Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Gemeinsame Nutzung eines Data Lakes mithilfe von Tag-basierter Zugriffskontrolle von Lake Formation und benannten Ressourcen
<a name="share-dl-tbac-tutorial"></a>

Dieses Tutorial zeigt, wie Sie konfigurieren können AWS Lake Formation , um Daten, die in einem Data Lake gespeichert sind, sicher mit mehreren Unternehmen, Organisationen oder Geschäftseinheiten gemeinsam zu nutzen, ohne die gesamte Datenbank kopieren zu müssen. Es gibt zwei Möglichkeiten, Ihre Datenbanken und Tabellen mithilfe der kontenübergreifenden Zugriffskontrolle AWS-Konto von Lake Formation gemeinsam mit anderen zu nutzen:
+ **Tag-basierte Zugriffskontrolle von Lake Formation (empfohlen)**

  Die tagbasierte Zugriffskontrolle von Lake Formation ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In Lake Formation werden diese Attribute *LF-Tags* genannt. Weitere Informationen finden Sie unter [Verwaltung eines Data Lakes mithilfe der Tag-basierten Zugriffskontrolle von Lake Formation](managing-dl-tutorial.md).
+ **Lake Formation benannte Ressourcen**

  Die Methode Lake Formation Named Resource ist eine Autorisierungsstrategie, die Berechtigungen für Ressourcen definiert. Zu den Ressourcen gehören Datenbanken, Tabellen und Spalten. Data Lake-Administratoren können Berechtigungen für Lake Formation Formation-Ressourcen zuweisen und widerrufen. Weitere Informationen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md).

  Wir empfehlen die Verwendung benannter Ressourcen, wenn der Data Lake-Administrator es vorzieht, einzelnen Ressourcen explizit Berechtigungen zu gewähren. Wenn Sie die benannte Ressourcenmethode verwenden, um einem externen Konto Lake Formation-Berechtigungen für eine Datenkatalogressource zu gewähren, verwendet Lake Formation AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen.

**Topics**
+ [Zielgruppe](#tut-share-tbac-roles)
+ [Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto](#tut-share-tbac-LF-settings)
+ [Schritt 1: Stellen Sie Ihre Ressourcen mithilfe von AWS CloudFormation Vorlagen bereit](#tut-tbac-share-provision-resources)
+ [Schritt 2: Voraussetzungen für die gemeinsame Nutzung von Konten bei Lake Formation](#cross-account-share-prerequisistes)
+ [Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode](#tut-share-tbac-method)
+ [Schritt 4: Implementieren Sie die benannte Ressourcenmethode](#tut-named-resource-method)
+ [Schritt 5: AWS Ressourcen bereinigen](#share-tbac-clean-up-db)

## Zielgruppe
<a name="tut-share-tbac-roles"></a>



Dieses Tutorial richtet sich an Datenverwalter, Dateningenieure und Datenanalysten. Wenn es um die gemeinsame Nutzung von Datenkatalogtabellen von Lake Formation AWS Glue und die Verwaltung von Berechtigungen in Lake Formation geht, haben die Data Stewards innerhalb der produzierenden Konten die funktionale Verantwortung, basierend auf den Funktionen, die sie unterstützen, und können verschiedenen Verbrauchern, externen Organisationen und Konten Zugriff gewähren. In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet werden:


| Rolle | Description | 
| --- | --- | 
| DataLakeAdminProducer | Der Data Lake-Admin-IAM-Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 
| DataLakeAdminConsumer |  Der Data Lake-Admin-IAM-Benutzer hat folgenden Zugriff:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html)  | 
| DataAnalyst | Der DataAnalyst Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 

## Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto
<a name="tut-share-tbac-LF-settings"></a>

Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Administratorbenutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen finden Sie unter [Erledigen Sie die Aufgaben zur AWS Erstkonfiguration](getting-started-setup.md#initial-aws-signup).

In der Anleitung wird davon ausgegangen, dass Sie mit IAM vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto**
**Anmerkung**  
 In diesem Tutorial wird das Konto, das die Quelltabelle enthält, als Produzentenkonto bezeichnet, und das Konto, das Zugriff auf die Quelltabelle benötigt, wird als Verbraucherkonto bezeichnet. 

Lake Formation bietet ein eigenes Genehmigungsverwaltungsmodell. Um die Abwärtskompatibilität mit dem IAM-Berechtigungsmodell aufrechtzuerhalten, wird der Gruppe `IAMAllowedPrincipals` die `Super` Berechtigung standardmäßig für alle vorhandenen AWS Glue Data Catalog Ressourcen erteilt. Außerdem sind die **Einstellungen für die Zugriffskontrolle „Nur IAM verwenden**“ für neue Datenkatalogressourcen aktiviert. In diesem Tutorial wird eine feinkörnige Zugriffskontrolle mithilfe Lake Formation Formation-Berechtigungen und IAM-Richtlinien für eine grobe Zugriffskontrolle verwendet. Details dazu finden Sie unter [Methoden für eine differenzierte Zugriffskontrolle](access-control-fine-grained.md). Bevor Sie eine AWS CloudFormation Vorlage für eine schnelle Einrichtung verwenden, müssen Sie daher die Lake Formation Data Catalog-Einstellungen im Producer-Konto ändern.
**Wichtig**  
Diese Einstellung wirkt sich auf alle neu erstellten Datenbanken und Tabellen aus. Wir empfehlen daher dringend, dieses Tutorial in einem Konto zu absolvieren, das nicht zur Produktion verwendet wird, oder mit einem neuen Konto. Wenn Sie ein gemeinsames Konto verwenden (z. B. das Entwicklungskonto Ihres Unternehmens), stellen Sie außerdem sicher, dass sich dies nicht auf andere Ressourcen auswirkt. Wenn Sie es vorziehen, die Standardsicherheitseinstellungen beizubehalten, müssen Sie bei der gemeinsamen Nutzung von `IAMAllowedPrincipals` Ressourcen für andere Konten einen zusätzlichen Schritt ausführen, in dem Sie die **Standard-Superberechtigung** für die Datenbank oder Tabelle entziehen. Wir besprechen die Details später in diesem Tutorial. 

Gehen Sie wie folgt vor, um die Lake Formation Data Catalog-Einstellungen im Producer-Konto zu konfigurieren:

1. Melden Sie sich AWS-Managementkonsole mit dem Producer-Konto als Admin-Benutzer oder als Benutzer mit Lake Formation `PutDataLakeSettings` API-Berechtigung an.

1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Einstellungen** aus.

1. Deaktivieren Sie „**Nur IAM-Zugriffskontrolle für neue Datenbanken** **verwenden“ und „Nur IAM-Zugriffskontrolle für neue Tabellen in neuