sie mehreren Benutzern gleichzeitig Zugriff gewähren. Wenn neue Benutzer der Organisation beitreten, kann ihr Zugriff auf Daten anhand ihrer Attribute, wie z. B. ihrer beruflichen Funktion oder Abteilung, automatisch bestimmt werden, ohne dass Administratoren bestimmte Rollen oder Berechtigungen manuell zuweisen müssen. Durch die Verwendung von Attributen anstelle von Rollen bietet ABAC eine effizientere und wartungsfreundlichere Methode zur Verwaltung des Datenzugriffs über verschiedene Systeme und Umgebungen hinweg und verbessert so letztlich die Datenverwaltung und Compliance.

Weitere Informationen zur Definition von Attributen finden Sie unter [Definieren von Berechtigungen auf der Grundlage von Attributen](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) mit ABAC-Autorisierung.

Informationen zu Einschränkungen, Überlegungen und unterstützten AWS Regionen finden Sie unter[Überlegungen zur attributbasierten Zugriffskontrolle, Einschränkungen und unterstützte Regionen](abac-considerations.md).

**Topics**
+ [Voraussetzungen für die Erteilung von Berechtigungen mithilfe von Attributen](abac-prerequisites.md)
+ [Erteilen von Berechtigungen mithilfe der attributbasierten Zugriffskontrolle](abac-granting-permissions.md)

# Voraussetzungen für die Erteilung von Berechtigungen mithilfe von Attributen
<a name="abac-prerequisites"></a>

Um Berechtigungen mithilfe der attributebasierten Zugriffskontrolle (ABAC) zu erteilen, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Aktualisieren Sie die ****Datenkatalogeinstellungen****, um Lake Formation Formation-Berechtigungen für Datenkatalogobjekte zu aktivieren. Weitere Informationen finden Sie im Abschnitt [Ändern des Standardberechtigungsmodells oder Verwenden des hybriden Zugriffsmodus](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#setup-change-cat-settings).
+ Stellen Sie die kontoübergreifenden Versionseinstellungen auf zwei oder höher ein.
+ [Fügen Sie den IAM-Entitäten, die Zugriff benötigen, Attribute hinzu](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html).
+ Nur ein Data Lake-Administrator oder ein IAM-Benutzer mit den erforderlichen Berechtigungen kann Zugriff auf Datenkatalogobjekte gewähren. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [IAM-Berechtigungen](https://docs.aws.amazon.com/lake-formation/latest/dg/required-permissions-for-grant.html).

# Erteilen von Berechtigungen mithilfe der attributbasierten Zugriffskontrolle
<a name="abac-granting-permissions"></a>

In diesem Thema werden die Schritte beschrieben, die Sie ausführen müssen, um attributbasierte Zugriffsberechtigungen für Datenkatalogressourcen zu gewähren. Sie können die Lake Formation Formation-Konsole oder die AWS Befehlszeilenschnittstelle (AWS CLI) verwenden. 

## Erteilen von Berechtigungen mit ABAC ()AWS-Managementkonsole
<a name="w2aac15b9c31c19b5b1"></a>

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Data Lake-Administrator, Ressourcenersteller oder als IAM-Benutzer an, der über **Grantable-Berechtigungen für** die Ressource verfügt.

1. Führen Sie eine der folgenden Aktionen aus:
   + Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus. Wählen Sie dann **Grant (Erteilen)** aus.
   + Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Kataloge** aus. **Wählen Sie dann ein Katalogobjekt (Kataloge, Datenbanken, Tabellen und Datenfilter) aus, wählen Sie im Menü **Aktionen** unter **Berechtigungen** die Option Gewähren aus.**

1. Wählen Sie auf der Seite **Berechtigungen gewähren** die Option **Principals by attribute** aus.

1. Geben Sie den Attributschlüssel und den Wert (e) an. Wenn Sie mehr als einen Wert wählen, erstellen Sie einen Attributausdruck mit einem `OR` Operator. Das heißt, wenn einer der Attribut-Tag-Werte, die einer IAM-Rolle oder einem IAM-Benutzer zugewiesen sind, übereinstimmt, role/user erhält der Benutzer Zugriffsberechtigungen für die Ressource.

   Wenn Sie mehr als ein Attribut-Tag angeben, erstellen Sie einen Attributausdruck mit einem `AND` Operator. Dem Prinzipal werden nur dann Berechtigungen für eine Datenkatalogressource gewährt, wenn dem IAM für jedes Attribut-Tag im Attributausdruck ein passendes Tag zugewiesen role/user wurde.

   Überprüfen Sie den resultierenden Cedar-Richtlinienausdruck, der in der Konsole angezeigt wird.  
![\[Im Dialogfeld „Berechtigungen gewähren“ wird ein Attributausdruck erstellt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/abac-grant-permissions.png)

1. Wählen Sie den Umfang der Berechtigungen aus. Wenn die Empfänger einem externen Konto angehören, wählen Sie **Externes Konto** und geben Sie die AWS Konto-ID ein.

1. Wählen Sie als Nächstes das Datenkatalogkonto oder das Konto für externe Konten aus. Sie müssen über die entsprechenden erteilbaren Berechtigungen für die Ressourcen verfügen, um die Genehmigungen erfolgreich abschließen zu können.

1. Geben Sie an, welche Aktionen Sie für Prinzipale (Benutzer oder Rollen) mit übereinstimmenden Attributen zulassen möchten. Zugriff erhalten IAM-Entitäten, denen Tags und Werte zugewiesen wurden, die mindestens einem Ihrer angegebenen Attributausdrücke entsprechen. Überprüfen Sie den Cedar-Richtlinienausdruck in der Konsole. Weitere Informationen zu Cedar finden Sie unter [Was ist Cedar? \$1 Sprachreferenz für Cedar Policy GuideLink](https://docs.cedarpolicy.com/).

1. Wählen Sie als Nächstes die Datenkatalogressourcen aus, denen Sie Zugriff gewähren möchten. Sie können diese Berechtigungen für verschiedene Datenkatalogressourcen definieren, darunter Kataloge, Datenbanken, Tabellen und Datenfilter.

1. Wählen Sie **Grant (Erteilen)**.

   Mit diesem Ansatz können Sie den Zugriff anhand von Attributen steuern und so sicherstellen, dass nur Benutzer oder Rollen mit den entsprechenden Tags bestimmte Aktionen mit den angegebenen Ressourcen ausführen können.

## Erteilen von Berechtigungen mithilfe von ABAC ()AWS CLI
<a name="abac-granting-permissions-cli"></a>

 Das folgende Beispiel zeigt einen Attributausdruck, der erfüllt sein muss, um alle verfügbaren Berechtigungen für die Ressource zu erhalten. Sie können auch individuelle Berechtigungen angeben`Select`, z. B.`Describe`, oder`Drop`. Der Ausdruck verwendet den Cedar-Richtlinienausdruck. Weitere Informationen zu Cedar finden Sie unter [Was ist Cedar? \$1 Sprachreferenz für Cedar Policy GuideLink](https://docs.cedarpolicy.com/). 

 Diese Bedingung prüft, ob der IAM-Principal über ein `department` Tag verfügt und der `department` Tag-Wert gleich ist`sales`. 

```
aws lakeformation grant-permissions 
--principal '{"DataLakePrincipalIdentifier": "111122223333:IAMPrincipals"}' \
--resource '{"Database": {"CatalogId": 111122223333, "Name": "abac-db"}}' \
--permissions ALL \
--condition '{"Expression": "context.iam.principalTags.hasTag(\"department\") \
   && context.iam.principalTags.getTag(\"department\") == \"sales\""}'
```

# Beispielszenario für Berechtigungen
<a name="security-permissions-example-scenario"></a>

Das folgende Szenario zeigt, wie Sie Berechtigungen einrichten können, um den Zugriff auf Daten in zu sichern AWS Lake Formation.

Shirley ist Datenadministratorin. Sie möchte einen Data Lake für ihr Unternehmen einrichten, AnyCompany. Derzeit werden alle Daten in Amazon S3 gespeichert. John ist Marketingmanager und benötigt Schreibzugriff auf die Einkaufsinformationen von Kunden (enthalten in`s3://customerPurchases`). Diego, ein Marketinganalyst, kommt diesen Sommer zu John. John benötigt die Möglichkeit, Diego Zugriff zu gewähren, damit er Abfragen an den Daten durchführen kann, ohne Shirley einzubeziehen. 

Mateo aus der Finanzabteilung benötigt Zugriff, um Buchhaltungsdaten abzufragen (zum Beispiel`s3://transactions`). Er möchte die Transaktionsdaten in Tabellen in einer Datenbank (`Finance_DB`) abfragen, die das Finanzteam verwendet. Sein Manager, Arnav, kann ihm Zugriff auf die `Finance_DB` gewähren. Er sollte zwar nicht in der Lage sein, Buchhaltungsdaten zu ändern, aber er muss in der Lage sein, Daten in ein Format (Schema) zu konvertieren, das für Prognosen geeignet ist. Diese Daten werden in einem separaten Bucket (`s3://financeForecasts`) gespeichert, den er ändern kann.

Um es zusammenzufassen:
+ Shirley ist der Data Lake-Administrator. 
+ John benötigt eine `CREATE_DATABASE` `CREATE_TABLE` Genehmigung, um neue Datenbanken und Tabellen im Datenkatalog zu erstellen.
+ John benötigt außerdem`SELECT`,`INSERT`, und `DELETE` Berechtigungen für Tabellen, die er erstellt.
+ Diego benötigt `SELECT` Berechtigungen für die Tabelle, um Abfragen ausführen zu können.

Die Mitarbeiter von AnyCompany führen die folgenden Aktionen durch, um Berechtigungen einzurichten. Die in diesem Szenario gezeigten API-Operationen weisen aus Gründen der Übersichtlichkeit eine vereinfachte Syntax auf.

1. Shirley registriert den Amazon S3 S3-Pfad mit Kundenkaufinformationen bei Lake Formation.

   ```
   RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
   ```

1. Shirley gewährt John Zugriff auf den Amazon S3-Pfad, der die Kaufinformationen der Kunden enthält.

   ```
   GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
   ```

1. Shirley erteilt John die Erlaubnis, Datenbanken zu erstellen.

   ```
   GrantPermissions(John, catalog, [CREATE_DATABASE]) 
   ```

1. John erstellt die Datenbank`John_DB`. John hat automatisch die `CREATE_TABLE` Erlaubnis für diese Datenbank, weil er sie erstellt hat.

   ```
   CreateDatabase(John_DB)
   ```

1. John erstellt die Tabelle, `John_Table` auf die verweist`s3://customerPurchases`. Da er die Tabelle erstellt hat, hat er alle Berechtigungen für sie und kann Berechtigungen für sie erteilen.

   ```
   CreateTable(John_DB, John_Table)
   ```

1. John gewährt seinem Analysten Diego Zugriff auf die Tabelle`John_Table`.

   ```
    GrantPermissions(Diego, John_Table, [SELECT])
   ```

1. John gewährt seinem Analysten Diego Zugriff auf die`s3://customerPurchases/London/`. Da Shirley sich bereits registriert hat`s3://customerPurchases`, sind seine Unterordner bei Lake Formation registriert.

   ```
    GrantDataLakePrivileges( 123456789012/datalake, Diego, [DATA_LOCATION_ACCESS], [], S3Location("s3://customerPurchases/London/") )
   ```

1. John erlaubt seinem Analysten Diego, Tabellen in einer Datenbank zu erstellen. `John_DB`

   ```
    GrantDataLakePrivileges( 123456789012/datalake, Diego, John_DB, [CREATE_TABLE], [] )
   ```

1. Diego erstellt eine Tabelle in `John_DB` at `s3://customerPurchases/London/` und erhält automatisch`ALTER`,`DROP`,`SELECT`,`INSERT`, und `DELETE` Berechtigungen.

   ```
    CreateTable( 123456789012/datalake, John_DB, Diego_Table )
   ```

# Datenfilterung und Sicherheit auf Zellebene in Lake Formation
<a name="data-filtering"></a>

Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogtabelle gewähren, können Sie Datenfilterspezifikationen hinzufügen, um den Zugriff auf bestimmte Daten in Abfrageergebnissen und in Lake Formation integrierten Engines einzuschränken. Lake Formation verwendet Datenfilterung, um Sicherheit auf Spaltenebene, Sicherheit auf Zeilenebene und Sicherheit auf Zellebene zu erreichen. Sie können Datenfilter definieren und auf verschachtelte Spalten anwenden, wenn Ihre Quelldaten verschachtelte Strukturen enthalten.

Mit den Datenfilterfunktionen von Lake Formation können Sie die folgenden Datensicherheitsstufen implementieren.

**Sicherheit auf Spaltenebene**  
Durch die Gewährung von Berechtigungen für eine Datenkatalogtabelle mit Sicherheit auf Spaltenebene (Spaltenfilterung) können Benutzer nur bestimmte Spalten und verschachtelte Spalten anzeigen, auf die sie in der Tabelle Zugriff haben. Stellen Sie sich eine `persons` Tabelle vor, die in mehreren Anwendungen für ein großes Kommunikationsunternehmen mit mehreren Regionen verwendet wird. Durch die Gewährung von Berechtigungen für Datenkatalogtabellen mit Spaltenfilterung können Benutzer, die nicht in der Personalabteilung arbeiten, daran gehindert werden, personenbezogene Daten (PII) wie Sozialversicherungsnummer oder Geburtsdatum einzusehen. Sie können auch Sicherheitsrichtlinien definieren und nur teilweisen Unterstrukturen von verschachtelten Spalten Zugriff gewähren.

**Sicherheit auf Zeilenebene**  
Durch die Gewährung von Berechtigungen für eine Datenkatalogtabelle mit Sicherheit auf Zeilenebene (Zeilenfilterung) können Benutzer nur bestimmte Datenzeilen anzeigen, auf die sie in der Tabelle Zugriff haben. Die Filterung basiert auf den Werten einer oder mehrerer Spalten. Sie können bei der Definition von Zeilenfilterausdrücken verschachtelte Spaltenstrukturen einbeziehen. Wenn beispielsweise verschiedene Regionalbüros des Kommunikationsunternehmens über eigene Personalabteilungen verfügen, können Sie die Personendatensätze, die Mitarbeiter der Personalabteilung einsehen können, auf Datensätze beschränken, die nur für Mitarbeiter in ihrer Region verfügbar sind.

**Sicherheit auf Zellebene**  
Die Sicherheit auf Zellebene kombiniert Zeilen- und Spaltenfilterung für ein hochflexibles Berechtigungsmodell. Wenn Sie die Zeilen und Spalten einer Tabelle als Raster betrachten, können Sie mithilfe der Sicherheit auf Zellenebene den Zugriff auf einzelne Elemente (Zellen) des Rasters an beliebiger Stelle in den beiden Dimensionen einschränken. Das heißt, Sie können den Zugriff auf verschiedene Spalten je nach Zeile einschränken. Dies wird durch das folgende Diagramm veranschaulicht, in dem eingeschränkte Spalten schattiert sind.

![\[Es wird ein Raster mit 5 Zeilen und 6 Spalten angezeigt. Die Zeilen und Spalten haben Überschriften wie Col1, Col2, Row1, Row2 usw. Die Rasterzellen mit den folgenden Koordinaten sind schattiert: R3, C1; R3, C2; R3, C3; R5, C1; R5; R5; C2; R5, C5; R5, C6.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cells-diagram.png)


Wenn Sie das Beispiel der Personentabelle fortsetzen, können Sie auf Zellenebene einen *Datenfilter* erstellen, der den Zugriff auf die Spalte mit der Straßenadresse einschränkt, wenn die Spalte mit dem Land in der Zeile auf „Großbritannien“ gesetzt ist, aber den Zugriff auf die Spalte mit der Straßenadresse ermöglicht, wenn die Spalte mit dem Land in der Zeile auf „US“ gesetzt ist.

Filter gelten nur für Lesevorgänge. Daher können Sie nur die `SELECT` Lake Formation Formation-Genehmigung mit Filtern erteilen.

**Sicherheit auf Zellenebene für verschachtelte Spalten**  
Lake Formation ermöglicht es Ihnen, Datenfilter mit Sicherheit auf Zellebene für verschachtelte Spalten zu definieren und anzuwenden. Die integrierten Analyse-Engines wie Amazon Athena, Amazon EMR und Amazon Redshift Spectrum unterstützen jedoch die Ausführung von Abfragen für von Lake Formation verwaltete verschachtelte Tabellen mit Sicherheit auf Zeilen- und Spaltenebene. 

Einschränkungen finden Sie unter [Einschränkungen bei der Datenfilterung](data-filtering-notes.md).

**Topics**
+ [Datenfilter in Lake Formation](#data-filters-about)
+ [PartiQL-Unterstützung in Zeilenfilterausdrücken](partiql-support.md)
+ [Erforderliche Berechtigungen für das Abfragen von Tabellen mit Filterung auf Zellenebene](row-filtering-prereqs.md)
+ [Datenfilter verwalten](managing-filters.md)

## Datenfilter in Lake Formation
<a name="data-filters-about"></a>

Sie können die Sicherheit auf Spalten-, Zeilen- und Zellenebene implementieren, indem Sie *Datenfilter* erstellen. Sie wählen einen Datenfilter aus, wenn Sie der `SELECT` Lake Formation die Berechtigung für Tabellen erteilen. Wenn Ihre Tabelle verschachtelte Spaltenstrukturen enthält, können Sie einen Datenfilter definieren, indem Sie die untergeordneten Spalten ein- oder ausschließen und Filterausdrücke auf Zeilenebene für verschachtelte Attribute definieren.



Jeder Datenfilter gehört zu einer bestimmten Tabelle in Ihrem Datenkatalog. Ein Datenfilter enthält die folgenden Informationen:
+ Name des Filters
+ Der Katalog IDs der Tabelle, die dem Filter zugeordnet ist
+ Name der Tabelle
+ Name der Datenbank, die die Tabelle enthält
+ Spaltenspezifikation — eine Liste von Spalten und verschachtelten Spalten (mit `struct` Datentypen), die in Abfrageergebnissen ein- oder ausgeschlossen werden sollen. 
+ Zeilenfilterausdruck — ein Ausdruck, der die Zeilen angibt, die in die Abfrageergebnisse aufgenommen werden sollen. Mit einigen Einschränkungen hat der Ausdruck die Syntax einer `WHERE` Klausel in der PartiQL-Sprache. Um alle Zeilen anzugeben, wählen Sie in der Konsole unter **Zugriff auf **Zeilenebene die Option Zugriff auf** alle Zeilen** oder in API-Aufrufen verwenden `AllRowsWildcard` aus.

  Weitere Informationen darüber, was in Zeilenfilterausdrücken unterstützt wird, finden Sie unter. [PartiQL-Unterstützung in Zeilenfilterausdrücken](partiql-support.md)

Die Stufe der Filterung, die Sie erhalten, hängt davon ab, wie Sie den Datenfilter auffüllen.
+ Wenn Sie den Platzhalter „Alle Spalten“ angeben und einen Zeilen-Filter-Ausdruck angeben, richten Sie nur Sicherheit auf Zeilen-Ebene (Zeilenfilterung) ein.
+ Wenn Sie bestimmte Spalten und verschachtelte Spalten ein- oder ausschließen und „Alle Zeilen“ mit dem Platzhalter „Alle Zeilen“ angeben, richten Sie nur Sicherheit auf Spaltenebene ein (Spaltenfilterung).
+ Wenn Sie bestimmte Spalten ein- oder ausschließen und auch einen Zeilen-Filter-Ausdruck bereitstellen, stellen Sie Sicherheit auf Zellen-Ebene her (Zell-Filterung).

Der folgende Screenshot aus der Lake Formation Formation-Konsole zeigt einen Datenfilter, der eine Filterung auf Zellebene durchführt. Bei Abfragen in der `orders` Tabelle wird der Zugriff auf die `customer_name` Spalte eingeschränkt, und die Abfrageergebnisse geben nur Zeilen zurück, in denen die `product_type` Spalte „Pharma“ enthält.

![\[Das Datenfilterfenster enthält die folgenden Felder, die vertikal angeordnet sind: Datenfiltername; Zieldatenbank; Zieltabelle; Optionsfeldgruppe mit den Optionen Zugriff auf alle Spalten, Spalten einschließen und Spalten ausschließen; Spalten auswählen (Dropdownliste); Zeilenfilterausdruck (mehrzeiliges Textfeld). Die Option Spalten ausschließen ist ausgewählt, die Spalte customer_name ist für den Ausschluss ausgewählt und das Feld Zeilenfilterausdruck enthält. 'product_type='pharma'\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/data-filter-sample-pharma.png)


Beachten Sie die Verwendung von einfachen Anführungszeichen, um das Zeichenkettenliteral, einzuschließen. `'pharma'` 

Sie können die Lake Formation Formation-Konsole verwenden, um diesen Datenfilter zu erstellen, oder Sie können das folgende Anforderungsobjekt für den `CreateDataCellsFilter` API-Vorgang bereitstellen.

```
{
     "Name": "restrict-pharma",
     "DatabaseName": "sales",
     "TableName": "orders",
     "TableCatalogId": "111122223333",      
     "RowFilter": {"FilterExpression": "product_type='pharma'"},
     "ColumnWildcard": {
         "ExcludedColumnNames": ["customer_name"]
     }
}
```

Sie können so viele Datenfilter erstellen, wie Sie für eine Tabelle benötigen. Dazu benötigen Sie eine `SELECT` Genehmigung mit der Grant-Option für eine Tabelle. Data Lake-Administratoren sind standardmäßig berechtigt, *Datenfilter* für alle Tabellen in diesem Konto zu erstellen. Normalerweise verwenden Sie nur eine Teilmenge der möglichen Datenfilter, wenn Sie einem Prinzipal Berechtigungen für die Tabelle erteilen. Sie könnten beispielsweise einen zweiten Datenfilter für die `orders` Tabelle erstellen, bei dem es sich um einen row-security-only Datenfilter handelt. Unter Bezugnahme auf den vorherigen Screenshot könnten Sie die Option **Zugriff auf alle Spalten** wählen und einen Zeilenfilterausdruck von hinzufügen`product_type<>pharma`. Der Name dieses Datenfilters könnte lauten`no-pharma`. Er schränkt den Zugriff auf alle Zeilen ein, deren `product_type` Spalte auf „Pharma“ gesetzt ist.

Das Anforderungsobjekt für den `CreateDataCellsFilter` API-Vorgang für diesen Datenfilter ist das Folgende.

```
{
     "Name": "no-pharma",
     "DatabaseName": "sales",
     "TableName": "orders",
     "TableCatalogId": "111122223333",      
     "RowFilter": {"FilterExpression": "product_type<>'pharma'"},
     "ColumnNames": ["customer_id", "customer_name", "order_num"
          "product_id", "purchase_date", "product_type", 
          "product_manufacturer", "quantity", "price"]
}
```

Sie könnten dann für die `orders` Tabelle mit dem `restrict-pharma` Datenfilter einem Administratorbenutzer und für die `orders` Tabelle mit `SELECT` dem `no-pharma` Datenfilter für Benutzer ohne Administratorrechte gewähren`SELECT`. Benutzern im Gesundheitswesen würden Sie für die `orders` Tabelle vollen Zugriff `SELECT` auf alle Zeilen und Spalten gewähren (kein Datenfilter) oder vielleicht mit einem weiteren Datenfilter, der den Zugriff auf Preisinformationen einschränkt.

 Sie können verschachtelte Spalten ein- oder ausschließen, wenn Sie innerhalb eines Datenfilters die Sicherheit auf Spalten- und Zeilenebene angeben. Im folgenden Beispiel wird der Zugriff auf das `product.offer` Feld mithilfe qualifizierter Spaltennamen (in doppelte Anführungszeichen) angegeben. Dies ist wichtig für verschachtelte Felder, um Fehler zu vermeiden, die auftreten, wenn Spaltennamen Sonderzeichen enthalten, und um die Abwärtskompatibilität mit den Sicherheitsdefinitionen der obersten Ebene auf Spaltenebene aufrechtzuerhalten. 

```
{
     "Name": "example_dcf",
     "DatabaseName": "example_db",
     "TableName": "example_table",
     "TableCatalogId": "111122223333",      
     "RowFilter": { "FilterExpression": "customer.customerName <> 'John'" },
     "ColumnNames": ["customer", "\"product\".\"offer\""]
}
```

**Weitere Informationen finden Sie auch unter**  
[Datenfilter verwalten](managing-filters.md)

# PartiQL-Unterstützung in Zeilenfilterausdrücken
<a name="partiql-support"></a>

Sie können Zeilenfilterausdrücke mithilfe einer Teilmenge von PartiQL-Datentypen, Operatoren und Aggregationen erstellen. Lake Formation erlaubt keine benutzerdefinierten oder standardmäßigen PartiQL-Funktionen im Filterausdruck. Sie können Vergleichsoperatoren verwenden, um Spalten mit Konstanten zu vergleichen (z. B.`views >= 10000`), aber Sie können Spalten nicht mit anderen Spalten vergleichen. 

 Ein Zeilenfilterausdruck kann ein einfacher Ausdruck oder ein zusammengesetzter Ausdruck sein. Die Gesamtlänge des Ausdrucks muss weniger als 2048 Zeichen betragen. 

**Einfacher Ausdruck**  
Ein einfacher Ausdruck wird das folgende Format haben: ` <column name > <comparison operator ><value >`
+ **Name der Spalte**

  Dabei kann es sich entweder um eine Datenspalte der obersten Ebene, eine Partitionsspalte oder eine verschachtelte Spalte handeln, die im Tabellenschema vorhanden ist und zu den unten [Unterstützte Datentypen](#row-filter-supported-datatypes) aufgeführten gehören muss. 
+ **Vergleichsoperator**

   Die folgenden Operatoren werden unterstützt: `=, >, <, >=, <=, <>,!=, BETWEEN, IN, LIKE, NOT, IS [NOT] NULL`
+  Bei allen Zeichenkettenvergleichen und `LIKE` Mustervergleichen wird zwischen Groß- und Kleinschreibung unterschieden. Sie können den IS [NOT] NULL-Operator nicht für Partitionsspalten verwenden. 
+ **Spaltenwert**

   Der Spaltenwert muss dem Datentyp des Spaltennamens entsprechen. 

**Zusammengesetzter Ausdruck**  
Ein zusammengesetzter Ausdruck hat das Format:`( <simple expression >) <AND/OR >(<simple expression >)`. Zusammengesetzte Ausdrücke können mit logischen Operatoren weiter kombiniert werden`AND/OR`. 

## Unterstützte Datentypen
<a name="row-filter-supported-datatypes"></a>

Zeilenfilter, die auf eine AWS Glue Data Catalog Tabelle verweisen, die Datentypen enthält, die nicht unterstützt werden, führen zu einem Fehler. Im Folgenden sind die unterstützten Datentypen für Tabellenspalten und Konstanten aufgeführt, die Datentypen zugeordnet Amazon Redshift sind:
+ `STRING, CHAR, VARCHAR`
+ `INT, LONG, BIGINT, FLOAT, DECIMAL, DOUBLE`
+ `BOOLEAN`
+  `STRUCT` 

Weitere Informationen zu Datentypen in Amazon Redshift finden Sie unter [Datentypen](https://docs.aws.amazon.com/redshift/latest/dg/c_Supported_data_types.html) im *Amazon Redshift Database Developer Guide*.

## Ausdrücke zum Filtern von Zeilen
<a name="Row-Filter-Expressions"></a>

**Example**  
Im Folgenden finden Sie Beispiele für gültige Zeilenfilterausdrücke für eine Tabelle mit Spalten: ` country (String), id (Long), year (partition column of type Integer), month (partition column of type Integer)`  
+ `year > 2010 and country != 'US'`
+ `(year > 2010 and country = 'US') or (month < 8 and id > 23)`
+ `(country between 'Z' and 'U') and (year = 2018)`
+ `(country like '%ited%') and (year > 2000)`

**Example**  
Im Folgenden finden Sie gültige Beispiele für Zeilenfilterausdrücke für eine Tabelle mit verschachtelten Spalten: `year > 2010 and customer.customerId <> 1 `   
 Verschachtelte Felder unter Partitionsspalten sollten bei der Definition von verschachtelten Ausdrücken auf Zeilenebene nicht referenziert werden. 

Zeichenkettenkonstanten müssen in einfache Anführungszeichen eingeschlossen werden.

## Reservierte Schlüsselwörter
<a name="partiql-reserved-keywords"></a>

Wenn Ihr Zeilenfilterausdruck PartiQL-Schlüsselwörter enthält, erhalten Sie einen Analysefehler, da Spaltennamen mit den Schlüsselwörtern in Konflikt geraten können. In diesem Fall maskieren Sie die Spaltennamen, indem Sie doppelte Anführungszeichen verwenden. Einige Beispiele für reservierte Schlüsselwörter sind „first“, „last“, „asc“, „missing“. Eine Liste der reservierten Schlüsselwörter finden Sie in der PartiQL-Spezifikation. 

## PartiQL-Referenz
<a name="partiql-ref"></a>

Weitere Hinweise zu PartiQL finden Sie unter[https://partiql.org/](https://partiql.org/).

# Erforderliche Berechtigungen für das Abfragen von Tabellen mit Filterung auf Zellenebene
<a name="row-filtering-prereqs"></a>

Die folgenden AWS Identity and Access Management (IAM-) Berechtigungen sind erforderlich, um Abfragen für Tabellen mit Filterung auf Zellenebene auszuführen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:StartQueryPlanning",
                "lakeformation:GetQueryState",
                "lakeformation:GetWorkUnits",
                "lakeformation:GetWorkUnitResults"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Weitere Informationen zu Lake Formation Formation-Berechtigungen finden Sie unter[Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

# Datenfilter verwalten
<a name="managing-filters"></a>

Um Sicherheit auf Spalten-, Zeilen- und Zellenebene zu implementieren, können Sie Datenfilter erstellen und verwalten. Jeder Datenfilter gehört zu einer Datenkatalogtabelle. Sie können mehrere Datenfilter für eine Tabelle erstellen und dann einen oder mehrere davon verwenden, wenn Sie Berechtigungen für die Tabelle gewähren. Sie können auch Datenfilter für verschachtelte Spalten mit `struct` Datentypen definieren und anwenden, sodass Benutzer nur auf Unterstrukturen verschachtelter Spalten zugreifen können.

Um einen Datenfilter zu erstellen oder anzuzeigen, benötigen Sie eine `SELECT` entsprechende Genehmigung mit der Option „Gewähren“. Um den Hauptbenutzern in Ihrem Konto das Anzeigen und Verwenden eines Datenfilters zu ermöglichen, können Sie ihm die `DESCRIBE` entsprechende Berechtigung erteilen.

**Anmerkung**  
Lake Formation unterstützt nicht die Erteilung von `Describe` Berechtigungen für einen Datenfilter, der von einem anderen Konto aus geteilt wird.

Sie können Datenfilter mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface (AWS CLI) verwalten.

Hinweise zu Datenfiltern finden Sie unter [Datenfilter in Lake Formation](data-filtering.md#data-filters-about)

# Einen Datenfilter erstellen
<a name="creating-data-filters"></a>

Sie können einen oder mehrere Datenfilter für jede Datenkatalogtabelle erstellen.

**Um einen Datenfilter für eine Datenkatalogtabelle (Konsole) zu erstellen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, Besitzer der Zieltabelle oder als Principal an, der über eine Lake Formation Formation-Berechtigung für die Zieltabelle verfügt.

1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenfilter** aus.

1. Wählen Sie auf der Seite **Datenfilter** die Option **Neuen Filter erstellen** aus.

1. Geben **Sie im Dialogfeld Datenfilter erstellen** die folgenden Informationen ein:
   + Name des Datenfilters 
   + Zieldatenbank — Geben Sie die Datenbank an, die die Tabelle enthält.
   + Zieltabelle 
   + Zugriff auf Spaltenebene — Belassen Sie diese Einstellung **auf Zugriff auf alle Spalten, um** nur die Zeilenfilterung festzulegen. Wählen Sie Spalten **einschließen oder Spalten** **ausschließen, um die Spalten** - oder Zellenfilterung festzulegen, und geben Sie dann die Spalten an, die ein- oder ausgeschlossen werden sollen.

     Verschachtelte Spalten — Wenn Sie den Filter auf eine Tabelle anwenden, die verschachtelte Spalten enthält, können Sie explizit Unterstrukturen der verschachtelten Strukturspalten innerhalb eines Datenfilters angeben. 

     Wenn Sie einem Prinzipal die SELECT-Berechtigung für diesen Filer gewähren, sieht der Principal, der die folgende Abfrage ausführt, nur die Daten für und nicht. `customer.customerName` `customer.customerId`

     ```
     SELECT "customer" FROM "example_db"."example_table";
     ```  
![\[Column-level access settings with options to include specific columns and filter rows.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/nested-column-filter.png)

      Wenn Sie Berechtigungen für die `customer` Spalte erteilen, erhält der Principal Zugriff auf die Spalte und die verschachtelten Felder unter der Spalte (`customerName`und`customerID`). 
   + Zeilenfilterausdruck — Geben Sie einen Filterausdruck ein, um die Zeilen- oder Zellenfilterung festzulegen. Informationen zu unterstützten Datentypen und Operatoren finden Sie unter[PartiQL-Unterstützung in Zeilenfilterausdrücken](partiql-support.md). Wählen Sie **Zugriff auf alle Zeilen**, um Zugriff auf alle zu gewähren.

     Sie können teilweise Spaltenstrukturen aus verschachtelten Spalten in einen Zeilenfilterausdruck einbeziehen, um Zeilen zu filtern, die einen bestimmten Wert enthalten.

     Wenn einem Prinzipal Berechtigungen für eine Tabelle mit einem Zeilenfilterausdruck gewährt werden und der Zugriff auf **Spaltenebene** auf Zugriff auf **alle Spalten** festgelegt ist`Select * from example_nestedtable where customer.customerName <>'John'`, werden in den Abfrageergebnissen nur Zeilen angezeigt, deren `customerName <>'John'` Auswertung den Wert True ergibt.

   Der folgende Screenshot zeigt einen Datenfilter, der die Zellfilterung implementiert. Bei Abfragen der `orders` Tabelle wird der Zugriff auf die `customer_name` Spalte verweigert und es werden nur Zeilen angezeigt, die „Pharma“ in der `product_type` Spalte enthalten.  
![\[Das Datenfilterfenster enthält die folgenden Felder, die vertikal angeordnet sind: Datenfiltername; Zieldatenbank; Zieltabelle; Optionsfeldgruppe mit den Optionen Zugriff auf alle Spalten, Spalten einschließen und Spalten ausschließen; Spalten auswählen (Dropdownliste); Zeilenfilterausdruck (mehrzeiliges Textfeld). Die Option Spalten ausschließen ist ausgewählt, die Spalte customer_name ist für den Ausschluss ausgewählt und das Ausdrucksfeld für den Zeilenfilter enthält 'product_type='pharma'.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/data-filter-sample-pharma.png)

1. Wählen Sie **Create Filter)** (Filter erstellen.

**Um einen Datenfilter mit Zellfilterrichtlinien für ein verschachteltes Feld zu erstellen**

 In diesem Abschnitt wird anhand des folgenden Beispielschemas veranschaulicht, wie ein Datenzellenfilter erstellt wird: 

```
[
    { name: "customer", type: "struct<customerId:string,customerName:string>" },
    { name: "customerApplication", type: "struct<appId:string>" },
    { name: "product", type: "struct<offer:struct<prodId:string,listingId:string>,type:string>" },
    { name: "purchaseId", type: "string" },
]
```

1. Geben Sie auf der Seite **Datenfilter erstellen einen** Namen für den Datenfilter ein.

1.  Verwenden Sie als Nächstes die Dropdownliste, um einen Datenbanknamen und einen Tabellennamen auszuwählen. 

1. Wählen Sie im Abschnitt **Zugriff auf Spaltenebene** die Option Eingeschlossene Spalten und wählen Sie eine verschachtelte Spalte () aus. `customer.customerName`

1. **Wählen Sie im Abschnitt **Zugriff auf Zeilenebene die Option Zugriff auf** alle Zeilen aus.**

1. Wählen Sie **Create Filter)** (Filter erstellen.

   Wenn Sie die `SELECT` Berechtigung für diesen Filter erteilen, erhält der Principal Zugriff auf alle Zeilen in der `customerName` Spalte.

1. Definieren Sie als Nächstes einen weiteren Datenfilter für dieselbe Datenbank/Tabelle.

1. Wählen Sie im Abschnitt **Zugriff auf Spaltenebene** die Option Eingeschlossene Spalten und wählen Sie eine weitere verschachtelte Spalte aus (). `customer.customerid`

1. Wählen Sie im Abschnitt **Zugriff auf Zeilenebene** die Option **Zeilen filtern** aus und geben Sie einen **Zeilenfilterausdruck** () ein. `customer.customerid <> 5`

1. Wählen Sie **Create Filter)** (Filter erstellen.

   Wenn Sie die `SELECT` Berechtigung für diesen Filter erteilen, erhält der Principal Zugriff auf alle Zeilen in den `customerId` Feldern und mit Ausnahme der Zelle`customerName`, in der der Wert 5 in der `customerId` Spalte ist.

# Erteilen von Datenfilterberechtigungen
<a name="granting-filter-perms"></a>

Sie können Prinzipalen die Berechtigungen`SELECT`, `DESCRIBE` und `DROP` Lake Formation für Datenfilter gewähren.

Zunächst können nur Sie die Datenfilter anzeigen, die Sie für eine Tabelle erstellen. Damit ein anderer Principal einen Datenfilter anzeigen und Datenkatalogberechtigungen für den Datenfilter gewähren kann, müssen Sie entweder:
+ Gewähren Sie `SELECT` dem Prinzipal mit der Grant-Option in einer Tabelle und wenden Sie den Datenfilter auf den Zuschuss an.
+ Erteilen Sie dem Prinzipal die `DROP` Berechtigung `DESCRIBE` oder für den Datenfilter.

Sie können die `SELECT` Erlaubnis einem externen AWS Konto erteilen. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigung dann anderen Prinzipalen im Konto gewähren. Wenn Sie die Erteilung an ein externes Konto vornehmen, müssen Sie die Option „Erteilen“ angeben, damit der Administrator des externen Kontos die Berechtigung weiter an andere Benutzer im his/her Konto weitergeben kann. Wenn Sie die Gewährung an einen Hauptbenutzer in Ihrem Konto vornehmen, ist die Gewährung mit der Grant-Option optional.

Sie können Berechtigungen für Datenfilter mithilfe der AWS Lake Formation Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren und widerrufen.

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.

1. Wählen Sie auf der Seite **Berechtigungen** im Abschnitt **Datenberechtigungen** die Option **Grant** aus.

1. Wählen Sie auf der Seite **Datenberechtigungen gewähren** die Principals aus, denen die Berechtigungen erteilt werden sollen. 

1. Wählen Sie im Abschnitt LF-Tags oder Katalogressourcen die Option **Benannte Datenkatalogressourcen** aus. Wählen Sie dann die Datenbank, Tabelle und den Datenfilter aus, für die Sie Berechtigungen erteilen möchten.  
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-data-filter-perms-step2.png)

1. Wählen Sie im Abschnitt **Datenfilterberechtigungen** die Berechtigungen aus, die Sie den ausgewählten Prinzipalen gewähren möchten.  
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-perms-on-filters.png)

------
#### [ AWS CLI ]
+ Geben Sie einen `grant-permissions` Befehl ein. Geben Sie `DataCellsFilter` für das `resource` Argument an und geben Sie `DESCRIBE` oder `DROP` für das `Permissions` Argument und optional für das `PermissionsWithGrantOption` Argument an.

  Im folgenden Beispiel wird dem Benutzer `datalake_user1` auf `DESCRIBE` dem Datenfilter`restrict-pharma`, der zur `orders` Tabelle in der `sales` Datenbank im AWS Konto 1111-2222-3333 gehört, Genehmigungen mit der Grant-Option gewährt.

  ```
  aws lakeformation grant-permissions --cli-input-json file://grant-params.json
  ```

  Im Folgenden ist der Inhalt der Datei aufgeführt. `grant-params.json`

  ```
  {
      "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
      "Resource": {
          "DataCellsFilter": {
              "TableCatalogId": "111122223333",
              "DatabaseName": "sales",
              "TableName": "orders",
              "Name": "restrict-pharma"
          }
      },
      "Permissions": ["DESCRIBE"],
      "PermissionsWithGrantOption": ["DESCRIBE"]
  }
  ```

------

# Erteilen von Datenberechtigungen, die durch Datenfilter bereitgestellt werden
<a name="granting-data-perms-for-filters"></a>

Datenfilter stellen eine Teilmenge von Daten innerhalb einer Tabelle dar. Um Prinzipalen Datenzugriff zu gewähren, müssen diesen Prinzipalen `SELECT` Berechtigungen erteilt werden. Mit dieser Genehmigung können die Principals:
+ Den tatsächlichen Tabellennamen in der Liste der Tabellen anzeigen, die mit ihrem Konto geteilt wurden.
+ Erstellen Sie Datenfilter für die gemeinsam genutzte Tabelle und gewähren Sie ihren Benutzern Berechtigungen für diese Datenfilter.

------
#### [ Console ]

**Um SELECT-Berechtigungen zu gewähren**

1. Rufen Sie in der Lake Formation Formation-Konsole die Seite „**Berechtigungen**“ auf und wählen Sie dann **Grant** aus.  
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/permissions-grant-action.png)

1. Wählen Sie die Prinzipale aus, auf die Sie Zugriff gewähren möchten, und wählen Sie **Benannte Datenkatalogressourcen** aus.  
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-data-filter-perms-step2.png)

1. ****Um Zugriff auf die Daten zu gewähren, die der Filter darstellt, wählen Sie unter Datenfilterberechtigungen die Option Auswählen aus.****  
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-data-filter-perms-step3.png)

------
#### [ CLI ]

Geben Sie einen Befehl ein. `grant-permissions` Geben Sie `DataCellsFilter` für das Argument Ressource und `SELECT` für das Argument Berechtigungen an. 

Das folgende Beispiel gewährt `SELECT` dem Benutzer `datalake_user1` mit der Grant-Option Berechtigungen für den Datenfilter`restrict-pharma`, der zu der `orders` Tabelle in der `sales` Datenbank gehört AWS-Konto `1111-2222-3333`. 

```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json 
```

Im Folgenden finden Sie den Inhalt der Datei`grant-params.json`. 

```
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
    },
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333", 
            "DatabaseName": "sales", 
            "TableName": "orders", 
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"]
}
```

------

# Datenfilter anzeigen
<a name="view-data-filters"></a>

Sie können die Lake Formation Formation-Konsole oder die Lake Formation Formation-API verwenden, um Datenfilter anzuzeigen. AWS CLI

Um Datenfilter anzeigen zu können, müssen Sie ein Data Lake-Administrator sein oder über die erforderlichen Berechtigungen für die Datenfilter verfügen.

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenfilter** aus.

   Auf der Seite werden die Datenfilter angezeigt, auf die Sie Zugriff haben.  
![\[Auf der Seite Datenfilter werden die verfügbaren Datenfilter mit den folgenden Spalten angezeigt: Filtername, Tabelle, Datenbank und Tabellenkatalog-ID. Der Screenshot zeigt einen einzelnen Datenfilter mit den folgenden Werten: test-df, cloudtrailtest_cloudtrail, lakeformation_cloudtrail, redigierte Konto-ID. Über der Tabelle befinden sich vier Schaltflächen (von links nach rechts): Aktualisieren/neu laden, Ansicht (ausgegraut), Löschen (ausgegraut) und „Neuen Filter erstellen“. Es gibt auch ein Suchfeld, das leer ist.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/list-data-filters.jpg)

1. Um die Datenfilterdetails anzuzeigen, wählen Sie den Datenfilter und dann Ansicht aus. Ein neues Fenster mit detaillierten Informationen zum Datenfilter wird angezeigt.  
![\[Das Fenster „Datenfilter anzeigen“ zeigt zusätzliche Informationen zum ausgewählten Datenfilter. Zu den angezeigten Informationen gehören der Name, die Datenbank, die Tabelle, die Zugriffseinstellung auf Spaltenebene, der Zeilenfilterausdruck und die Spalten.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/list-data-filters-details.jpg)

------
#### [ AWS CLI ]

Geben Sie einen `list-data-cells-filter` Befehl ein und geben Sie eine Tabellenressource an.

Das folgende Beispiel listet die Datenfilter für die `cloudtrailtest_cloudtrail` Tabelle auf.

```
aws lakeformation list-data-cells-filter --table '{ "CatalogId":"123456789012", 
"DatabaseName":"lakeformation_cloudtrail", "Name":"cloudtrailtest_cloudtrail"}'
```

------
#### [ API/SDK ]

Verwenden Sie die `ListDataCellsFilter` API und geben Sie eine Tabellenressource an.

Das folgende Beispiel verwendet Python, um die ersten 20 Datenfilter für die `myTable` Tabelle aufzulisten.

```
response = client.list_data_cells_filter(
    Table = {
        'CatalogId': '111122223333',
        'DatabaseName': 'mydb',
        'Name': 'myTable'
    },
    MaxResults=20
)
```

------

# Datenfilterberechtigungen auflisten
<a name="listing-filter-perms"></a>

Sie können die Lake Formation Formation-Konsole verwenden, um die für Datenfilter erteilten Berechtigungen anzuzeigen. 

Um die Berechtigungen für einen Datenfilter anzeigen zu können, müssen Sie ein Data Lake-Administrator sein oder über die erforderlichen Berechtigungen für den Datenfilter verfügen.

------
#### [ Console ]

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenberechtigungen** aus.

1. Klicken oder tippen Sie auf der Seite **Datenberechtigungen** in das Suchfeld und wählen Sie im Menü **Eigenschaften** die Option **Ressourcentyp** aus.

1. Wählen Sie im Menü **Ressourcentyp** die Option **Ressourcentyp: Datenzellenfilter** aus.

   Die Datenfilter, für die Sie Berechtigungen haben, werden aufgelistet. Möglicherweise müssen Sie horizontal scrollen, um die Spalten **Permissions** und **Grantable** zu sehen.  
![\[Auf der Seite „Datenberechtigungen“ wird eine Tabelle mit Berechtigungen mit den folgenden Spalten angezeigt: Principal, Ressourcentyp, Datenbank, Tabelle, Ressource, Katalog und Berechtigungen. In der Spalte Ressourcentyp wird in allen vier Zeilen „Datenzellenfilter“ angezeigt. Die Berechtigungen für die erste und zweite Zeile lauten Describe, Drop und Select. Die Berechtigungen für die dritte Zeile lauten Describe. Über der Tabelle befindet sich eine Schaltfläche „Filter löschen“ und eine Kachel, die angibt, dass die aktuelle Suche nach Ressourcentyp: Datenzellenfilter erfolgt. Darüber befindet sich ein Suchfeld (Textfeld) und darüber befinden sich die Schaltflächen „Aktualisieren“, „Widerrufen“ und „Gewähren“.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/data-permissions-cell-filters.png)

------
#### [ AWS CLI ]
+ Geben Sie einen `list-permissions` Befehl ein. Geben Sie `DataCellsFilter` für das `resource` Argument an und geben Sie `DESCRIBE` oder `DROP` für das `Permissions` Argument und optional für das `PermissionsWithGrantOption` Argument an.

  Das folgende Beispiel listet `DESCRIBE` Berechtigungen mit der Grant-Option für den Datenfilter auf`restrict-pharma`. Die Ergebnisse beschränken sich auf Berechtigungen, die für den Prinzipal `datalake_user1` und die `orders` Tabelle in der `sales` Datenbank im AWS Konto 1111-2222-3333 erteilt wurden.

  ```
  aws lakeformation list-permissions --cli-input-json file://list-params.json
  ```

  Im Folgenden finden Sie den Inhalt der Datei. `grant-params.json`

  ```
  {
      "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
      "Resource": {
          "DataCellsFilter": {
              "TableCatalogId": "111122223333",
              "DatabaseName": "sales",
              "TableName": "orders",
              "Name": "restrict-pharma"
          }
      },
      "Permissions": ["DESCRIBE"],
      "PermissionsWithGrantOption": ["DESCRIBE"]
  }
  ```

------

# Datenbank- und Tabellenberechtigungen in Lake Formation anzeigen
<a name="viewing-permissions"></a>

Sie können die Lake Formation Formation-Berechtigungen anzeigen, die für eine Datenkatalogdatenbank oder -Tabelle erteilt wurden. Sie können dies tun, indem Sie die Lake Formation Formation-Konsole, die API oder die AWS Command Line Interface (AWS CLI) verwenden.

Mithilfe der Konsole können Sie Berechtigungen auf den Seiten **Datenbanken** oder **Tabellen** oder auf der Seite **Datenberechtigungen** anzeigen.

**Anmerkung**  
Wenn Sie kein Datenbankadministrator oder Ressourcenbesitzer sind, können Sie die Berechtigungen anderer Principals für die Ressource nur anzeigen, wenn Sie über eine Lake Formation Formation-Berechtigung für die Ressource mit der Grant-Option verfügen.  
Zusätzlich zu den erforderlichen Lake Formation Formation-Berechtigungen benötigen Sie die AWS Identity and Access Management (IAM-) Berechtigungen`glue:GetDatabases`,`glue:GetDatabase`, `glue:GetTables``glue:GetTable`, und`lakeformation:ListPermissions`.

**Um die Berechtigungen für eine Datenbank anzuzeigen (Konsole, ab der Datenbankseite)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich mit der Grant-Option als Data Lake-Administrator, Datenbankersteller oder als Benutzer an, der über eine Lake Formation Formation-Berechtigung für die Datenbank verfügt.

1. Wählen Sie im Navigationsbereich **Datenbanken** aus.

1. Wählen Sie eine Datenbank aus und klicken Sie im Menü **Aktionen** auf **Berechtigungen anzeigen**.
**Anmerkung**  
Wenn Sie einen Datenbankressourcenlink wählen, zeigt Lake Formation die Berechtigungen für den Ressourcenlink an, nicht für die Zieldatenbank des Ressourcenlinks.

   Auf der Seite **Datenberechtigungen** werden alle Lake Formation Formation-Berechtigungen für die Datenbank aufgeführt. Der Datenbankname und die Katalog-ID (AWS Konto-ID) des Datenbankbesitzers werden als Bezeichnungen unter dem Suchfeld angezeigt. Die Kacheln weisen darauf hin, dass ein Filter angewendet wurde, um nur die Berechtigungen für diese Datenbank aufzulisten. Sie können den Filter anpassen, indem Sie eine Kachel schließen oder **Filter löschen** wählen.  
![\[Auf der Seite mit den Datenberechtigungen wird oben ein Suchfeld mit zwei Kacheln darunter angezeigt. Die Kacheln sind mit Database:Logs und Catalog ID:111122223333 beschriftet. Neben den Kacheln befindet sich eine Schaltfläche „Filter löschen“. Nachfolgend finden Sie eine Liste der Datenbanken und ihrer Berechtigungen. Dieses Beispiel hat nur eine Zeile in der Liste. Es gilt für die Protokolldatenbank, und die Berechtigungen Alter, Create table und Drop werden dem IAM-Benutzer Administrator mit der Grant-Option gewährt. Die Liste enthält eine Spalte mit der Konto-ID des Besitzers, und in der einen Zeile steht 11112222333 in dieser Spalte.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/permissions-page-database.png)

**So zeigen Sie die Berechtigungen für eine Datenbank an (Konsole, ausgehend von der Seite mit den Datenberechtigungen)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich mit der Grant-Option als Data Lake-Administrator, Datenbankersteller oder als Benutzer an, der über eine Lake Formation Formation-Berechtigung für die Datenbank verfügt.

1. Wählen Sie im Navigationsbereich die Option **Datenberechtigungen** aus.

1. Platzieren Sie den Cursor im Suchfeld oben auf der Seite, und wählen Sie im daraufhin angezeigten **Eigenschaftenmenü** die Option **Datenbank** aus.

1. Wählen Sie im daraufhin angezeigten Menü **Datenbanken** eine Datenbank aus.
**Anmerkung**  
Wenn Sie einen Datenbankressourcenlink wählen, zeigt Lake Formation die Berechtigungen für den Ressourcenlink an, nicht für die Zieldatenbank des Ressourcenlinks.

   Auf der Seite **Datenberechtigungen** werden alle Lake Formation Formation-Berechtigungen für die Datenbank aufgeführt. Der Datenbankname wird als Kachel unter dem Suchfeld angezeigt. Die Kachel gibt an, dass ein Filter angewendet wurde, um Berechtigungen nur für diese Datenbank aufzulisten. Sie können den Filter entfernen, indem Sie die Kachel schließen oder **Filter löschen** wählen.

**So zeigen Sie die Berechtigungen für eine Tabelle an (Konsole, ausgehend von der Tabellenseite)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich mit der Grant-Option als Data Lake-Administrator, Tabellenersteller oder als Benutzer an, der über eine Lake Formation Formation-Berechtigung für die Tabelle verfügt.

1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.

1. Wählen Sie eine Tabelle aus und klicken Sie im Menü **Aktionen** auf **Berechtigungen anzeigen**.
**Anmerkung**  
Wenn Sie einen Tabellenressourcen-Link wählen, zeigt Lake Formation die Berechtigungen für den Ressourcenlink an, nicht für die Zieltabelle des Ressourcenlinks.

   Auf der Seite **Datenberechtigungen** werden alle Lake Formation Formation-Berechtigungen für die Tabelle aufgeführt. Der Tabellenname, der Datenbankname der Datenbank, die die Tabelle enthält, und die Katalog-ID (AWS Konto-ID) des Tabellenbesitzers werden als Beschriftungen unter dem Suchfeld angezeigt. Die Beschriftungen weisen darauf hin, dass ein Filter angewendet wurde, um nur die Berechtigungen für diese Tabelle aufzulisten. Sie können den Filter anpassen, indem Sie ein Label schließen oder **Filter löschen** wählen.  
![\[Auf der Seite mit den Datenberechtigungen wird oben ein Suchfeld mit drei Kacheln darunter angezeigt. Die Kacheln tragen von links nach rechts die Bezeichnungen Database:Logs, Table:Alexa-Logs und Catalog ID:111122223333. Neben den Kacheln befindet sich eine Schaltfläche „Filter löschen“. Unten finden Sie eine Liste der Tabellen und ihrer Berechtigungen. Dieses Beispiel hat nur eine Zeile in der Liste. Es gilt für die Alexa-Logs-Tabelle, und die Superberechtigungen werden dem IAM-Benutzeradministrator mit der Grant-Option gewährt. Die Liste enthält eine Spalte mit der Konto-ID des Besitzers, und in der einen Zeile steht 11112222333 in dieser Spalte.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/permissions-page-table.png)

**So zeigen Sie Berechtigungen für eine Tabelle an (Konsole, ausgehend von der Seite mit den Datenberechtigungen)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich mit der Grant-Option als Data Lake-Administrator, Tabellenersteller oder als Benutzer an, der über eine Lake Formation Formation-Berechtigung für die Tabelle verfügt.

1. Wählen Sie im Navigationsbereich die Option **Datenberechtigungen** aus.

1. Platzieren Sie den Cursor im Suchfeld oben auf der Seite, und wählen Sie im daraufhin angezeigten **Eigenschaftenmenü** die Option **Datenbank** aus.

1. Wählen Sie im daraufhin angezeigten Menü **Datenbanken** eine Datenbank aus.
**Wichtig**  
Wenn Sie die Berechtigungen für eine Tabelle anzeigen möchten, die von einem externen AWS Konto aus für Ihr Konto freigegeben wurde, müssen Sie die Datenbank in dem externen Konto auswählen, das die Tabelle enthält, und keinen Ressourcenlink zur Datenbank.

   Auf der Seite **Datenberechtigungen** werden alle Lake Formation Formation-Berechtigungen für die Datenbank aufgeführt.

1. Positionieren Sie den Cursor erneut im Suchfeld, und wählen Sie im daraufhin angezeigten **Eigenschaftenmenü** die Option **Tabelle** aus.

1. Wählen Sie im daraufhin angezeigten Menü **Tabellen** eine Tabelle aus.

   Auf der Seite **Datenberechtigungen** werden alle Lake Formation Formation-Berechtigungen für die Tabelle aufgeführt. Der Tabellenname und der Datenbankname der Datenbank, die die Tabelle enthält, werden als Kacheln unter dem Suchfeld angezeigt. Die Kacheln weisen darauf hin, dass ein Filter angewendet wurde, um nur die Berechtigungen für diese Tabelle aufzulisten. Sie können den Filter anpassen, indem Sie eine Kachel schließen oder **Filter löschen** wählen.

**Um die Berechtigungen für eine Tabelle anzuzeigen (AWS CLI)**
+ Geben Sie einen `list-permissions` Befehl ein.

  Das folgende Beispiel listet die Berechtigungen für eine Tabelle auf, die von einem externen Konto gemeinsam genutzt wird. Die `CatalogId` Eigenschaft ist die AWS Konto-ID des externen Kontos, und der Datenbankname bezieht sich auf die Datenbank im externen Konto, die die Tabelle enthält.

  ```
  aws lakeformation list-permissions  --resource-type TABLE --resource '{ "Table": {"DatabaseName":"logs", "Name":"alexa-logs", "CatalogId":"123456789012"}}'
  ```

# Widerrufen der Genehmigung mithilfe der Lake Formation Formation-Konsole
<a name="revoking-permssions-console-all"></a>

Sie können die Konsole verwenden, um alle Arten von Lake Formation Formation-Berechtigungen zu widerrufen — Datenkatalogberechtigungen, Policy-Tag-Berechtigungen, Datenfilterberechtigungen und Standortberechtigungen.

**So entziehen Sie Lake Formation Formation-Berechtigungen für eine Ressource (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Berechtigungen mit der Grant-Option für die Ressource erteilt wurden.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen**, **LF-Tags und Berechtigungen** oder **Datenspeicherorte** aus.

1. **Wählen Sie die Berechtigung oder den Speicherort aus und wählen Sie dann Widerrufen aus.**

1. Wählen Sie in dem sich öffnenden Dialogfeld die Option **Widerrufen** aus.

# Kontoübergreifender Datenaustausch in Lake Formation
<a name="cross-account-permissions"></a>

Die kontoübergreifenden Funktionen von Lake Formation ermöglichen es Benutzern AWS-Konten, verteilte Data Lakes sicher über mehrere AWS Organisationen hinweg oder direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, wodurch ein detaillierter Zugriff auf die Data Catalog-Metadaten und die zugrunde liegenden Daten ermöglicht wird. Große Unternehmen verwenden in der Regel mehrere AWS-Konten, und viele dieser Konten benötigen möglicherweise Zugriff auf einen Data Lake, der von einem einzigen verwaltet wird. AWS-Konto Benutzer und ETL-Jobs ( AWS Glue Extrahieren, Transformieren und Laden) können Tabellen über mehrere Konten hinweg abfragen und verknüpfen und dabei trotzdem die Vorteile des Datenschutzes auf Tabellen- und Spaltenebene von Lake Formation nutzen.

Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogressource einem externen Konto oder direkt einem IAM-Prinzipal in einem anderen Konto gewähren, verwendet Lake Formation den Dienst AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen. Befindet sich das Konto des Empfängers in derselben Organisation wie das Konto des Zuweisungsempfängers, steht die gemeinsam genutzte Ressource dem Empfänger sofort zur Verfügung. Wenn sich das Empfängerkonto nicht in derselben Organisation befindet, AWS RAM sendet es eine Einladung an das Empfängerkonto, die Ressourcenzuweisung anzunehmen oder abzulehnen. Um die gemeinsam genutzte Ressource verfügbar zu machen, muss der Data Lake-Administrator des Empfängerkontos dann die AWS RAM Konsole verwenden oder die AWS CLI Einladung annehmen. 

 Lake Formation unterstützt die gemeinsame Nutzung von Datenkatalogressourcen mit externen Konten im Hybridzugriffsmodus. Der Hybridzugriffsmodus bietet die Flexibilität, selektiv Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen in Ihrem AWS Glue Data Catalog zu aktivieren.
 Mit dem Hybridzugriffsmodus verfügen Sie jetzt über einen inkrementellen Pfad, mit dem Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern festlegen können, ohne die Berechtigungsrichtlinien anderer vorhandener Benutzer oder Workloads zu unterbrechen.

Weitere Informationen finden Sie unter [Hybrider Zugriffsmodus](hybrid-access-mode.md). 

**Direkter kontenübergreifender Austausch**  
Autorisierte Principals können Ressourcen explizit mit einem IAM-Prinzipal in einem externen Konto teilen. Diese Funktion ist nützlich, wenn ein Kontoinhaber die Kontrolle darüber haben möchte, wer im externen Konto auf die Ressourcen zugreifen kann. Bei den Berechtigungen, die der IAM-Principal erhält, handelt es sich um eine Kombination aus direkten Zuschüssen und Zuschüssen auf Kontoebene, die an die Hauptbenutzer weitergegeben werden. Nur der Empfänger der Genehmigung kann die direkten kontoübergreifenden Zuschüsse einsehen. Der Hauptbenutzer, der den Ressourcenanteil erhält, kann die Ressource nicht mit anderen Prinzipalen teilen.

**Methoden für die gemeinsame Nutzung von Datenkatalogressourcen**  
Mit einem einzigen Lake Formation Formation-Grant-Vorgang können Sie kontoübergreifende Berechtigungen für die folgenden Datenkatalogressourcen gewähren. 
+ Eine Datenbank
+ Eine einzelne Tabelle (mit optionaler Spaltenfilterung)
+ Ein paar ausgewählte Tabellen
+ Alle Tabellen in einer Datenbank (mithilfe des Platzhalters „Alle Tabellen“)

Es gibt zwei Möglichkeiten, Ihre Datenbanken und Tabellen für andere Benutzer AWS-Konto oder für IAM-Prinzipale in einem anderen Konto gemeinsam zu nutzen.
+ Tag-basierte Zugriffskontrolle von Lake Formation (LF-TBAC) (empfohlen)

  Die tagbasierte Zugriffskontrolle von Lake Formation ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. Sie können die tagbasierte Zugriffskontrolle verwenden, um Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) mit externen IAM-Prinzipalen AWS-Konten, Organizations und Organisationseinheiten () gemeinsam zu nutzen. OUs In Lake Formation werden diese Attribute LF-Tags genannt. Weitere Informationen finden Sie unter [Verwaltung eines Data Lakes mithilfe der tagbasierten Zugriffskontrolle von Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/managing-dl-tutorial.html).
**Anmerkung**  
Die LF-TBAC-Methode zur Erteilung von Datenkatalogberechtigungen wird für kontoübergreifende Zuschüsse verwendet. AWS Resource Access Manager   
Lake Formation unterstützt jetzt die Gewährung kontenübergreifender Berechtigungen für Organizations und Organisationseinheiten mithilfe der LF-TBAC-Methode.  
**Um diese Funktion zu aktivieren, müssen Sie die **Einstellungen für die kontoübergreifende Version auf Version 3 oder höher** aktualisieren.**  
Weitere Informationen finden Sie unter [Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten](optimize-ram.md).
+ Lake Formation benannte Ressourcen

  Die Methode zur kontenübergreifenden Datenfreigabe von Lake Formation mithilfe benannter Ressourcen ermöglicht es Ihnen, Lake Formation Formation-Berechtigungen mit einer Erteilungsoption für Datenkatalogtabellen und Datenbanken an externe AWS-Konten IAM-Prinzipale, Organisationen oder Organisationseinheiten zu gewähren. Bei der Gewährung werden diese Ressourcen automatisch gemeinsam genutzt.

**Anmerkung**  
Sie können dem AWS Glue Crawler auch gestatten, mithilfe von Lake Formation Formation-Anmeldeinformationen auf einen Datenspeicher in einem anderen Konto zuzugreifen. Weitere Informationen finden Sie unter [Kontoübergreifendes Crawling](https://docs.aws.amazon.com/glue/latest/dg/crawler-configuration.html#cross-account-crawling) im AWS Glue Entwicklerhandbuch.

Integrierte Dienste wie Athena und Amazon Redshift Spectrum benötigen Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen einbeziehen zu können. Weitere Informationen zu Ressourcenlinks finden Sie unter. [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md)

Hinweise und Einschränkungen finden Sie unter[Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch](cross-account-notes.md).

**Topics**
+ [Voraussetzungen](cross-account-prereqs.md)
+ [Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten](optimize-ram.md)
+ [Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS-Konten IAM-Prinzipale von externen Konten aus](cross-account-data-share-steps.md)
+ [Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird](regranting-shared-resources.md)
+ [Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md)
+ [Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle](cross-account-read-data.md)
+ [Kontoübergreifende Protokollierung CloudTrail](cross-account-logging.md)
+ [Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation](hybrid-cross-account.md)
+ [Alle kontenübergreifenden Zuschüsse mithilfe des GetResourceShares API-Vorgangs anzeigen](cross-account-getresourcepolicies.md)

**Verwandte Themen**  
[Überblick über die Genehmigungen für Lake Formation](lf-permissions-overview.md)
[Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken](viewing-shared-resources.md)
[Ressourcenlinks erstellen](creating-resource-links.md)
[Problembehandlung beim kontoübergreifenden Zugriff](troubleshooting.md#trouble-cross-account)

# Voraussetzungen
<a name="cross-account-prereqs"></a>

Bevor Ihr AWS Konto Datenkatalogressourcen (Kataloge, Datenbanken und Tabellen) mit einem anderen Konto oder Principals in einem anderen Konto gemeinsam nutzen kann und bevor Sie auf die mit Ihrem Konto geteilten Ressourcen zugreifen können, müssen die folgenden Voraussetzungen erfüllt sein.

**Allgemeine Anforderungen an die kontenübergreifende gemeinsame Nutzung von Daten**
+ **Um Datenkatalogdatenbanken und -Tabellen im Hybridzugriffsmodus gemeinsam zu nutzen und Objekte in den Verbundkatalogen gemeinsam zu nutzen, müssen Sie die **Einstellungen für die kontoübergreifende Version auf Version 4** aktualisieren.**
+ Bevor Sie kontenübergreifende Berechtigungen für eine Datenkatalogressource gewähren, müssen Sie der `IAMAllowedPrincipals` Gruppe alle Lake Formation Formation-Berechtigungen für die Ressource entziehen. Wenn der aufrufende Principal kontoübergreifende Berechtigungen für den Zugriff auf eine Ressource hat und die `IAMAllowedPrincipals` Berechtigung für die Ressource vorhanden ist, wird Lake Formation ausgelöst. `AccessDeniedException` 

  Diese Anforderung gilt nur, wenn Sie den zugrunde liegenden Datenstandort im Lake Formation Formation-Modus registrieren. Wenn Sie den Datenstandort im Hybridmodus registrieren, können die `IAMAllowedPrincipals` Gruppenberechtigungen für die gemeinsam genutzte Datenbank oder Tabelle vorhanden sein. 
+  Bei Datenbanken, die Tabellen enthalten, die Sie gemeinsam nutzen möchten, müssen Sie verhindern, dass für neue Tabellen die Standardzuteilung `Super` bis festgelegt wird`IAMAllowedPrincipals`. Bearbeiten Sie in der Lake Formation Formation-Konsole die Datenbank und deaktivieren **Sie Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden**, oder geben Sie den folgenden AWS CLI Befehl ein und `database` ersetzen Sie ihn durch den Namen der Datenbank. Wenn der zugrunde liegende Datenspeicherort im Hybridzugriffsmodus registriert ist, müssen Sie diese Standardeinstellung nicht ändern. Im Hybridzugriffsmodus ermöglicht Ihnen Lake Formation die selektive Durchsetzung Lake Formation Formation-Berechtigungen und IAM-Berechtigungsrichtlinien für Amazon S3 und AWS Glue für dieselbe Ressource.

  ```
  aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  ```
+ Um kontoübergreifende Berechtigungen zu gewähren, muss der Gewährer über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen für den Dienst verfügen. AWS Glue AWS RAM Die AWS verwaltete Richtlinie `AWSLakeFormationCrossAccountManager` gewährt die erforderlichen Berechtigungen.

  Für Data Lake-Administratoren mit Konten, die gemeinsam genutzte Ressourcen nutzen, AWS RAM muss die folgende zusätzliche Richtlinie gelten. Sie ermöglicht es dem Administrator, Einladungen zur gemeinsamen AWS RAM Nutzung von Ressourcen anzunehmen. Es ermöglicht dem Administrator auch, die gemeinsame Nutzung von Ressourcen mit Organisationen zu aktivieren.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Wenn Sie Datenkatalogressourcen für unsere Organisationseinheiten gemeinsam nutzen möchten, muss die gemeinsame Nutzung für Organisationen in aktiviert sein AWS RAM. AWS Organizations 

  Informationen zum Aktivieren der gemeinsamen Nutzung mit Organisationen finden Sie unter [Aktivieren der gemeinsamen Nutzung mit AWS Organisationen](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS RAM Benutzerhandbuch*.

  Sie müssen über die `ram:EnableSharingWithAwsOrganization` entsprechende Berechtigung verfügen, um das Teilen mit Organisationen zu aktivieren.
+ Um Ressourcen direkt mit einem IAM-Prinzipal in einem anderen Konto gemeinsam zu nutzen, müssen Sie die **Einstellungen für die kontoübergreifende Version** auf **Version 3** aktualisieren. Diese Einstellung ist auf der Seite mit den **Datenkatalogeinstellungen** verfügbar. Wenn Sie **Version 1** verwenden, lesen Sie die Anweisungen zum Aktualisieren der Einstellung[Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten](optimize-ram.md).
+ Sie können Datenkatalogressourcen, die mit einem vom AWS Glue Service verwalteten Schlüssel verschlüsselt wurden, nicht mit einem anderen Konto teilen. Sie können nur Datenkatalogressourcen gemeinsam nutzen, die mit dem Verschlüsselungsschlüssel des Kunden verschlüsselt wurden, und das Konto, das die gemeinsame Nutzung der Ressource erhält, muss über Berechtigungen für den Datenkatalog-Verschlüsselungsschlüssel verfügen, um die Objekte zu entschlüsseln.

**Kontoübergreifender Datenaustausch unter Verwendung der LF-TBAC-Anforderungen**
+  **Um Datenkatalogressourcen mit AWS Organizations Organisationseinheiten (OUs) gemeinsam zu nutzen, müssen Sie die **Einstellungen für die kontoübergreifende Version auf Version 3 oder höher** aktualisieren.** 
+ Um Datenkatalogressourcen mit Version 3 der **Einstellungen der kontoübergreifenden Version gemeinsam nutzen zu können**, benötigt der Gewährer die IAM-Berechtigungen, die in der AWS verwalteten Richtlinie `AWSLakeFormationCrossAccountManager` in Ihrem Konto definiert sind.
+ Wenn Sie Version 1 oder Version 2 der **Einstellungen für die kontoübergreifende Version** verwenden, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie (`glue:PutResourcePolicy`), die LF-TBAC aktiviert. Weitere Informationen finden Sie unter [Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation](hybrid-cross-account.md).
+ Wenn Sie derzeit eine AWS Glue Datenkatalog-Ressourcenrichtlinie für die gemeinsame Nutzung von Ressourcen verwenden und mithilfe von Version 3 der **Einstellungen für die kontoübergreifende Version kontenübergreifende** Berechtigungen gewähren möchten, müssen Sie die `glue:ShareResource` Berechtigung in den Datenkatalogeinstellungen mithilfe der `glue:PutResourcePolicy` API-Operation hinzufügen, wie im Abschnitt gezeigt. [Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation](hybrid-cross-account.md) Diese Richtlinie ist nicht erforderlich, wenn Ihr Konto mithilfe der AWS Glue Datenkatalog-Ressourcenrichtlinie (`glue:PutResourcePolicy`Nutzungsberechtigung Version 1 und Version 2) keine kontoübergreifenden Berechtigungen gewährt hat, um kontenübergreifenden Zugriff zu gewähren. 

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ Wenn Ihr Konto mithilfe der AWS Glue Datenkatalog-Ressourcenrichtlinie kontenübergreifende Freigaben vorgenommen hat und Sie derzeit die Methode Named Resource oder LF-TBAC mit **kontoübergreifenden Einstellungen** Version 3 für die gemeinsame Nutzung von Ressourcen verwenden, müssen Sie das `EnableHybrid` Argument AWS RAM auf setzen, wenn Sie den API-Vorgang aufrufen. `'true'` `glue:PutResourcePolicy` Weitere Informationen finden Sie unter [Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation](hybrid-cross-account.md).

**Für jedes Konto, das auf die gemeinsam genutzte Ressource zugreift, ist eine Einrichtung erforderlich**
+ Wenn Sie Ressourcen gemeinsam nutzen AWS-Konten, muss mindestens ein Benutzer im Kundenkonto ein Data Lake-Administrator sein, um gemeinsam genutzte Ressourcen anzeigen zu können. Informationen zum Erstellen eines Data Lake-Administrators finden Sie unter[Erstellen Sie einen Data Lake-Administrator](initial-lf-config.md#create-data-lake-admin).

  Der Data Lake-Administrator kann anderen Prinzipalen im Konto Lake Formation Formation-Berechtigungen für die gemeinsam genutzten Ressourcen gewähren. Andere Principals können erst dann auf gemeinsam genutzte Ressourcen zugreifen, wenn der Data Lake-Administrator ihnen Berechtigungen für die Ressourcen erteilt.
+ Integrierte Dienste wie Athena und Redshift Spectrum benötigen Ressourcenlinks, um gemeinsam genutzte Ressourcen in Abfragen einbeziehen zu können. Prinzipale müssen in ihrem Datenkatalog einen Ressourcenlink zu einer gemeinsam genutzten Ressource von einer anderen erstellen. AWS-Konto Weitere Informationen zu Ressourcenlinks finden Sie unter[Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md).
+ Wenn eine Ressource direkt mit einem IAM-Prinzipal gemeinsam genutzt wird, muss der Principal einen Ressourcenlink erstellen, um die Tabelle mit Athena abzufragen. Um einen Ressourcenlink zu erstellen, benötigt der Principal die Lake Formation `CREATE_TABLE` oder `CREATE_DATABASE` -Genehmigung und die `glue:CreateTable` oder `glue:CreateDatabase` IAM-Berechtigung.

  Wenn das Producer-Konto eine andere Tabelle in derselben Datenbank mit demselben oder einem anderen Principal gemeinsam nutzt, kann dieser Principal die Tabelle sofort abfragen.

**Anmerkung**  
Für den Data Lake-Administrator und für Principals, denen der Data Lake-Administrator Berechtigungen erteilt hat, werden gemeinsam genutzte Ressourcen im Datenkatalog so angezeigt, als ob es sich um lokale (eigene) Ressourcen handeln würde. Aufträge zum Extrahieren, Transformieren und Laden (ETL) können auf die zugrunde liegenden Daten gemeinsam genutzter Ressourcen zugreifen.  
Bei gemeinsam genutzten Ressourcen wird auf den Seiten „**Tabellen**“ und „**Datenbanken**“ der Lake Formation Formation-Konsole die Konto-ID des Besitzers angezeigt.  
Wenn auf die zugrunde liegenden Daten einer gemeinsam genutzten Ressource zugegriffen wird, werden CloudTrail Protokollereignisse sowohl im Konto des Empfängers der gemeinsam genutzten Ressource als auch im Konto des Ressourcenbesitzers generiert. Die CloudTrail Ereignisse können den ARN des Prinzipals enthalten, der auf die Daten zugegriffen hat, aber nur, wenn das Empfängerkonto sich dafür entscheidet, den Prinzipal-ARN in die Protokolle aufzunehmen. Weitere Informationen finden Sie unter [Kontoübergreifende Protokollierung CloudTrail](cross-account-logging.md).

# Aktualisierung der Versionseinstellungen für die kontenübergreifende gemeinsame Nutzung von Daten
<a name="optimize-ram"></a>

 AWS Lake Formation Aktualisiert von Zeit zu Zeit die Einstellungen für den kontenübergreifenden Datenaustausch, um die an der AWS RAM Nutzung vorgenommenen Änderungen zu erkennen und Aktualisierungen der Funktion für den kontenübergreifenden Datenaustausch zu unterstützen. Wenn Lake Formation dies tut, erstellt es eine neue Version der **Einstellungen für die kontoübergreifende Version**. 

## Hauptunterschiede zwischen den Einstellungen der kontoübergreifenden Version
<a name="cross-account-version-diff"></a>

In den folgenden Abschnitten finden Sie weitere Informationen dazu, wie die kontoübergreifende Datenfreigabe unter verschiedenen **kontoübergreifenden Versionseinstellungen** funktioniert.

**Anmerkung**  
Um Daten mit einem anderen Konto gemeinsam zu nutzen, muss der Lizenzgeber über `AWSLakeFormationCrossAccountManager` verwaltete IAM-Richtlinienberechtigungen verfügen. Dies ist eine Voraussetzung für alle Versionen.  
Die Aktualisierung der **Einstellungen für die kontoübergreifende Version** hat keine Auswirkungen auf die Berechtigungen, über die der Empfänger für gemeinsam genutzte Ressourcen verfügt. Dies gilt für die Aktualisierung von Version 1 auf Version 2, Version 2 auf Version 3 und Version 1 auf Version 3. Beachten Sie beim Aktualisieren von Versionen die unten aufgeführten Überlegungen. 

**Version 1**  
*Methode mit benannter Ressource:* Ordnet jede kontoübergreifende Lake Formation Formation-Genehmigungserteilung einer AWS RAM Ressourcenfreigabe zu. Der Benutzer (Rolle des Erteilers oder Principal) benötigt keine zusätzlichen Berechtigungen.  
*LF-TBAC-Methode:* Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht für die gemeinsame Nutzung von Daten verwendet. AWS RAM Der Benutzer muss über eine entsprechende Genehmigung verfügen. `glue:PutResourcePolicy`  
*Vorteile der Aktualisierung von Versionen:* Erste Version — nicht zutreffend.  
*Überlegungen bei der Aktualisierung von Versionen:* Erste Version — nicht zutreffend

**Version 2**  
*Methode mit benannter Ressource:* Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.  
*LF-TBAC-Methode:* Kontoübergreifende Lake Formation Formation-Genehmigungen werden nicht für die gemeinsame Nutzung von Daten verwendet. AWS RAM Der Benutzer muss über eine entsprechende Genehmigung verfügen. `glue:PutResourcePolicy`  
*Vorteile der Aktualisierung von Versionen:* Skalierbares, kontenübergreifendes Setup durch optimale AWS RAM Kapazitätsauslastung.  
*Überlegungen beim Aktualisieren von Versionen:* Benutzer, die kontoübergreifende Lake Formation Formation-Berechtigungen gewähren möchten, müssen über die Berechtigungen in der `AWSLakeFormationCrossAccountManager` AWS verwalteten Richtlinie verfügen. Andernfalls benötigen Sie die `ram:DisassociateResourceShare` erforderlichen Berechtigungen, um Ressourcen erfolgreich mit einem anderen Konto gemeinsam nutzen zu können. `ram:AssociateResourceShare`

**Version 3**  
*Methode mit benannter Ressource:* Optimiert die Anzahl der gemeinsam genutzten AWS RAM Ressourcen, indem mehrere kontoübergreifende Zugriffsberechtigungen einer AWS RAM Ressourcenfreigabe zugeordnet werden. Der Benutzer benötigt keine zusätzlichen Berechtigungen.  
*LF-TBAC-Methode:* Lake Formation verwendet AWS RAM für kontenübergreifende Zuschüsse. Der Benutzer muss der Erlaubnis die Anweisung glue: ShareResource hinzufügen. `glue:PutResourcePolicy` Der Empfänger muss Resource Share-Einladungen von annehmen AWS RAM.  
*Vorteile der Aktualisierung von Versionen:* Unterstützt die folgenden Funktionen:  
+ Ermöglicht die explizite gemeinsame Nutzung von Ressourcen mit einem IAM-Prinzipal in einem externen Konto.

  Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für Datenkatalogressourcen](granting-catalog-permissions.md).
+ Ermöglicht kontenübergreifende Freigaben mithilfe der LF-TBAC-Methode für Organizations oder Organisationseinheiten (). OUs
+ Macht die Verwaltung zusätzlicher AWS Glue Richtlinien für kontoübergreifende Zuschüsse überflüssig.
*Überlegungen bei der Aktualisierung von Versionen:* Wenn Sie die LF-TBAC-Methode zur gemeinsamen Nutzung von Ressourcen verwenden und der Empfänger eine ältere Version als Version 3 verwendet und der Empfänger Version 3 oder höher verwendet, erhält der Zuwendungsgeber die folgende Fehlermeldung: „Ungültiger kontenübergreifender Zuschussantrag. Für das Kundenkonto gibt es die Opt-In für die kontoübergreifende Version: v3. Bitte aktualisieren Sie `CrossAccountVersion` `DataLakeSetting` auf die Minimalversion v3 (Service: AmazonDataCatalog; Statuscode: 400; Fehlercode: InvalidInputException)“. Wenn der Fördergeber jedoch Version 3 verwendet und der Empfänger Version 1 oder Version 2 verwendet, werden die kontenübergreifenden Zuschüsse mit LF-Tags erfolgreich durchgeführt.  
Kontoübergreifende Zuschüsse, die mit der Methode der benannten Ressource gewährt wurden, sind zwischen verschiedenen Versionen kompatibel. Selbst wenn das Zuschusskonto eine ältere Version (Version 1 oder 2) und das Empfängerkonto eine neuere Version (Version 3 oder höher) verwendet, funktioniert die Funktion für den kontenübergreifenden Zugriff problemlos und ohne Kompatibilitätsprobleme oder -fehler.  
Um Ressourcen direkt mit IAM-Prinzipalen in einem anderen Konto gemeinsam zu nutzen, muss nur der Grantor Version 3 verwenden.  
Kontoübergreifende Zuschüsse, die mit der LF-TBAC-Methode gewährt werden, setzen voraus, dass Benutzer über eine Ressourcenrichtlinie im Konto verfügen. AWS Glue Data Catalog Wenn Sie auf Version 3 aktualisieren, gewährt LF-TBAC Nutzungen. AWS RAM Damit AWS RAM kontenübergreifende Zuschüsse erfolgreich sein können, müssen Sie die `glue:ShareResource` Erklärung zu Ihren bestehenden Datenkatalog-Ressourcenrichtlinien hinzufügen, wie im Abschnitt beschrieben. [Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation](hybrid-cross-account.md) 

**Version 4**  
Der Zuwendungsgeber benötigt Version 4 oder höher, um Datenkatalogressourcen im hybriden Zugriffsmodus oder Objekte in einem Verbundkatalog gemeinsam nutzen zu können.

**Version 5**  
Cross Account Version 5 verbessert die kontenübergreifende gemeinsame Nutzung von Ressourcen, sodass Sie eine unbegrenzte Anzahl von Tabellen für ein anderes Konto freigeben können, wodurch die bisherigen Beschränkungen für die Ressourcenzuweisung pro Ressourcentyp entfallen. Führen Sie zunächst über die Lake Formation Formation-Konsole oder API ein Upgrade auf kontoübergreifende Version 5 durch. Bei allen neuen kontoübergreifenden Zugriffsberechtigungen werden automatisch Platzhaltermuster in der Ressourcenfreigabe anstelle von individuellen Ressourcenzuordnungen verwendet. Alle bestehenden kontenübergreifenden Aktien funktionieren weiterhin, und alle bestehenden Lake Formation APIs bleiben kompatibel.  
*Vorteile der Aktualisierung von Versionen:* Cross-account v5 verbessert die kontenübergreifende gemeinsame Nutzung, sodass Sie Hunderttausende von Tabellen kontenübergreifend gemeinsam nutzen können.  
*Überlegungen bei der Aktualisierung von Versionen:* Neue Zuschüsse nach dem Upgrade auf Version 5 fügen vorhandenen Resource AWS Manager-Ressourcenfreigaben Platzhaltermuster hinzu oder erstellen neue Freigaben mit Platzhaltermustern. Nach dem Upgrade auf Version 5 wird ein Downgrade nicht unterstützt.

## Optimieren Sie die gemeinsam AWS RAM genutzten Ressourcen
<a name="optimize-version"></a>

Neue Versionen (Version 2 und höher) von kontenübergreifenden Zuschüssen nutzen die AWS RAM Kapazität optimal, um die kontenübergreifende Nutzung zu maximieren. Wenn Sie eine Ressource mit einem externen AWS-Konto oder einem IAM-Prinzipal gemeinsam nutzen, erstellt Lake Formation möglicherweise eine neue Ressourcenfreigabe oder ordnet die Ressource einer vorhandenen Freigabe zu. Durch die Verknüpfung mit bestehenden Aktien reduziert Lake Formation die Anzahl der Einladungen zur gemeinsamen Nutzung von Ressourcen, die ein Verbraucher annehmen muss. Version 5 optimiert die RAM-Nutzung weiter, indem auf Platzhaltern basierende Ressourcenmuster anstelle von einzelnen Ressourcenzuordnungen verwendet werden, wodurch die Ressourcenzuordnungen pro gemeinsam genutzter Ressource erheblich reduziert werden.

## Aktivieren Sie AWS RAM Freigaben über TBAC oder geben Sie Ressourcen direkt für Prinzipale frei
<a name="ram-tbac-direct-iam-version"></a>

Um Ressourcen direkt mit IAM-Prinzipalen in einem anderen Konto zu teilen oder um kontenübergreifende TBAC-Freigaben für Organizations oder Organisationseinheiten zu aktivieren, müssen Sie die Einstellungen für die **kontenübergreifende Version auf Version 3** aktualisieren. Weitere Informationen AWS RAM zu Ressourcenlimits finden Sie unter. [Bewährte Methoden und Überlegungen für den kontenübergreifenden Datenaustausch](cross-account-notes.md)

### Erforderliche Berechtigungen für die Aktualisierung der kontoübergreifenden Versionseinstellungen
<a name="req-permissions-version-update"></a>

 Wenn ein kontoübergreifender Berechtigungsgeber IAM-Richtlinienberechtigungen `AWSLakeFormationCrossAccountManager` verwaltet hat, ist für die Rolle oder den Prinzipal des kontoübergreifenden Berechtigungsgewährers keine zusätzliche Berechtigungseinrichtung erforderlich. Wenn der kontoübergreifende Erteilende jedoch die verwaltete Richtlinie nicht verwendet, sollten der Rolle oder dem Prinzipal, der die Rechte erteilt hat, die folgenden IAM-Berechtigungen erteilt werden, damit die neue Version der kontoübergreifenden Erteilung erfolgreich ist.

------
#### [ JSON ]

****  

```
  
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
```

------

## Um die neue Version zu aktivieren
<a name="version-update-steps"></a>

Gehen Sie wie folgt vor, um die **Einstellungen der kontoübergreifenden Version** über die AWS Lake Formation Konsole oder die zu aktualisieren AWS CLI.

------
#### [ Console ]

1. Wählen Sie auf der Seite mit den Einstellungen für den **Datenkatalog** unter **Einstellungen für kontoübergreifende Versionen die Option Version** **2**, Version **3**, Version **4** oder Version **5.** Wenn Sie **Version 1** auswählen, verwendet Lake Formation den Standardmodus für die gemeinsame Nutzung von Ressourcen.   
![\[Auf dem Bildschirm werden die Berechtigungen für alle LF-Tags im Konto angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-account-version-setting.png)

1. Wählen Sie **Speichern**.

------
#### [ AWS Command Line Interface (AWS CLI) ]

Verwenden Sie den `put-data-lake-settings` AWS CLI Befehl, um den `CROSS_ACCOUNT_VERSION` Parameter einzustellen. Zulässige Werte sind 1, 2, 3, 4 und 5.

```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
```

------

**Wichtig**  
Sobald Sie **Version 2 oder Version** **3** ausgewählt haben, durchlaufen alle neuen Zuschüsse für **benannte Ressourcen** den neuen kontenübergreifenden Zuweisungsmodus. Um die AWS RAM Kapazität Ihrer vorhandenen kontoübergreifenden Anteile optimal zu nutzen, empfehlen wir Ihnen, die mit der älteren Version gewährten Zuschüsse zu widerrufen und im neuen Modus erneut zu gewähren.

# Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS-Konten IAM-Prinzipale von externen Konten aus
<a name="cross-account-data-share-steps"></a>

Dieser Abschnitt enthält Anweisungen dazu, wie Sie einem externen Konto, einem IAM-Prinzipal, einer AWS Organisation oder einer Organisationseinheit AWS kontenübergreifende Berechtigungen für Datenkatalogressourcen gewähren können. Bei der Gewährung werden diese Ressourcen automatisch gemeinsam genutzt. 

**Topics**
+ [Datenaustausch mit tagbasierter Zugriffskontrolle](cross-account-TBAC.md)
+ [Kontoübergreifender Datenaustausch mithilfe der benannten Ressourcenmethode](cross-account-named-resource.md)

# Datenaustausch mit tagbasierter Zugriffskontrolle
<a name="cross-account-TBAC"></a>

AWS Lake Formation Tag-basierte Zugriffskontrolle (LF-TBAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In den folgenden Schritten wird erklärt, wie kontoübergreifende Berechtigungen mithilfe von LF-Tags erteilt werden. 

**Einrichtung für das Konto erforderlich producer/grantor**

1. LF-Tags hinzufügen.

   1. Melden Sie sich bei der Lake Formation Console als Data Lake-Administrator oder LF-Tag-Ersteller an.

   1. Wählen Sie in der linken Navigationsleiste **Berechtigungen** und **LF-Tags** und Berechtigungen aus.

   1. Wählen Sie LF-Tag **hinzufügen**.

      Eine ausführliche Anleitung zum Erstellen von LF-Tags finden Sie unter. [LF-Tags erstellen](TBAC-creating-tags.md)

1. Erteilen **Sie** IAM-Prinzipalen in Ihrem Konto oder externen Konten die Berechtigungen Describe and/or **Associate** mit **LF-Tag-Schlüssel-Wert-Paaren**.

   Die Erteilung von Berechtigungen für **LF-Tag-Schlüssel-Wert-Paare** ermöglicht es den Prinzipalen, die LF-Tags einzusehen und sie den Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zuzuweisen.

1. Als Nächstes kann der Data Lake-Administrator oder ein IAM-Prinzipal mit **Associate-Berechtigung** das LF-Tag Datenbanken, Tabellen oder Spalten zuweisen. Weitere Informationen finden Sie unter [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md).

1. Als Nächstes erteilen Sie externen Konten mithilfe von LF-Tag-Ausdrücken Datenberechtigungen. Dadurch kann der Empfänger oder Empfänger der Berechtigungen auf die Datenkatalogressource (n) zugreifen, die mit denselben Schlüsseln und Werten gekennzeichnet sind.

   1. Wählen Sie im Navigationsbereich die Optionen **Berechtigungen** und **Datenberechtigungen** aus.

   1. Wählen Sie **Grant (Erteilen)**.

   1. Wählen Sie auf der Seite **Berechtigungen gewähren** für **Principals** die Option **Externe Konten** aus und geben Sie die AWS-Konto Empfänger-ID oder die IAM-Rolle des Prinzipals oder den Amazon-Ressourcennamen (ARN) für den Prinzipal (Principal-ARN) ein, wenn Sie einem externen Prinzipal eine direkte kontoübergreifende Gewährung gewähren. Nachdem Sie die Konto-ID eingegeben haben, müssen **Sie die Eingabetaste** drücken.  
![\[Der Bildschirm „Genehmigung erteilen“ mit den angegebenen Schlüsselwertpaaren für externes Konto und LF-Tag.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-acct-grant-tags.png)

   1. Wählen Sie für **LF-Tags oder Katalogressourcen die Option Ressourcen, denen** LF-Tags **zugeordnet sind (empfohlen**). 

      1. **Wählen Sie die Option **LF-Tag-Schlüssel-Wert-Paare oder Gespeicherte LF-Tag-Ausdrücke**.**

      1. **Wenn Sie **LF-Tag-Schlüssel-Wert-Paare wählen, geben Sie den Schlüssel und die Werte des LF-Tags** ein, das der Datenkatalogressource** zugeordnet ist, die mit dem **Konto des Empfängers** gemeinsam genutzt wird. 

         Dem Empfänger werden Berechtigungen für die Datenkatalogressourcen gewährt, denen im LF-Tag-Ausdruck ein passendes LF-Tag zugewiesen wurde. Wenn der LF-Tag-Ausdruck mehrere Werte pro Tag-Schlüssel angibt, kann jeder der Tag-Werte übereinstimmen. 

   1. Wählen Sie die Berechtigungen auf Datenbank- oder Tabellenebene aus, die für Ressourcen gewährt werden sollen, die dem LF-Tag-Ausdruck entsprechen.
**Wichtig**  
Da der Data Lake-Administrator den Prinzipalen im Empfängerkonto Berechtigungen für gemeinsam genutzte Ressourcen gewähren muss, müssen Sie mit der Option Grant immer kontoübergreifende Berechtigungen gewähren. 

      Weitere Informationen finden Sie unter [Erteilen von LF-Tag-Berechtigungen über die Konsole](TBAC-granting-tags-console.md).
**Anmerkung**  
**Prinzipalen, die direkte kontoübergreifende Zuschüsse erhalten, steht die Option „Gewährbare Berechtigungen“ nicht zur Verfügung.**

**Einrichtung für das Konto erforderlich receiving/grantee**

1. Melden Sie sich bei der Lake Formation Console als Data Lake-Administrator des Verbraucherkontos an.

1.  Als Nächstes erhalten Sie den Ressourcenanteil im Kundenkonto. 

   1.  Öffnen Sie die AWS RAM Konsole. 

   1.  Wählen Sie im Navigationsbereich unter **Für mich freigegeben** die Option **Resource Shares** aus.

   1.  Wählen Sie die Ressourcenfreigaben aus und klicken Sie auf **Ressourcenfreigabe akzeptieren**. 

1. Wenn Sie eine Ressource mit einem anderen Konto teilen, gehört die Ressource immer noch zum Produzentenkonto und ist in der Athena-Konsole nicht sichtbar. Um die Ressource in der Athena-Konsole sichtbar zu machen, müssen Sie einen Ressourcenlink erstellen, der auf die gemeinsam genutzte Ressource verweist. Anweisungen zum Erstellen eines Ressourcenlinks finden Sie unter [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalogtabelle erstellen](create-resource-link-table.md) und [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalog-Datenbank erstellen](create-resource-link-database.md)

   1.  Wählen Sie im Datenkatalog die Option **Datenbanken** oder **Tabellen** aus.

   1. Wählen Sie auf der Databases/Tables Seite den Link **Erstellen**, **Ressource** aus. 

   1. Geben Sie die folgenden Informationen für einen Datenbankressourcen-Link ein:
      + **Name des Ressourcenlinks** — Ein eindeutiger Name für den Ressourcenlink.
      + **Zielkatalog** — Der Katalog, in dem Sie den Ressourcenlink erstellen. 
      + **Gemeinsam genutzte Datenbankregion** — Die Region der Datenbank, die für Sie freigegeben wurde, wenn Sie den Ressourcenlink in einer anderen Region erstellen.
      + **Gemeinsam genutzte Datenbank** — Wählen Sie die gemeinsam genutzte Datenbank aus.
      + **Katalog-ID der gemeinsam genutzten Datenbank** — Geben Sie die Katalog-ID für die gemeinsam genutzte Datenbank ein.

   1.  Wählen Sie **Erstellen** aus. Sie können den neu erstellten Ressourcenlink in der Datenbankliste sehen. 

   In ähnlicher Weise können Sie einen Ressourcenlink zu einer gemeinsam genutzten Tabelle erstellen.

1. Erteilen Sie nun den IAM-Prinzipalen, die Sie die Ressource gemeinsam nutzen, die **Beschreibungsberechtigung** für den Ressourcenlink.

   1. **Wählen Sie auf der Seite **Datenbanken/Tabellen** den Ressourcenlink aus, und wählen Sie im Menü **Aktionen** die Option Gewähren aus.** 

   1. Wählen Sie im Abschnitt **Berechtigungen gewähren** die Option **IAM-Benutzer** und -Rollen aus.

   1. Wählen Sie die IAM-Rolle aus, der Sie Zugriff auf den Ressourcenlink gewähren möchten.

   1. Wählen Sie im Abschnitt Berechtigungen für **Ressourcenlinks** die Option **Beschreiben** aus.

   1. Wählen Sie **Grant (Erteilen)**.

1. Erteilen Sie als Nächstes den Prinzipalen im Verbraucherkonto **LF-Tag-Schlüsselwertberechtigungen**.

   Sie sollten die LF-Tags, die mit Ihnen geteilt wurden, im Verbraucherkonto auf der Lake Formation Formation-Konsole unter **Berechtigungen, **LF-Tags** und Berechtigungen** finden können. Sie können von Grantor geteilte Tags mit Ressourcen verknüpfen, die über das Grantor-Konto gemeinsam genutzt wurden. Dazu gehören: Datenbanken, Tabellen und Spalten. Sie können anderen Prinzipalen weitere Berechtigungen für die Ressourcen gewähren.  
![\[Auf dem Bildschirm werden die Berechtigungen für LF-Tags im Konto angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/lf-tag-permissions.png)

   1.  **Wählen Sie im Navigationsbereich unter **Berechtigungen, Datenberechtigungen** **die Option Grant** aus.** 

   1.  Wählen Sie auf der Seite **Berechtigungen gewähren** die Option **IAM-Benutzer und -Rollen** aus. 

   1. Wählen Sie als Nächstes die IAM-Benutzer und -Rollen in Ihrem Konto aus, um Zugriff auf die gemeinsam genutzten Datenbanken/Tabellen zu gewähren.

   1. **Wählen Sie als Nächstes für **LF-Tags oder Katalogressourcen die Option Ressourcen**, denen LF-Tags zugeordnet sind.**

   1.  Wählen Sie als Nächstes den Schlüssel und die Werte des LF-Tags aus, das mit Ihnen geteilt wird. 

   1.  Wählen Sie als Nächstes die Datenbank- und Tabellenberechtigungen aus, die Sie den IAM-Benutzern und -Rollen gewähren möchten. Sie können auch **Grantable Permissions** auswählen, sodass die IAM-Benutzer und -Rollen anderen Benutzer/Rollen Berechtigungen gewähren können. 

   1.  Wählen Sie **Grant (Erteilen)**. 

   1. Sie können die erteilten Berechtigungen unter **Datenberechtigungen** in der Lake Formation Formation-Konsole einsehen.

# Kontoübergreifender Datenaustausch mithilfe der benannten Ressourcenmethode
<a name="cross-account-named-resource"></a>

Sie können direkt den Hauptbenutzern des anderen AWS Kontos oder externen AWS-Konten Benutzern oder Berechtigungen erteilen. AWS Organizations Die Erteilung Lake Formation Formation-Berechtigungen an Organizations oder Organisationseinheiten entspricht der Erteilung der Erlaubnis AWS-Konto an alle Mitglieder dieser Organisation oder Organisationseinheit. 

Wenn Sie externen Konten oder Organisationen Berechtigungen gewähren, müssen Sie die Option **Erteilbare Berechtigungen** einbeziehen. Nur der Data Lake-Administrator im externen Konto kann auf die gemeinsam genutzten Ressourcen zugreifen, bis der Administrator anderen Prinzipalen im externen Konto Berechtigungen für die gemeinsam genutzten Ressourcen erteilt.

**Anmerkung**  
Die Option „**Gewährbare Berechtigungen**“ wird nicht unterstützt, wenn IAM-Prinzipalen direkt von externen Konten aus Berechtigungen erteilt werden.

Folgen Sie den Anweisungen unter[Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode](granting-database-permissions.md), um kontoübergreifende Berechtigungen mithilfe der benannten Ressourcenmethode zu gewähren.

 Das folgende Video zeigt, wie Sie Daten mit einer AWS Organisation teilen können, die Lake Formation verwendet. 

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)


# Erteilen von Berechtigungen für eine Datenbank oder Tabelle, die mit Ihrem Konto geteilt wird
<a name="regranting-shared-resources"></a>

Nachdem eine Data Catalog-Ressource, die zu einem anderen AWS Konto gehört, für Ihr AWS Konto freigegeben wurde, können Sie als Data Lake-Administrator anderen Prinzipalen in Ihrem Konto Berechtigungen für die gemeinsam genutzte Ressource gewähren. Sie können jedoch anderen AWS Konten oder Organisationen keine Berechtigungen für die Ressource gewähren.

Sie können die AWS Lake Formation Konsole, die API oder die AWS Command Line Interface (AWS CLI) verwenden, um die Berechtigungen zu erteilen.

**Um Berechtigungen für eine gemeinsam genutzte Datenbank zu gewähren (benannte Ressourcenmethode, Konsole)**
+ Folgen Sie den Anweisungen in [Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode](granting-database-permissions.md). Stellen Sie sicher, dass Sie in der **Datenbankliste** unter **LF-Tags oder Katalogressourcen** die Datenbank im externen Konto auswählen und keinen Ressourcenlink für die Datenbank.

  Wenn Sie die Datenbank nicht in der Liste der Datenbanken sehen, stellen Sie sicher, dass Sie die Einladung AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung von Ressourcen für die Datenbank akzeptiert haben. Weitere Informationen finden Sie unter [Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md).

  Folgen Sie für die `ALTER` Berechtigungen `CREATE_TABLE` und den Anweisungen unter und achten Sie darauf[Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md), dass Sie die ID des Eigentümerkontos in das Feld **Standort des registrierten Kontos** eingeben.

**So gewähren Sie Berechtigungen für eine gemeinsam genutzte Tabelle (benannte Ressourcenmethode, Konsole)**
+ Folgen Sie den Anweisungen in [Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode](granting-table-permissions.md). Stellen Sie sicher, dass Sie in der **Datenbankliste** unter **LF-Tags oder Katalogressourcen** die Datenbank im externen Konto auswählen und keinen Ressourcenlink für die Datenbank.

  Wenn Sie die Tabelle nicht in der Tabellenliste sehen, stellen Sie sicher, dass Sie die Einladung zur gemeinsamen Nutzung der AWS RAM Ressource für die Tabelle akzeptiert haben. Weitere Informationen finden Sie unter [Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md).

  Folgen Sie für die `ALTER` Erteilung der Genehmigung außerdem den Anweisungen unter und achten Sie darauf[Erteilen von Datenspeicherberechtigungen (dasselbe Konto)](granting-location-permissions-local.md), dass Sie die Konto-ID des Besitzers in das Feld **Standort des registrierten Kontos** eingeben.

**So gewähren Sie Berechtigungen für gemeinsam genutzte Ressourcen (LF-TBAC-Methode, Konsole)**
+ Folgen Sie den Anweisungen in [Erteilen von Datenkatalogberechtigungen](granting-catalog-perms-TBAC.md#granting-cat-perms-TBAC-console). Gewähren Sie im Abschnitt **LF-Tags oder Katalogressourcen** genau den LF-Tag-Ausdruck, den das externe Konto Ihrem Konto gewährt hat, oder eine Teilmenge dieses Ausdrucks.

  Wenn beispielsweise ein externes Konto Ihrem Konto mit der Grant-Option den LF-Tag-Ausdruck `module=customers AND environment=production` gewährt hat, können Sie als Data Lake-Administrator denselben Ausdruck oder `module=customers` oder `environment=production` einem Prinzipal in Ihrem Konto gewähren. Sie können nur dieselben oder nur einen Teil der Lake Formation Formation-Berechtigungen (z. B.,, usw.) gewähren `SELECT``ALTER`, die für Ressourcen über den LF-Tag-Ausdruck erteilt wurden.

**Um Berechtigungen für eine gemeinsam genutzte Tabelle zu erteilen (benannte Ressourcenmethode,) AWS CLI**
+ Verwenden Sie einen Befehl ähnlich dem folgenden. In diesem Beispiel:
  + Ihre AWS Konto-ID lautet 1111-2222-3333.
  + Das Konto, dem die Tabelle gehört und das sie Ihrem Konto gewährt hat, ist 1234-5678-9012.
  + Die `SELECT` Berechtigung wird dem Benutzer für die gemeinsam genutzte Tabelle erteilt. `pageviews` `datalake_user1` Dieser Benutzer ist ein Hauptbenutzer in Ihrem Konto.
  + Die `pageviews` Tabelle befindet sich in der `analytics` Datenbank, die dem Konto 1234-5678-9012 gehört.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
  ```

  Beachten Sie, dass das Eigentümerkonto in der Eigenschaft im Argument angegeben werden muss. `CatalogId` `resource`

# Erteilen von Ressourcenverknüpfungsberechtigungen
<a name="granting-link-permissions"></a>

Gehen Sie wie folgt vor, um einem Prinzipal in Ihrem AWS Konto AWS Lake Formation Berechtigungen für eine oder mehrere Ressourcenlinks zu erteilen.

Nachdem Sie einen Ressourcenlink erstellt haben, können nur Sie ihn anzeigen und darauf zugreifen. (Dabei wird vorausgesetzt, dass „**Nur IAM-Zugriffssteuerung für neue Tabellen in dieser Datenbank verwenden**“ für die Datenbank nicht aktiviert ist.) Um anderen Hauptbenutzern in Ihrem Konto den Zugriff auf den Ressourcenlink zu ermöglichen, erteilen Sie mindestens die `DESCRIBE` entsprechende Berechtigung.

**Wichtig**  
Durch das Erteilen von Berechtigungen für einen Ressourcenlink werden keine Berechtigungen für die (verknüpfte) Zieldatenbank oder -tabelle gewährt. Sie müssen Berechtigungen für das Ziel separat gewähren.

Sie können Berechtigungen mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface (AWS CLI) gewähren.

------
#### [ console ]

**So gewähren Sie Resource Link-Berechtigungen mithilfe der Lake Formation Formation-Konsole**

1. Führen Sie eine der folgenden Aktionen aus:
   + Gehen Sie für Links zu Datenbankressourcen wie unter[Erteilen von Datenbankberechtigungen mit der benannten Ressourcenmethode](granting-database-permissions.md). beschrieben vor, um Folgendes zu tun:

     1.  Wählen Sie den Ressourcenlink aus der Datenbankliste unter Datenkatalog, **Datenbanken** aus. 

     1.  Wählen Sie **Grant**, um die Seite „**Berechtigungen gewähren**“ zu öffnen.

     1.  Geben Sie Principals an, denen Berechtigungen erteilt werden sollen.

     1.  Die Felder **Kataloge** und **Datenbanken** sind gefüllt.
   + Gehen Sie bei Links [Erteilen von Tabellenberechtigungen mithilfe der benannten Ressourcenmethode](granting-table-permissions.md) zu Tabellenressourcen wie folgt vor:

     1.  Wählen Sie den Ressourcenlink aus der Tabellenliste unter Datenkatalog, **Tabellen** aus.

     1. Öffnen Sie die Seite „**Berechtigungen gewähren**“.

     1.  Geben Sie die Hauptbenutzer an.

     1.  Die Felder **Kataloge**, **Datenbanken**, **Tabellen** sind gefüllt.

     1.  Geben Sie die Hauptbenutzer an.

1. Wählen Sie unter **Berechtigungen** die zu erteilenden Berechtigungen aus. Wählen Sie optional erteilbare Berechtigungen aus.  
![\[Der Abschnitt „Berechtigungen“ enthält eine einzelne Kachel. Die Kacheln enthalten eine Gruppe von Kontrollkästchen, mit denen Ressourcenverknüpfungsberechtigungen erteilt werden können. Zu den Kontrollkästchen gehören Drop und Describe. Unter dieser Gruppe befindet sich eine weitere Gruppe derselben Kontrollkästchen für erteilbare Berechtigungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-resource-link-permissions-TBAC.png)

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ AWS CLI ]

**Um Ressourcenverknüpfungsberechtigungen zu gewähren, verwenden Sie AWS CLI**
+ Führen Sie den `grant-permissions` Befehl aus und geben Sie einen Ressourcenlink als Ressource an.  
**Example**  

  In diesem Beispiel wird `DESCRIBE` `datalake_user1` dem Benutzer für die Tabelle ein Ressourcenlink `incidents-link` in der Datenbank `issues` im AWS Konto 1111-2222-3333 gewährt.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
  ```

------

**Weitere Informationen finden Sie unter:**  
 [Ressourcenlinks erstellen](creating-resource-links.md) 
 [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md) 

# Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle
<a name="cross-account-read-data"></a>

Gehen Sie davon aus, dass AWS Konto A gemeinsam mit Konto B eine Datenkatalogtabelle verwendet, z. B. indem Konto B `SELECT` mit der Grant-Option für die Tabelle eine Genehmigung erteilt wird, damit ein Hauptbenutzer in Konto B die der gemeinsam genutzten Tabelle zugrunde liegenden Daten lesen kann, müssen die folgenden Bedingungen erfüllt sein:
+ Der Data Lake-Administrator in Konto B muss die gemeinsame Nutzung akzeptieren. (Dies ist nicht erforderlich, wenn sich die Konten A und B in derselben Organisation befinden oder wenn die Gewährung mit der Tag-basierten Zugriffskontrollmethode von Lake Formation erfolgt ist.)
+ Der Data Lake-Administrator muss dem Principal erneut die Lake Formation `SELECT` Formation-Berechtigung erteilen, die Konto A für die gemeinsam genutzte Tabelle erteilt hat.
+ Der Principal muss über die folgenden IAM-Berechtigungen für die Tabelle, die Datenbank, die sie enthält, und das Konto A Data Catalog verfügen.
**Anmerkung**  
In der folgenden IAM-Richtlinie:  
*<account-id-A>*Ersetzen Sie es durch die AWS Konto-ID von Konto A.
*<region>*Durch eine gültige Region ersetzen.
*<database>*Ersetzen Sie es durch den Namen der Datenbank in Konto A, die die gemeinsam genutzte Tabelle enthält.
*<table>*Ersetzen Sie durch den Namen der gemeinsam genutzten Tabelle.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "glue:GetTable",
              "glue:GetTables",
              "glue:GetPartition",
              "glue:GetPartitions",
              "glue:BatchGetPartition",
              "glue:GetDatabase",
              "glue:GetDatabases"
             ],
             "Resource": [
              "arn:aws:glue:us-east-1:111122223333:table/<database>/<table>",
              "arn:aws:glue:us-east-1:111122223333:database/<database>",
              "arn:aws:glue:us-east-1:111122223333:catalog"
             ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "lakeformation:GetDataAccess"
             ],
            "Resource": [
              "*"
             ]
      }
     ]
  }
  ```

------

**Weitere Informationen finden Sie unter:**  
[Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md)

# Kontoübergreifende Protokollierung CloudTrail
<a name="cross-account-logging"></a>

Lake Formation bietet einen zentralen Prüfpfad für alle kontenübergreifenden Zugriffe auf Daten in Ihrem Data Lake. Wenn ein AWS Empfängerkonto auf Daten in einer gemeinsam genutzten Tabelle zugreift, kopiert Lake Formation das CloudTrail Ereignis in die Protokolle des Eigentümerkontos CloudTrail . Zu den kopierten Ereignissen gehören Abfragen von Daten durch integrierte Services wie Amazon Athena Amazon Redshift Spectrum und Datenzugriffe durch AWS Glue Jobs.

CloudTrail Ereignisse für kontenübergreifende Operationen mit Datenkatalogressourcen werden auf ähnliche Weise kopiert.

Wenn Sie als Ressourcenbesitzer die Protokollierung auf Objektebene in Amazon S3 aktivieren, können Sie Abfragen ausführen, die CloudTrail S3-Ereignisse mit Lake Formation CloudTrail Formation-Ereignissen verknüpfen, um die Konten zu ermitteln, die auf Ihre S3-Buckets zugegriffen haben.

**Topics**
+ [Einbeziehung von Hauptidentitäten in kontoübergreifende Protokolle CloudTrail](#cross-account-logging-optin)
+ [CloudTrail Logs für den kontoübergreifenden Zugriff auf Amazon S3 abfragen](#cross-account-logging-s3)

## Einbeziehung von Hauptidentitäten in kontoübergreifende Protokolle CloudTrail
<a name="cross-account-logging-optin"></a>

Standardmäßig enthalten kontoübergreifende CloudTrail Ereignisse, die zu den Protokollen des Empfängers der gemeinsam genutzten Ressource hinzugefügt und in die Protokolle des Ressourcenbesitzers kopiert wurden, nur die AWS Prinzipal-ID des externen Kontoprinzipals — nicht den menschenlesbaren Amazon-Ressourcennamen (ARN) des Prinzipals (Principal-ARN). Wenn Sie Ressourcen innerhalb vertrauenswürdiger Grenzen gemeinsam nutzen, z. B. innerhalb derselben Organisation oder desselben Teams, können Sie sich dafür entscheiden, den Haupt-ARN in die CloudTrail Ereignisse aufzunehmen. Mit Konten von Ressourcenbesitzern können dann die Principals in den Empfängerkonten nachverfolgt werden, die auf ihre eigenen Ressourcen zugreifen.

**Wichtig**  
Wenn Sie als Empfänger gemeinsam genutzter Ressourcen den Prinzipal-ARN in Ereignissen in Ihren eigenen CloudTrail Protokollen sehen möchten, müssen Sie sich dafür entscheiden, den Prinzipal-ARN mit dem Besitzerkonto zu teilen.  
Wenn der Datenzugriff über einen Ressourcenlink erfolgt, werden zwei Ereignisse im Empfängerkonto der gemeinsam genutzten Ressource protokolliert: eines für den Zugriff auf die Ressourcenverknüpfung und eines für den Zugriff auf die Zielressource. Das Ereignis für den Resource Link-Zugriff *beinhaltet* den Prinzipal-ARN. Das Ereignis für den Zugriff auf die Zielressource beinhaltet nicht den Prinzipal-ARN ohne das Opt-In. Das Ereignis für den Zugriff auf den Ressourcenlink wird nicht auf das Besitzerkonto kopiert.

Im Folgenden finden Sie einen Auszug aus einem kontoübergreifenden CloudTrail Standardereignis (ohne Opt-In). Das Konto, das den Datenzugriff durchführt, ist 1111-2222-3333. Dies ist das Protokoll, das sowohl im anrufenden Konto als auch im Konto des Ressourcenbesitzers angezeigt wird. Lake Formation füllt im kontenübergreifenden Fall Logs in beiden Konten aus.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

Wenn Sie sich als Nutzer gemeinsam genutzter Ressourcen dafür entscheiden, den Haupt-ARN einzubeziehen, lautet der Auszug wie folgt. Das `lakeFormationPrincipal` Feld steht für die Endrolle oder den Benutzer, der die Abfrage über Amazon Athena, Amazon Redshift Spectrum oder AWS Glue Jobs ausführt.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

**Um sich dafür zu entscheiden, dass der Hauptbenutzer in kontoübergreifende Logs ARNs aufgenommen wird CloudTrail**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als `Administrator` Benutzer oder als Benutzer mit der `Administrator Access` IAM-Richtlinie an.

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Geben Sie auf der Seite mit den **Datenkatalogeinstellungen** im AWS CloudTrail Abschnitt **Standardberechtigungen für** für **Ressourcenbesitzer** ein oder mehrere AWS Ressourcenbesitzerkonten IDs ein.

   Drücken **Sie nach jeder Konto-ID die Eingabetaste**.

1. Wählen Sie **Speichern**.

   Jetzt enthalten kontenübergreifende CloudTrail Ereignisse, die in den Protokollen sowohl für den Empfänger der gemeinsam genutzten Ressource als auch für den Ressourcenbesitzer gespeichert sind, den Haupt-ARN.

## CloudTrail Logs für den kontoübergreifenden Zugriff auf Amazon S3 abfragen
<a name="cross-account-logging-s3"></a>

Als Eigentümer gemeinsam genutzter Ressourcen können Sie CloudTrail S3-Protokolle abfragen, um die Konten zu ermitteln, die auf Ihre Amazon S3-Buckets zugegriffen haben (vorausgesetzt, Sie haben die Protokollierung auf Objektebene in Amazon S3 aktiviert). Dies gilt nur für S3-Standorte, die Sie bei Lake Formation registriert haben. Wenn Benutzer gemeinsam genutzter Ressourcen sich dafür entscheiden, Principal ARNs in Lake Formation CloudTrail Formation-Logs aufzunehmen, können Sie die Rollen oder Benutzer bestimmen, die auf die Buckets zugegriffen haben.

Wenn Sie Abfragen mit ausführen Amazon Athena, können Sie Lake Formation CloudTrail Formation-Ereignisse und CloudTrail S3-Ereignisse in der Eigenschaft Sitzungsname verknüpfen. Abfragen können auch Lake Formation Formation-Ereignisse nach `eventName="GetDataAccess"` und S3-Ereignisse nach `eventName="Get Object"` oder filtern`eventName="Put Object"`.

Im Folgenden finden Sie einen Auszug aus einem kontoübergreifenden CloudTrail Ereignis in Lake Formation, bei dem auf Daten an einem registrierten S3-Standort zugegriffen wurde.

```
{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}
```

Der `lakeFormationRoleSessionName` Schlüsselwert,`AWSLF-00-GL-111122223333-B8JSAjo5QA`, kann mit dem Sitzungsnamen im `principalId` Schlüssel des CloudTrail S3-Ereignisses verknüpft werden. Das Folgende ist ein Auszug aus dem CloudTrail S3-Ereignis. Es zeigt den Speicherort des Sitzungsnamens.

```
{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}
```

Der Sitzungsname ist wie folgt formatiert:

```
AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
```

**`version-number`**  
Die aktuelle Version dieses Formats. `00` Wenn sich das Format des Sitzungsnamens ändert, wird es die nächste Version sein`01`.

**`query-engine-code`**  
Gibt die Entität an, die auf die Daten zugegriffen hat. Aktuelle Werte sind:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/cross-account-logging.html)

**`account-id`**  
Die AWS Konto-ID, die Anmeldeinformationen von Lake Formation angefordert hat.

**`suffix`**  
Eine zufällig generierte Zeichenfolge.

# Verwaltung kontenübergreifender Berechtigungen sowohl AWS Glue mit Lake Formation als auch mit Lake Formation
<a name="hybrid-cross-account"></a>

Es ist möglich, kontenübergreifenden Zugriff auf Datenkatalogressourcen und zugrunde liegende Daten zu gewähren, indem Sie entweder oder AWS Glue verwenden. AWS Lake Formation

In gewähren Sie kontoübergreifenden ZugriffAWS Glue, indem Sie eine Datenkatalog-Ressourcenrichtlinie erstellen oder aktualisieren. In Lake Formation gewähren Sie kontoübergreifende Berechtigungen, indem Sie das Lake Formation `GRANT/REVOKE` Formation-Berechtigungsmodell und den `Grant Permissions` API-Vorgang verwenden.

**Tipp**  
Wir empfehlen, sich ausschließlich auf die Berechtigungen von Lake Formation zu verlassen, um Ihren Data Lake zu sichern.

Sie können kontoübergreifende Zuschüsse von Lake Formation in der Lake Formation Formation-Konsole oder der Konsole AWS Resource Access Manager (AWS RAM) anzeigen. Auf diesen Konsolenseiten werden jedoch keine kontoübergreifenden Berechtigungen angezeigt, die durch die AWS Glue Datenkatalog-Ressourcenrichtlinie gewährt wurden. In ähnlicher Weise können Sie die kontoübergreifenden Zuweisungen in der Datenkatalog-Ressourcenrichtlinie auf der **Einstellungsseite** der AWS Glue Konsole anzeigen, aber auf dieser Seite werden die mit Lake Formation gewährten kontoübergreifenden Berechtigungen nicht angezeigt.

Um sicherzustellen, dass Sie bei der Anzeige und Verwaltung von kontoübergreifenden Berechtigungen keine Zuschüsse verpassen, AWS Glue fordern Lake Formation und Sie auf, die folgenden Aktionen durchzuführen, um anzuzeigen, dass Sie sich der kontenübergreifenden Zuschüsse sowohl von Lake Formation als auch bewusst sind und diese zulassen. AWS Glue

**Bei der Gewährung kontenübergreifender Berechtigungen mithilfe der AWS Glue Datenkatalog-Ressourcenrichtlinie**  
Wenn Ihr Konto (Förderkonto oder Produzentenkonto) keine kontoübergreifenden Zuschüsse gewährt hat, die AWS RAM zur gemeinsamen Nutzung der Ressourcen verwendet werden, können Sie eine Datenkatalog-Ressourcenrichtlinie wie gewohnt unter speichern. AWS Glue Wenn jedoch bereits Zuschüsse gewährt wurden, die gemeinsame Nutzung von AWS RAM Ressourcen beinhalten, müssen Sie einen der folgenden Schritte ausführen, um sicherzustellen, dass das Speichern der Ressourcenrichtlinie erfolgreich ist:
+ Wenn Sie die Ressourcenrichtlinie auf der Seite **Einstellungen** der AWS Glue Konsole speichern, gibt die Konsole eine Warnung aus, dass die Berechtigungen in der Richtlinie zusätzlich zu den über die Lake Formation Formation-Konsole gewährten Berechtigungen gelten. Sie müssen **Fortfahren** wählen, um die Richtlinie zu speichern.
+ Wenn Sie die Ressourcenrichtlinie mithilfe des `glue:PutResourcePolicy` API-Vorgangs speichern, müssen Sie das `EnableHybrid` Feld auf '`TRUE`' (type = string) setzen.

  Um eine bestehende Ressourcenrichtlinie zu aktualisieren, rufen Sie mithilfe des `glue:GetResourcePolicy` API-Vorgangs zunächst Ihre aktuelle Richtlinie ab und ändern Sie sie dann nach Bedarf, bevor Sie sie aufrufen`glue:PutResourcePolicy`. 
**Anmerkung**  
Wenn Sie AWS Glue Ressourcenrichtlinien für den kontoübergreifenden Zugriff erstellen, gewähren Sie nur die Mindestberechtigungen, die für Ihren speziellen Anwendungsfall erforderlich sind.

  *Weitere Informationen finden Sie unter [PutResourcePolicy Action (Python: put\$1resource\$1policy)](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-PutResourcePolicy) im Developer Guide.AWS Glue *

**Bei der Gewährung kontoübergreifender Berechtigungen mithilfe der Lake Formation Formation-Methode für benannte Ressourcen**  
Wenn es in Ihrem Konto (Produzentenkonto) keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie vorhanden ist, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. *<region>*Ersetzen Sie es durch einen gültigen Regionsnamen und *<account-id>* durch Ihre AWS Konto-ID (Herstellerkonto-ID).

```
    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }
```

Ohne diese zusätzliche Erklärung ist der Lake Formation Formation-Zuschuss erfolgreich, wird jedoch gesperrt AWS RAM, und das Empfängerkonto kann nicht auf die gewährte Ressource zugreifen.

**Wichtig**  
Wenn Sie die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation verwenden, um kontenübergreifende Zuschüsse zu gewähren, benötigen Sie eine Datenkatalog-Ressourcenrichtlinie mit mindestens den unter angegebenen Berechtigungen. [Voraussetzungen](cross-account-prereqs.md)

**Weitere Informationen finden Sie unter:**  
[Zugriffskontrolle für Metadaten](access-control-metadata.md)(für eine Diskussion der benannten Ressourcenmethode im Vergleich zur Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation).
[Tabellen und Datenbanken des gemeinsamen Datenkatalogs anzeigen](viewing-available-shared-resources.md)
[Arbeiten mit Datenkatalogeinstellungen auf der AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/console-data-catalog-settings.html) *Konsole im Entwicklerhandbuch AWS Glue *
[Gewähren von kontenübergreifendem Zugriff](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) im *AWS Glue Entwicklerhandbuch* (für Beispielrichtlinien für Datenkatalog-Ressourcen)

# Alle kontenübergreifenden Zuschüsse mithilfe des GetResourceShares API-Vorgangs anzeigen
<a name="cross-account-getresourcepolicies"></a>

Wenn Ihr Unternehmen kontenübergreifende Berechtigungen sowohl mithilfe einer AWS Glue Data Catalog Ressourcenrichtlinie als auch mithilfe von Lake Formation Formation-Zuschüssen gewährt, besteht die einzige Möglichkeit, alle kontenübergreifenden Zuschüsse an einem Ort anzuzeigen, darin, den `glue:GetResourceShares` API-Vorgang zu verwenden.

Wenn Sie Lake Formation mithilfe der benannten Ressourcenmethode kontenübergreifend Berechtigungen gewähren, erstellt AWS Resource Access Manager (AWS RAM) eine AWS Identity and Access Management (IAM-) Ressourcenrichtlinie und speichert sie in Ihrem AWS Konto. Die Richtlinie gewährt die für den Zugriff auf die Ressource erforderlichen Berechtigungen. AWS RAM erstellt für jeden kontenübergreifenden Zuschuss eine separate Ressourcenrichtlinie. Sie können all diese Richtlinien mithilfe des `glue:GetResourceShares` API-Vorgangs anzeigen.

**Anmerkung**  
Dieser Vorgang gibt auch die Datenkatalog-Ressourcenrichtlinie zurück. Wenn Sie jedoch die Metadatenverschlüsselung in den Datenkatalogeinstellungen aktiviert haben und keine Berechtigung für den AWS KMS Schlüssel haben, gibt der Vorgang die Datenkatalog-Ressourcenrichtlinie nicht zurück.

**Um alle kontoübergreifenden Zuschüsse anzuzeigen**
+ Geben Sie den folgenden AWS CLI Befehl ein.

  ```
  aws glue get-resource-policies
  ```

Im Folgenden finden Sie ein Beispiel für eine Ressourcenrichtlinie, die AWS RAM erstellt und gespeichert wird, wenn Sie dem AWS Konto 1111-2222-3333 Berechtigungen für eine Tabelle `t` in der Datenbank `db1` gewähren.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
```

------

**Weitere Informationen finden Sie auch unter:**  
[GetResourceShares Action (Python: get\$1resource\$1policies](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-GetResourcePolicies)*) im Developer Guide AWS Glue *

# Zugreifen auf und Anzeigen von gemeinsam genutzten Datenkatalogtabellen und Datenbanken
<a name="viewing-shared-resources"></a>

Für den Data Lake-Administrator und für Principals, denen Berechtigungen erteilt wurden, werden Ressourcen, die mit Ihrem AWS Konto gemeinsam genutzt werden, im Datenkatalog so angezeigt, als wären sie Ressourcen in Ihrem Konto. In der Konsole wird das Konto angezeigt, dem die Ressource gehört.

Sie können Ressourcen, die mit Ihrem Konto geteilt werden, mithilfe der Lake Formation Formation-Konsole anzeigen. Sie können die Konsole AWS Resource Access Manager (AWS RAM) auch verwenden, um sowohl Ressourcen anzuzeigen, die mit Ihrem Konto gemeinsam genutzt wurden, als auch Ressourcen, die Sie mit anderen AWS Konten geteilt haben, indem Sie die benannte Ressourcenmethode verwenden.

**Wichtig**  
Wenn jemand die Methode der benannten Ressource verwendet, um Ihrem Konto oder Ihrer AWS Organisation kontenübergreifende Berechtigungen für eine Datenkatalogressource zu gewähren, verwendet Lake Formation den Dienst AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen. Wenn sich Ihr Konto in derselben AWS Organisation befindet wie das Erteilungskonto, steht Ihnen die gemeinsam genutzte Ressource sofort zur Verfügung.   
Wenn sich Ihr Konto jedoch nicht in derselben Organisation befindet, AWS RAM sendet es eine Einladung an Ihr Konto, um die gemeinsame Nutzung der Ressource anzunehmen oder abzulehnen. Um die gemeinsam genutzte Ressource verfügbar zu machen, muss der Data Lake-Administrator in Ihrem Konto die Einladung AWS RAM über die Konsole oder CLI annehmen.  
Die Lake Formation Formation-Konsole zeigt eine Warnung an, wenn eine Einladung zur gemeinsamen Nutzung von AWS RAM Ressourcen darauf wartet, akzeptiert zu werden. Nur Benutzer, die berechtigt sind, AWS RAM Einladungen anzusehen, erhalten die Warnung.

**Weitere Informationen finden Sie unter:**  
[Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS Konten](sharing-catalog-resources.md)
[Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md)
[Zugreifen auf die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle](cross-account-read-data.md)
[Zugriffskontrolle für Metadaten](access-control-metadata.md)(für Informationen zur benannten Ressourcenmethode im Vergleich zur LF-TBAC-Methode zur gemeinsamen Nutzung von Ressourcen.)

**Topics**
+ [Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md)
+ [Tabellen und Datenbanken des gemeinsamen Datenkatalogs anzeigen](viewing-available-shared-resources.md)

# Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM
<a name="accepting-ram-invite"></a>

Wenn eine Datenkatalogressource mit Ihrem AWS Konto geteilt wird und sich Ihr Konto nicht in derselben AWS Organisation wie das Freigabekonto befindet, haben Sie erst Zugriff auf die gemeinsam genutzte Ressource, wenn Sie eine Einladung zur Ressourcenfreigabe von AWS Resource Access Manager (AWS RAM) annehmen. Als Data Lake-Administrator müssen Sie zunächst AWS RAM nach ausstehenden Einladungen fragen und dann die Einladung annehmen.

Sie können die AWS RAM Konsole, die API oder AWS Command Line Interface (AWS CLI) verwenden, um Einladungen anzuzeigen und anzunehmen.

**Um eine Einladung zur gemeinsamen Nutzung von Ressourcen von AWS RAM (Konsole) aus anzusehen und anzunehmen**

1. Stellen Sie sicher, dass Sie über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen verfügen, um Einladungen zur gemeinsamen Nutzung von Ressourcen anzuzeigen und anzunehmen. 

   Informationen zu den empfohlenen IAM-Richtlinien für Data Lake-Administratoren finden Sie unter. [Berechtigungen des Data Lake-Administrators](permissions-reference.md#persona-dl-admin)

1. Folgen Sie den Anweisungen unter [Einladungen annehmen und ablehnen](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html#working-with-shared-invitation) im *AWS RAM Benutzerhandbuch*.

**So zeigen Sie eine Resource Share-Einladung von AWS RAM (AWS CLI) an und nehmen sie an**

1. Stellen Sie sicher, dass Sie über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen verfügen, um Einladungen zur gemeinsamen Nutzung von Ressourcen anzuzeigen und anzunehmen. 

   Informationen zu den empfohlenen IAM-Richtlinien für Data Lake-Administratoren finden Sie unter. [Berechtigungen des Data Lake-Administrators](permissions-reference.md#persona-dl-admin)

1. Geben Sie den folgenden Befehl ein, um ausstehende Einladungen zur gemeinsamen Nutzung von Ressourcen anzuzeigen.

   ```
   aws ram get-resource-share-invitations
   ```

   Die Ausgabe sollte folgendermaßen oder ähnlich aussehen.

   ```
   {
       "resourceShareInvitations": [
           {
               "resourceShareInvitationArn": "arn:aws:ram:us-east-1:111122223333:resource-share-invitation/a93aa60a-1bd9-46e8-96db-a4e72eec1d9f",
               "resourceShareName": "111122223333-123456789012-uswuU",
               "resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/2a4ab5fb-d859-4751-84f7-8760b35fc1fe",
               "senderAccountId": "111122223333",
               "receiverAccountId": "123456789012",
               "invitationTimestamp": 1589576601.79,
               "status": "PENDING"
           }
       ]
   }
   ```

   Notieren Sie sich den Status von`PENDING`.

1. Kopiert den Wert des `resourceShareInvitationArn` Schlüssels in die Zwischenablage.

1. Fügen Sie den Wert in den folgenden Befehl ein, ersetzen Sie ihn*<invitation-arn>*, und geben Sie den Befehl ein.

   ```
   aws ram accept-resource-share-invitation --resource-share-invitation-arn <invitation-arn>
   ```

   Die Ausgabe sollte folgendermaßen oder ähnlich aussehen.

   ```
   {
       "resourceShareInvitations": [
           {
               "resourceShareInvitationArn": "arn:aws:ram:us-east-1:111122223333:resource-share-invitation/a93aa60a-1bd9-46e8-96db-a4e72eec1d9f",
               "resourceShareName": "111122223333-123456789012-uswuU",
               "resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/2a4ab5fb-d859-4751-84f7-8760b35fc1fe",
               "senderAccountId": "111122223333",
               "receiverAccountId": "123456789012",
               "invitationTimestamp": 1589576601.79,
               "status": "ACCEPTED"
           }
       ]
   }
   ```

   Notieren Sie sich den Status von`ACCEPTED`.

# Tabellen und Datenbanken des gemeinsamen Datenkatalogs anzeigen
<a name="viewing-available-shared-resources"></a>

Sie können Ressourcen, die mit Ihrem Konto geteilt werden, mithilfe der Lake Formation Formation-Konsole oder AWS CLI anzeigen. Sie können auch die Konsole AWS Resource Access Manager (AWS RAM) oder die CLI verwenden, um sowohl Ressourcen anzuzeigen, die mit Ihrem Konto geteilt wurden, als auch Ressourcen, die Sie mit anderen AWS Konten geteilt haben.

**So zeigen Sie gemeinsam genutzte Ressourcen mit der Lake Formation Formation-Konsole an**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator oder als Benutzer an, dem Berechtigungen für eine gemeinsam genutzte Tabelle erteilt wurden.

1. Gehen Sie wie folgt vor, um Ressourcen anzuzeigen, die mit Ihrem AWS Konto gemeinsam genutzt werden:
   + Um Tabellen anzuzeigen, die mit Ihrem Konto gemeinsam genutzt werden, wählen Sie im Navigationsbereich **Tabellen** aus.
   + Um Datenbanken anzuzeigen, die mit Ihrem Konto gemeinsam genutzt werden, wählen Sie im Navigationsbereich **Datenbanken** aus.

   In der Konsole wird eine Liste der Datenbanken oder Tabellen angezeigt, die sich sowohl in Ihrem Konto befinden als auch mit Ihrem Konto gemeinsam genutzt werden. Bei Ressourcen, die mit Ihrem Konto geteilt werden, zeigt die Konsole die AWS Konto-ID des Besitzers in der Spalte **Besitzerkonto-ID** an (die dritte Spalte im folgenden Screenshot).  
![\[Auf der Tabellenseite werden verschiedene Besitzerkonten IDs für die Tabellen angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tables-with-shared.png)

1. Um Ressourcen anzuzeigen, die Sie mit anderen AWS Konten oder Organisationen geteilt haben, wählen Sie im Navigationsbereich **Datenberechtigungen** aus.

   Ressourcen, die Sie gemeinsam genutzt haben, werden auf der Seite **Datenberechtigungen** aufgeführt, wobei die externe Kontonummer in der Spalte **Hauptbenutzer** angezeigt wird, wie in der folgenden Abbildung dargestellt.  
![\[Auf der Seite Datenberechtigungen wird angezeigt, dass Ihr Konto einem externen Konto Berechtigungen für eine Tabelle gewährt hat. Die AWS Konto-ID befindet sich in der Spalte Principal.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/permissions-with-cross.png)

**Um gemeinsam genutzte Ressourcen mit der AWS RAM Konsole anzuzeigen**

1. Stellen Sie sicher, dass Sie über die erforderlichen AWS Identity and Access Management (IAM-) Berechtigungen zum Anzeigen gemeinsam genutzter Ressourcen verfügen. AWS RAM

   Sie benötigen mindestens die entsprechende Genehmigung. `ram:ListResources` Diese Berechtigung ist in der von AWS verwalteten Richtlinie enthalten. `AWSLakeFormationCrossAccountManager`

1. [Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS RAM Konsole zu Hause. https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/home)

1. Führen Sie eine der folgenden Aktionen aus:
   + Um die von Ihnen freigegebenen Ressourcen anzuzeigen, wählen Sie im Navigationsbereich unter **Von mir gemeinsam** genutzt die Option **Gemeinsam genutzte Ressourcen** aus.
   + Um Ressourcen anzuzeigen, die für Sie freigegeben wurden, wählen Sie im Navigationsbereich unter **Für mich freigegeben** die Option **Gemeinsam genutzte Ressourcen** aus.

# Ressourcenlinks erstellen
<a name="creating-resource-links"></a>

Ressourcenlinks sind Datenkatalogobjekte, bei denen es sich um Links zu Metadatendatenbanken und Tabellen handelt — in der Regel zu gemeinsam genutzten Datenbanken und Tabellen aus anderen Konten. AWS Sie ermöglichen den kontenübergreifenden Zugriff auf Daten im Data Lake in allen Regionen. AWS 

**Anmerkung**  
Lake Formation unterstützt das Abfragen von Datenkatalogtabellen in allen AWS Regionen. Sie können von jeder AWS Region aus auf die Datenbanken und Tabellen des Datenkatalogs zugreifen, indem Sie in diesen Regionen Ressourcenlinks erstellen, die auf gemeinsam genutzte Datenbanken und Tabellen in verschiedenen Regionen verweisen.

**Topics**
+ [Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md)
+ [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalogtabelle erstellen](create-resource-link-table.md)
+ [Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalog-Datenbank erstellen](create-resource-link-database.md)
+ [Umgang mit Ressourcenlinks in AWS Glue APIs](resource-links-glue-apis.md)

# Funktionsweise von Ressourcenverbindungen in Lake Formation
<a name="resource-links-about"></a>

Ein *Ressourcenlink* ist ein Datenkatalogobjekt, bei dem es sich um einen Link zu einer lokalen oder gemeinsam genutzten Datenbank oder Tabelle handelt. Nachdem Sie eine Ressourcenverknüpfung zu einer Datenbank oder Tabelle erstellt haben, können Sie den Namen der Ressourcenverknüpfung überall dort verwenden, wo Sie den Datenbank- oder Tabellennamen verwenden würden. **Zusammen mit Tabellen, die Ihnen gehören, oder Tabellen, die mit Ihnen gemeinsam genutzt werden, werden Tabellenressourcen-Links von der Lake Formation Formation-Konsole zurückgegeben `glue:GetTables()` und als Einträge auf der Tabellenseite angezeigt.** Ressourcenlinks zu Datenbanken verhalten sich ähnlich.

Wenn Sie eine Ressourcenverknüpfung zu einer Datenbank oder Tabelle erstellen, können Sie Folgendes tun:
+ Weisen Sie einer Datenbank oder Tabelle in Ihrem Datenkatalog einen anderen Namen zu. Dies ist besonders nützlich, wenn verschiedene AWS Konten Datenbanken oder Tabellen mit demselben Namen gemeinsam nutzen oder wenn mehrere Datenbanken in Ihrem Konto Tabellen mit demselben Namen haben.
+ Greifen Sie von jeder AWS Region aus auf die Datenbanken und Tabellen des Datenkatalogs zu, indem Sie in diesen Regionen Ressourcenlinks erstellen, die auf die Datenbank und Tabellen in einer anderen Region verweisen. Sie können Abfragen in jeder Region mit diesen Ressourcenlinks mithilfe von Athena und Amazon EMR ausführen und AWS Glue ETL Spark-Jobs ausführen, ohne Quelldaten oder Metadaten in Glue Data Catalog zu kopieren. 
+ Verwenden Sie integrierte AWS Services wie Amazon Athena Amazon Redshift Spectrum, um Abfragen auszuführen, die auf gemeinsam genutzte Datenbanken oder Tabellen zugreifen. Einige integrierte Dienste können nicht direkt kontenübergreifend auf Datenbanken oder Tabellen zugreifen. Sie können jedoch auf Ressourcenlinks in Ihrem Konto zu Datenbanken und Tabellen in anderen Konten zugreifen.

**Anmerkung**  
Sie müssen keinen Ressourcenlink erstellen, um in ETL-Skripts (AWS GlueExtrahieren, Transformieren und Laden) auf eine gemeinsam genutzte Datenbank oder Tabelle zu verweisen. Um jedoch Unklarheiten zu vermeiden, wenn mehrere AWS Konten eine Datenbank oder Tabelle mit demselben Namen gemeinsam nutzen, können Sie entweder einen Ressourcenlink erstellen und verwenden oder beim Aufrufen von ETL-Vorgängen die Katalog-ID angeben.

Das folgende Beispiel zeigt die **Tabellenseite** der Lake Formation Formation-Konsole, auf der zwei Ressourcenlinks aufgeführt sind. Namen von Ressourcenlinks werden immer kursiv angezeigt. Jeder Ressourcenlink wird zusammen mit dem Namen und dem Besitzer der verknüpften gemeinsam genutzten Ressource angezeigt. In diesem Beispiel hat ein Data Lake-Administrator im AWS Konto 1111-2222-3333 die Tabellen `inventory` und `incidents` mit dem Konto 1234-5678-9012 geteilt. Ein Benutzer in diesem Konto hat dann Ressourcenlinks zu diesen gemeinsam genutzten Tabellen erstellt.

![\[Auf der Tabellenseite werden zwei Ressourcenlinks angezeigt. Der Name des Ressourcenlinks wird in der Spalte Name angezeigt, der Name der gemeinsam genutzten Tabelle wird in der Spalte Gemeinsam genutzte Ressource angezeigt, und das Konto, das die Tabelle gemeinsam genutzt hat, wird in der Spalte Eigentümer der gemeinsamen Ressource angezeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tables-with-links.png)


Im Folgenden finden Sie Hinweise und Einschränkungen zu Ressourcenlinks:
+ Ressourcenlinks sind erforderlich, damit integrierte Dienste wie Athena und Redshift Spectrum die zugrunde liegenden Daten gemeinsam genutzter Tabellen abfragen können. Abfragen in diesen integrierten Diensten werden anhand der Namen der Ressourcenlinks erstellt.
+ Unter der Annahme, dass die Einstellung **Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden** für die enthaltende Datenbank deaktiviert ist, kann nur der Prinzipal, der einen Ressourcenlink erstellt hat, ihn anzeigen und darauf zugreifen. Um anderen Prinzipalen in Ihrem Konto den Zugriff auf einen Ressourcenlink zu ermöglichen, erteilen Sie ihm die `DESCRIBE` entsprechende Berechtigung. Um es anderen zu ermöglichen, einen Ressourcenlink zu löschen, erteilen Sie ihm die `DROP` entsprechende Erlaubnis. Data Lake-Administratoren können auf alle Ressourcenlinks im Konto zugreifen. Um einen Ressourcenlink zu löschen, der von einem anderen Principal erstellt wurde, muss sich der Data Lake-Administrator zunächst selbst die `DROP` entsprechenden Berechtigungen für den Ressourcenlink erteilen. Weitere Informationen finden Sie unter [Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md).
**Wichtig**  
Durch das Erteilen von Berechtigungen für einen Ressourcenlink werden keine Berechtigungen für die (verknüpfte) Zieldatenbank oder -tabelle gewährt. Sie müssen Berechtigungen für das Ziel separat gewähren.
+ Um einen Ressourcenlink zu erstellen, benötigen Sie die Lake Formation `CREATE_TABLE` oder `CREATE_DATABASE` -Berechtigung sowie die `glue:CreateTable` oder `glue:CreateDatabase` AWS Identity and Access Management (IAM) -Berechtigung.
+ Sie können Ressourcenlinks zu lokalen (eigenen) Datenkatalogressourcen sowie zu Ressourcen erstellen, die mit Ihrem AWS Konto gemeinsam genutzt werden.
+ Wenn Sie einen Ressourcenlink erstellen, wird nicht geprüft, ob die gemeinsam genutzte Zielressource vorhanden ist oder ob Sie über kontoübergreifende Berechtigungen für die Ressource verfügen. Auf diese Weise können Sie den Ressourcenlink und die gemeinsam genutzte Ressource in beliebiger Reihenfolge erstellen.
+ Wenn Sie einen Ressourcenlink löschen, wird die verknüpfte gemeinsam genutzte Ressource nicht gelöscht. Wenn Sie eine gemeinsam genutzte Ressource löschen, werden die Ressourcenlinks zu dieser Ressource nicht gelöscht.
+ Es ist möglich, Linkketten für Ressourcen zu erstellen. Dies hat jedoch keinen Wert, da sie nur dem ersten Ressourcenlink APIs folgen.

**Weitere Informationen finden Sie auch unter:**  
[Erteilen von Berechtigungen für Datenkatalogressourcen](granting-catalog-permissions.md)

# Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalogtabelle erstellen
<a name="create-resource-link-table"></a>

Sie können einen Ressourcenlink zu einer gemeinsam genutzten Tabelle in einer beliebigen AWS Region erstellen, indem Sie die AWS Lake Formation Konsole, die API oder AWS Command Line Interface (AWS CLI) verwenden.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Tabelle (Konsole) zu erstellen**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Principal an, der über die Lake Formation `CREATE_TABLE` Formation-Berechtigung für die Datenbank verfügt, um den Ressourcenlink zu enthalten.

1. Wählen Sie im Navigationsbereich unter Datenkatalog die Option **Tabellen** und dann **Erstellen**, **Ressourcenlink** aus.

1. Geben Sie auf der Seite **„Ressourcenlink erstellen**“ die folgenden Informationen ein:  
**Name des Ressourcenlinks**  
Geben Sie einen Namen ein, der denselben Regeln entspricht wie ein Tabellenname. Der Name kann mit dem Namen der gemeinsam genutzten Zieltabelle identisch sein.  
**Datenbank**  
Die Datenbank im lokalen Datenkatalog, die den Ressourcenlink enthalten soll.  
**Besitzer der gemeinsam genutzten Tabelle, Region**  
Wenn Sie den Ressourcenlink in einer anderen Region erstellen, wählen Sie die Region der gemeinsam genutzten Zieltabelle aus.  
**Gemeinsam genutzte Tabelle**  
Wählen Sie eine gemeinsam genutzte Tabelle aus der Liste aus, oder geben Sie einen Namen für eine lokale (eigene) oder gemeinsam genutzte Tabelle ein.  
Die Liste enthält alle Tabellen, die mit Ihrem Konto geteilt wurden. Notieren Sie sich die Datenbank und die ID des Besitzerkontos, die in jeder Tabelle aufgeführt sind. Wenn Sie keine Tabelle sehen, von der Sie wissen, dass sie mit Ihrem Konto geteilt wurde, überprüfen Sie Folgendes:  
   + Wenn Sie kein Data Lake-Administrator sind, überprüfen Sie, ob der Data Lake-Administrator Ihnen Lake Formation Formation-Berechtigungen für die Tabelle erteilt hat.
   + Wenn Sie ein Data Lake-Administrator sind und sich Ihr Konto nicht in derselben AWS Organisation wie das gewährende Konto befindet, stellen Sie sicher, dass Sie die Einladung AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung der Ressource für die Tabelle akzeptiert haben. Weitere Informationen finden Sie unter [Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md).  
**Die Datenbank der gemeinsam genutzten Tabelle**  
Wenn Sie eine gemeinsam genutzte Tabelle aus der Liste ausgewählt haben, wird dieses Feld mit der Datenbank der gemeinsam genutzten Tabelle im externen Konto gefüllt. Geben Sie andernfalls eine lokale Datenbank (für einen Ressourcenlink zu einer lokalen Tabelle) oder die Datenbank der gemeinsam genutzten Tabelle in das externe Konto ein.  
**Besitzer der gemeinsam genutzten Tabelle**  
Wenn Sie eine gemeinsam genutzte Tabelle aus der Liste ausgewählt haben, wird dieses Feld mit der Konto-ID des Besitzers der gemeinsam genutzten Tabelle gefüllt. Geben Sie andernfalls Ihre AWS Konto-ID (für einen Ressourcenlink zu einer lokalen Tabelle) oder die ID des AWS Kontos ein, das die Tabelle gemeinsam genutzt hat.

1. Wählen Sie **Erstellen**, um den Ressourcenlink zu erstellen.

   Anschließend können Sie den Namen des Ressourcenlinks in der Spalte **Name** auf der **Tabellenseite** anzeigen.

1. (Optional) Erteilen Sie Prinzipalen, die in der Lage sein müssen, den Link anzuzeigen und auf die Zieltabelle zuzugreifen, die Lake Formation `DESCRIBE` Formation-Berechtigung für den Ressourcenlink.

   Das Erteilen von Berechtigungen für einen Ressourcenlink gewährt jedoch keine Berechtigungen für die (verknüpfte) Zieldatenbank oder -tabelle. Sie müssen die Berechtigungen für die Zieldatenbank separat erteilen, damit der table/resource Link in Athena sichtbar ist.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Tabelle in derselben Region zu erstellen ()AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden.

   ```
   aws glue create-table --database-name myissues --table-input '{"Name":"my_customers","TargetTable":{"CatalogId":"111122223333","DatabaseName":"issues","Name":"customers"}}'
   ```

   Dieser Befehl erstellt einen Ressourcenlink mit dem Namen `my_customers` der gemeinsam genutzten Tabelle`customers`, die sich in der Datenbank `issues` im AWS Konto 1111-2222-3333 befindet. Der Ressourcenlink wird in der lokalen Datenbank gespeichert. `myissues`

1. (Optional) Erteilen Sie Prinzipalen, die in der Lage sein müssen, den Link anzuzeigen und auf die Zieltabelle zuzugreifen, die Lake Formation `DESCRIBE` Formation-Berechtigung für den Ressourcenlink.

   Das Erteilen von Berechtigungen für einen Ressourcenlink gewährt jedoch keine Berechtigungen für die (verknüpfte) Zieltabelle. Sie müssen die Berechtigungen für die Zieldatenbank separat erteilen, damit der table/resource Link in Athena sichtbar ist.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Tabelle in einer anderen Region zu erstellen ()AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden.

   ```
   aws glue create-table --region eu-west-1 --cli-input-json '{
       "CatalogId": "111122223333",
       "DatabaseName": "ireland_db",
       "TableInput": {
           "Name": "rl_useast1salestb_ireland",
           "TargetTable": {
               "CatalogId": "444455556666",
               "DatabaseName": "useast1_salesdb",
               "Region": "us-east-1",
               "Name":"useast1_salestb"
           }
       }
   }‘
   ```

   Mit diesem Befehl wird ein `rl_useast1salestb_ireland` in der Region Europa (Irland) benannter Ressourcenlink zu der gemeinsam genutzten Tabelle erstellt`useast1_salestb`, die sich in der Datenbank `useast1_salesdb` im AWS Konto 444455556666 in der Region USA Ost (Nord-Virginia) befindet. Der Ressourcenlink wird in der lokalen Datenbank gespeichert. `ireland_db`

1. Erteilen Sie die Lake `DESCRIBE` Formation den Principals, die in der Lage sein müssen, den Link zu sehen und über den Link auf das Linkziel zuzugreifen.

   Das Erteilen von Berechtigungen für einen Ressourcenlink gewährt jedoch keine Berechtigungen für die (verknüpfte) Zieltabelle. Sie müssen die Berechtigungen für die Zieltabelle separat erteilen, damit der table/resource Link in Athena sichtbar ist.

**Weitere Informationen finden Sie auch unter:**  
[Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md)
[`DESCRIBE`](lf-permissions-reference.md#perm-describe)

# Einen Ressourcenlink zu einer gemeinsam genutzten Datenkatalog-Datenbank erstellen
<a name="create-resource-link-database"></a>

Sie können einen Ressourcenlink zu einer gemeinsam genutzten Datenbank mithilfe der AWS Lake Formation Konsole, der API oder AWS Command Line Interface (AWS CLI) erstellen.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Datenbank (Konsole) zu erstellen**

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator oder als Datenbankersteller an.

   Ein Datenbankersteller ist ein Principal, dem die Lake Formation `CREATE_DATABASE` Formation-Genehmigung erteilt wurde.

1. Wählen Sie im Navigationsbereich **Datenbanken** und dann **Erstellen**, **Ressourcenlink** aus.

1. Geben Sie auf der Seite **„Ressourcenlink erstellen**“ die folgenden Informationen ein:  
**Name des Ressourcenlinks**  
Geben Sie einen Namen ein, der denselben Regeln entspricht wie ein Datenbankname. Der Name kann mit dem der gemeinsam genutzten Zieldatenbank identisch sein.  
**Zielkatalog**  
Wählen Sie den Zielkatalog für den Datenbankressourcen-Link aus.  
**Gemeinsamer Datenbankbesitzer, Region**  
Wenn Sie den Ressourcenlink in einer anderen Region erstellen, wählen Sie die Region der gemeinsam genutzten Zieldatenbank aus.  
**Gemeinsam genutzte Datenbank**  
Wählen Sie eine Datenbank aus der Liste aus, oder geben Sie einen lokalen (eigenen) oder gemeinsamen Datenbanknamen ein.  
Die Liste enthält alle Datenbanken, die mit Ihrem Konto gemeinsam genutzt werden. Notieren Sie sich die ID des Besitzerkontos, die in jeder Datenbank aufgeführt ist. Wenn Sie keine Datenbank sehen, von der Sie wissen, dass sie mit Ihrem Konto geteilt wurde, überprüfen Sie Folgendes:  
   + Wenn Sie kein Data Lake-Administrator sind, überprüfen Sie, ob der Data Lake-Administrator Ihnen Lake Formation Formation-Berechtigungen für die Datenbank erteilt hat.
   + Wenn Sie ein Data Lake-Administrator sind und sich Ihr Konto nicht in derselben AWS Organisation wie das gewährende Konto befindet, stellen Sie sicher, dass Sie die Einladung AWS Resource Access Manager (AWS RAM) zur gemeinsamen Nutzung von Ressourcen für die Datenbank akzeptiert haben. Weitere Informationen finden Sie unter [Annahme einer Einladung zur gemeinsamen Nutzung von Ressourcen AWS RAM](accepting-ram-invite.md).  
**Besitzer der gemeinsam genutzten Datenbank**  
Wenn Sie eine gemeinsam genutzte Datenbank aus der Liste ausgewählt haben, wird dieses Feld mit der Konto-ID des Besitzers der gemeinsam genutzten Datenbank gefüllt. Geben Sie andernfalls Ihre AWS Konto-ID (für einen Ressourcenlink zu einer lokalen Datenbank) oder die ID des AWS Kontos ein, das die Datenbank gemeinsam genutzt hat.  
**Die Katalog-ID der gemeinsam genutzten Datenbank**  
Geben Sie die Katalog-ID für die gemeinsam genutzte Datenbank ein. Wenn Sie einen Ressourcenlink zu einer Datenbank erstellen, die von einem anderen AWS Konto gemeinsam genutzt wird, müssen Sie diese Katalog-ID angeben, um zu identifizieren, welcher Datenkatalog die Quelldatenbank enthält.  
Wenn Sie im Dropdownmenü eine gemeinsam genutzte Datenbank auswählen, gibt das System automatisch die Katalog-ID des Kontos ein, das diese Datenbank besitzt und für Sie freigegeben hat.  
![\[Im Dialogfeld Datenbankdetails ist das Optionsfeld Ressourcenlink aktiviert, und die folgenden Felder sind ausgefüllt: Name des Ressourcenlinks, Gemeinsam genutzte Datenbank, Besitzer-ID der gemeinsam genutzten Datenbank. Die ID des Besitzers der gemeinsamen Datenbank ist deaktiviert (schreibgeschützt).\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/create-resource-link-db.png)

1. Wählen Sie **Erstellen**, um den Ressourcenlink zu erstellen.

   Anschließend können Sie den Namen des Ressourcenlinks in der Spalte **Name** auf der **Datenbankseite** anzeigen.

1. (Optional) Erteilen Sie Prinzipalen aus der Region Europa (Irland), die in der Lage sein müssen, den Link zu sehen und auf die Zieldatenbank zuzugreifen, die Lake Formation `DESCRIBE` Formation-Berechtigung für den Ressourcenlink.

   Das Erteilen von Berechtigungen für einen Ressourcenlink gewährt jedoch keine Berechtigungen für die (verknüpfte) Zieldatenbank oder -tabelle. Sie müssen die Berechtigungen für die Zieldatenbank separat erteilen, damit der table/resource Link in Athena sichtbar ist.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Datenbank in derselben Region zu erstellen ()AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden.

   ```
   aws glue create-database --database-input '{"Name":"myissues","TargetDatabase":{"CatalogId":"111122223333","DatabaseName":"issues"}}'
   ```

   Dieser Befehl erstellt einen Ressourcenlink mit dem Namen `myissues` der gemeinsam genutzten Datenbank`issues`, die sich im AWS Konto 1111-2222-3333 befindet. 

1. (Optional) Erteilen Sie die Lake Formation `DESCRIBE` Formation-Berechtigung den Prinzipalen für den Ressourcenlink, die in der Lage sein müssen, den Link anzuzeigen und auf die Zieldatenbank oder -tabelle zuzugreifen. 

   Das Erteilen von Berechtigungen für einen Ressourcenlink gewährt jedoch keine Berechtigungen für die (verknüpfte) Zieldatenbank oder -tabelle. Sie müssen die Berechtigungen für die Zieldatenbank separat erteilen, damit der table/resource Link in Athena sichtbar ist.

**Um einen Ressourcenlink zu einer gemeinsam genutzten Datenbank in einer anderen Region zu erstellen ()AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden.

   ```
   aws glue create-database --region eu-west-1 --cli-input-json '{
       "CatalogId": "111122223333",
       "DatabaseInput": {
         "Name": "rl_useast1shared_irelanddb",
         "TargetDatabase": {
             "CatalogId": "444455556666",
             "DatabaseName": "useast1shared_db",
             "Region": "us-east-1"
          }
       }
   }'
   ```

   Dieser Befehl erstellt einen Ressourcenlink mit dem Namen 111122223333 `rl_useast1shared_irelanddb` in der AWS Region Europa (Irland) zur gemeinsam genutzten Datenbank`useast1shared_db`, die sich im AWS Konto 444455556666 in der Region USA Ost (Nord-Virginia) befindet. 

1. Erteilen Sie Principals aus der Region Europa (Irland), die in der Lage sein müssen, den Link zu sehen und über den Link auf das Linkziel zuzugreifen, die `DESCRIBE` Genehmigung für Lake Formation.

**Weitere Informationen finden Sie auch unter:**  
[Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md)
[`DESCRIBE`](lf-permissions-reference.md#perm-describe)

# Umgang mit Ressourcenlinks in AWS Glue APIs
<a name="resource-links-glue-apis"></a>

In den folgenden Tabellen wird erklärt, wie der AWS Glue Datenkatalog APIs mit Datenbank- und Tabellenressourcenlinks umgeht. Für alle `Get*` API-Operationen werden nur Datenbanken und Tabellen zurückgegeben, für die der Aufrufer über Berechtigungen verfügt. Wenn Sie über einen Ressourcenlink auf eine Zieldatenbank oder -tabelle zugreifen, benötigen Sie außerdem sowohl AWS Identity and Access Management (IAM) als auch Lake Formation Formation-Berechtigungen sowohl für das Ziel als auch für den Ressourcenlink. Die Lake Formation Formation-Genehmigung, die für Ressourcenlinks erforderlich ist, lautet`DESCRIBE`. Weitere Informationen finden Sie unter [`DESCRIBE`](lf-permissions-reference.md#perm-describe).


**Datenbank-API-Operationen**  

| API-Operation | Handhabung von Ressourcenlinks | 
| --- | --- | 
| CreateDatabase | Wenn es sich bei der Datenbank um einen Ressourcenlink handelt, wird der Ressourcenlink zur angegebenen Zieldatenbank erstellt. | 
| UpdateDatabase | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Link und aktualisiert die Zieldatenbank. Wenn der Ressourcenlink geändert werden muss, um eine Verknüpfung mit einer anderen Datenbank herzustellen, müssen Sie ihn löschen und eine neue erstellen. | 
| DeleteDatabase | Löscht den Ressourcenlink. Die verknüpfte (Ziel-) Datenbank wird nicht gelöscht. | 
| GetDatabase | Wenn der Aufrufer über Berechtigungen für das Ziel verfügt, folgt er dem Link, um die Eigenschaften des Ziels zurückzugeben. Andernfalls werden die Eigenschaften des Links zurückgegeben. | 
| GetDatabases | Gibt eine Liste von Datenbanken zurück, einschließlich Ressourcenlinks. Für jeden Ressourcenlink in der Ergebnismenge folgt der Vorgang dem Link, um die Eigenschaften des Linkziels abzurufen. Sie müssen ResourceShareType = angebenALL, um die Datenbanken zu sehen, die mit Ihrem Konto gemeinsam genutzt werden.  | 


**Tabellen-API-Operationen**  

| API-Operation | Handhabung von Ressourcenlinks | 
| --- | --- | 
| CreateTable | Wenn es sich bei der Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und erstellt eine Tabelle in der Zieldatenbank. Wenn es sich bei der Tabelle um einen Ressourcenlink handelt, erstellt der Vorgang den Ressourcenlink in der angegebenen Datenbank. Das Erstellen einer Tabellenressourcenverknüpfung über eine Datenbankressourcenverknüpfung wird nicht unterstützt.  | 
| UpdateTable | Wenn es sich bei der Tabelle oder der angegebenen Datenbank um einen Ressourcenlink handelt, wird die Zieltabelle aktualisiert. Wenn es sich sowohl bei der Tabelle als auch bei der Datenbank um Ressourcenlinks handelt, schlägt der Vorgang fehl. | 
| DeleteTable | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Link und löscht den Tabellen- oder Tabellenressourcenlink in der Zieldatenbank. Wenn es sich bei der Tabelle um einen Ressourcenlink handelt, löscht der Vorgang den Tabellenressourcenlink in der angegebenen Datenbank. Durch das Löschen eines Tabellenressourcenlinks wird die Zieltabelle nicht gelöscht. | 
| BatchDeleteTable | Entspricht DeleteTable. | 
| GetTable | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und gibt den Tabellen- oder Tabellenressourcen-Link aus der Zieldatenbank zurück. Andernfalls, wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Link und gibt die Eigenschaften der Zieltabelle zurück.  | 
| GetTables | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und gibt die Tabellen und Tabellenressourcen-Links aus der Zieldatenbank zurück. Wenn es sich bei der Zieldatenbank um eine gemeinsam genutzte Datenbank eines anderen AWS Kontos handelt, gibt der Vorgang nur die gemeinsam genutzten Tabellen in dieser Datenbank zurück. Sie folgt nicht den Tabellenressourcen-Links in der Zieldatenbank. Andernfalls, wenn es sich bei der angegebenen Datenbank um eine lokale (eigene) Datenbank handelt, gibt der Vorgang alle Tabellen in der lokalen Datenbank zurück und folgt jedem Tabellenressourcenlink, um die Eigenschaften der Zieltabelle zurückzugeben. | 
| SearchTables | Gibt Tabellen und Tabellenressourcenlinks zurück. Es folgt keinen Links, um die Eigenschaften der Zieltabelle zurückzugeben. Sie müssen ResourceShareType = angeben, um Tabellen ALL zu sehen, die mit Ihrem Konto geteilt wurden. | 
| GetTableVersion | Entspricht GetTable. | 
| GetTableVersions | Entspricht GetTable. | 
| DeleteTableVersion | Entspricht DeleteTable. | 
| BatchDeleteTableVersion | Entspricht DeleteTable. | 


**API-Operationen partitionieren**  

| API-Operation | Handhabung von Ressourcenlinks | 
| --- | --- | 
| CreatePartition | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und erstellt eine Partition in der angegebenen Tabelle in der Zieldatenbank. Wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Ressourcenlink und erstellt die Partition in der Zieltabelle. Das Erstellen einer Partition sowohl über einen Tabellenressourcenlink als auch über einen Datenbankressourcenlink wird nicht unterstützt. | 
| BatchCreatePartition | Entspricht CreatePartition. | 
| UpdatePartition | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und aktualisiert die Partition in der angegebenen Tabelle in der Zieldatenbank. Wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Ressourcenlink und aktualisiert die Partition in der Zieltabelle. Das Aktualisieren einer Partition sowohl über einen Tabellenressourcenlink als auch über einen Datenbankressourcenlink wird nicht unterstützt. | 
| DeletePartition | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und löscht die Partition in der angegebenen Tabelle in der Zieldatenbank. Wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Ressourcenlink und löscht die Partition in der Zieltabelle. Das Löschen einer Partition sowohl über einen Tabellenressourcenlink als auch über einen Datenbankressourcenlink wird nicht unterstützt. | 
| BatchDeletePartition | Entspricht DeletePartition. | 
| GetPartition | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und gibt Partitionsinformationen aus der angegebenen Tabelle zurück. Andernfalls, wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Link und gibt Partitionsinformationen zurück. Wenn es sich sowohl bei der Tabelle als auch bei der Datenbank um Ressourcenlinks handelt, wird eine leere Ergebnismenge zurückgegeben. | 
| GetPartitions | Wenn es sich bei der angegebenen Datenbank um einen Ressourcenlink handelt, folgt er dem Datenbank-Link und gibt Partitionsinformationen für alle Partitionen in der angegebenen Tabelle zurück. Andernfalls, wenn es sich bei der Tabelle um einen Ressourcenlink handelt, folgt der Vorgang dem Link und gibt Partitionsinformationen zurück. Wenn es sich sowohl bei der Tabelle als auch bei der Datenbank um Ressourcenlinks handelt, wird eine leere Ergebnismenge zurückgegeben. | 
| BatchGetPartition | Entspricht GetPartition. | 


**API-Operationen mit benutzerdefinierten Funktionen**  

| API-Operation | Handhabung von Ressourcenlinks | 
| --- | --- | 
| (Alle API-Operationen) | Wenn es sich bei der Datenbank um einen Ressourcenlink handelt, folgt er dem Ressourcenlink und führt den Vorgang in der Zieldatenbank aus. | 

**Weitere Informationen finden Sie auch unter:**  
[Funktionsweise von Ressourcenverbindungen in Lake Formation](resource-links-about.md)

# Regionsübergreifender Zugriff auf Tabellen
<a name="data-access-across-region"></a>

Lake Formation unterstützt das Abfragen von Datenkatalogtabellen in allen AWS Regionen. Sie können mit Amazon Athena, Amazon EMR und AWS Glue ETL von anderen Regionen aus auf Daten in einer Region zugreifen, indem Sie [Ressourcenlinks in anderen Regionen erstellen](creating-resource-links.md), die auf die Quelldatenbanken und -tabellen verweisen. Mit regionsübergreifendem Tabellenzugriff können Sie regionsübergreifend auf Daten zugreifen, ohne die zugrunde liegenden Daten oder Metadaten in den Datenkatalog kopieren zu müssen.

Sie können beispielsweise eine Datenbank oder Tabelle in einem Produzentenkonto für ein Verbraucherkonto in Region A gemeinsam nutzen. Nachdem Sie die Einladung zur gemeinsamen Nutzung von Ressourcen in Region A angenommen haben, kann der Data Lake-Administrator des Verbraucherkontos Ressourcenlinks zu der gemeinsam genutzten Ressource in Region B erstellen. Der Administrator des Verbraucherkontos kann den IAM-Prinzipalen in diesem Konto in Region A Berechtigungen für die gemeinsam genutzte Ressource gewähren und kann Ressourcenverknüpfungsberechtigungen in Region B gewähren. Mithilfe des Ressourcenlinks können die Prinzipale im Verbraucherkonto fragen Sie die gemeinsam genutzten Daten aus Region B ab.

 Sie können die Amazon S3 S3-Datenquelle in Region A auch in einem Produzentenkonto hosten und den Datenstandort in einem zentralen Konto in Region B registrieren. Sie können Datenkatalogressourcen im zentralen Konto erstellen, Lake Formation Formation-Berechtigungen einrichten und Daten mit Verbrauchern in Ihrem Konto oder mit externen Konten in Region B teilen. Die regionsübergreifende Funktion ermöglicht Benutzern den Zugriff auf diese Datenkatalogtabellen von Region C aus über Ressourcenlinks. 

Mit dieser Funktion können Sie Verbunddatenbanken in Apache Hive-Metastores regionsübergreifend abfragen und beim Ausführen von Abfragen auch Tabellen in der lokalen Region mit Tabellen in einer anderen Region verbinden. 

Lake Formation unterstützt die folgenden Funktionen mit regionsübergreifendem Tabellenzugriff:
+ Zugriffskontrolle auf Basis von LF-Tags
+ Fein abgestufte Zugriffsberechtigungen
+ Schreibvorgänge in der gemeinsam genutzten Datenbank oder Tabelle mit den entsprechenden Berechtigungen 
+ Kontoübergreifender Datenaustausch auf Kontoebene und direkt mit IAM-Prinzipalen

Benutzer ohne Administratorrechte mit `Create_Database` und -Berechtigungen können regionsübergreifende Ressourcenlinks erstellen. `Create_Table`

**Anmerkung**  
 Sie können regionsübergreifende Ressourcenlinks in jeder Region erstellen und auf Daten zugreifen, ohne Lake Formation Formation-Berechtigungen anzuwenden. Für Quelldaten in Amazon S3, die nicht bei Lake Formation registriert sind, wird der Zugriff durch IAM-Berechtigungsrichtlinien für Amazon S3 und AWS Glue Aktionen bestimmt. 

Einschränkungen finden Sie unter [Regionsübergreifende Beschränkungen des Datenzugriffs](x-region-considerations.md).

## Arbeitsabläufe
<a name="cross-region-workflow"></a>

Die folgenden Diagramme zeigen die Workflows für den Zugriff auf Daten in verschiedenen AWS Regionen von demselben AWS Konto und von einem externen Konto aus.

### Workflow für den Zugriff auf Tabellen, die innerhalb desselben AWS Kontos gemeinsam genutzt werden
<a name="cross-region-workflow-same-account"></a>

 In der Abbildung unten werden die Daten mit einem Benutzer desselben AWS Kontos in der Region USA Ost (Nord-Virginia) geteilt, und der Benutzer fragt die gemeinsam genutzten Daten aus der Region Europa (Irland) ab.

![\[Diagram showing data sharing between AWS-Konten across regions with numbered steps.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-region-same-account.png)


Der Data Lake-Administrator führt die folgenden Aktivitäten aus (Schritte 1—2):

1. Ein Data Lake-Administrator richtet ein AWS Konto bei den Data Catalog-Datenbanken und -Tabellen ein und registriert einen Amazon S3 S3-Datenstandort bei Lake Formation in der Region USA Ost (Nord-Virginia).

   Erteilt einem Principal (Benutzer) desselben Kontos die `Select` Berechtigung für eine Datenkatalogressource (Produkttabelle im Diagramm). 

1. Erstellt einen Ressourcenlink in der Region Europa (Irland), der auf die Quelltabelle in der Region USA Ost (Nord-Virginia) verweist. Erteilt dem Auftraggeber die `DESCRIBE` Genehmigung für den Ressourcenlink von der Region Europa (Irland). 

1. Der Benutzer fragt die Tabelle mit Athena aus der Region Europa (Irland) ab. 

### Workflow für den Zugriff auf Tabellen, die mit einem externen AWS Konto gemeinsam genutzt werden
<a name="cross-region-workflow-x-account"></a>

In der Abbildung unten hostet das Produzentenkonto (Konto A) den Amazon S3 S3-Bucket, registriert den Datenstandort und teilt eine Datenkatalogtabelle mit einem Verbraucherkonto (Konto B) in der Region USA Ost (Nord-Virginia), und ein Benutzer des Verbraucherkontos (Konto B) fragt die Tabelle aus der Region Europa (Irland) ab.

![\[Diagram showing data sharing between AWS-Konten across regions using Amazon S3 and Data Catalog.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-region-x-account.png)


1. Ein Data Lake-Administrator richtet ein AWS Konto (Producer-Konto) mit den Data Catalog-Ressourcen und einem Amazon S3 S3-Datenstandort ein, der bei Lake Formation in der Region USA Ost (Nord-Virginia) registriert ist.

1.  Der Data Lake-Administrator des Produzentenkontos teilt eine Datenkatalogtabelle mit einem Kundenkonto. 

1. Der Data Lake-Administrator des Verbraucherkontos nimmt die Einladung zur gemeinsamen Nutzung von Daten in der Region USA Ost (Nord-Virginia) an und erteilt einem Principal aus derselben Region die `Select` Erlaubnis für die gemeinsam genutzte Tabelle.

1. Der Data Lake-Administrator des Verbraucherkontos erstellt einen Ressourcenlink in der Region Europa (Irland), der auf die gemeinsam genutzte Zieltabelle in der Region USA Ost (Nord-Virginia) verweist, und erteilt dem Benutzer die `DESCRIBE` Berechtigung für den Ressourcenlink aus der Region Europa (Irland).

1.  Der Benutzer fragt die Daten aus der Region Europa (Irland) mit Athena ab. 

# Einrichtung des regionsübergreifenden Tabellenzugriffs
<a name="setup-cross-region-access"></a>

Um auf Daten aus einer anderen Region zuzugreifen, müssen Sie zunächst die Datenkatalog-Datenbanken und -Tabellen in der Region einrichten, in der Sie Ihren Amazon S3 S3-Datenstandort registrieren. Sie können die Data Catalog-Datenbanken und -Tabellen mit Principals in Ihrem Konto oder in einem anderen Konto teilen. Anschließend müssen Sie Data Lake-Administratoren einrichten, die Ressourcenlinks erstellen können, die auf den gemeinsam genutzten Zieldatenspeicherort in den Regionen verweisen, in denen Benutzer die Daten abfragen. 

**Um innerhalb desselben Kontos gemeinsam genutzte Daten aus einer anderen Region abzufragen**

In diesem Abschnitt wird die gemeinsam genutzte Zieltabelle Region als Region A bezeichnet, und Benutzer führen Abfragen aus Region B aus.

1. 

**Kontoeinrichtung in Region A (wo Sie die Daten erstellen und teilen)**

   Ein Data Lake-Administrator muss die folgenden Aktionen ausführen:

   1. Registrieren Sie einen Amazon S3 S3-Datenstandort.

      Weitere Informationen finden Sie unter [Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).

   1.  Erstellen Sie Datenbanken und Tabellen im Konto. Dies kann auch von einem Benutzer ohne Administratorrechte ausgeführt werden, der über die Berechtigungen zum Erstellen von Datenbanken und Tabellen verfügt. 

   1. Erteilen Sie den Prinzipalen Datenberechtigungen für eine Tabelle mit. `Grantable permissions`

      Weitere Informationen finden Sie unter [Erteilen von Berechtigungen für Datenkatalogressourcen](granting-catalog-permissions.md).

1. 

**Kontoeinrichtung in Region B (wo Sie auf die Daten zugreifen)**

   Ein Data Lake-Administrator muss die folgenden Aktionen ausführen:

   1. Erstellen Sie in Region B einen Ressourcenlink, der auf die gemeinsam genutzte Zieltabelle in Region A verweist. Geben Sie auf dem Bildschirm **Tabelle erstellen die Region des Besitzers der gemeinsamen** **Tabelle** an.   
![\[Create table interface showing options for resource link creation and shared table details.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cross-region-resource-link.png)

      Anweisungen zum Erstellen von Ressourcenlinks zu Datenbanken und Tabellen finden Sie unter[Ressourcenlinks erstellen](creating-resource-links.md).

   1. Erteilen Sie IAM-Prinzipalen die `Describe` Berechtigung für den Ressourcenlink in Region B. 

      Weitere Informationen zum Erteilen von Berechtigungen für Ressourcenlinks finden Sie unter. [Erteilen von Ressourcenverknüpfungsberechtigungen](granting-link-permissions.md)

      IAM-Prinzipale in Region B können die Zieltabelle über den Link mit Athena abfragen.

**Um auf kontenübergreifende Daten aus einer anderen Region zuzugreifen**

1. 

**Einrichtung eines Kontos für Produzent/Förderer**

   Ein Data Lake-Administrator muss die folgenden Aktionen ausführen:

   1. Richten Sie das producer/grantor Konto in Region A ein.

   1.  Registrieren Sie einen Amazon S3 S3-Datenstandort in Region A. 

   1.  Erstellen Sie Datenbanken und Tabellen. Dies kann von einem Benutzer ohne Administratorrechte ausgeführt werden, der über die Berechtigungen zum Erstellen von Tabellen verfügt. 

   1. Erteilen Sie dem consumer/grantee Konto Datenberechtigungen für eine Tabelle in Region A mit`Grantable permissions`.

      Weitere Informationen finden Sie unter [Gemeinsame Nutzung von Datenkatalogtabellen und Datenbanken für mehrere AWS-Konten IAM-Prinzipale von externen Konten aus](cross-account-data-share-steps.md).

1. 

**Einrichtung eines Verbraucher-/Empfängerkontos**

   Ein Data Lake-Administrator muss die folgenden Aktionen ausführen: 

   1.  Nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen aus AWS RAM Region A an.

   1. Erstellen Sie einen Ressourcenlink in Region B, der auf die gemeinsam genutzte Tabelle verweist. In Region B möchten Benutzer die Tabelle abfragen.

   1. Erteilen Sie IAM-Prinzipalen in Region A Datenberechtigungen für die gemeinsam genutzte Tabelle.
**Anmerkung**  
Sie müssen Berechtigungen für die gemeinsam genutzte Tabelle in derselben Region gewähren, in der die Tabelle gemeinsam genutzt wurde.

   1. Erteilen Sie den Prinzipalen Berechtigungen für den Ressourcenlink in Region B. 

      Principals im Verbraucherkonto in Region B fragen dann mithilfe von Athena die gemeinsam genutzte Tabelle aus Region B ab.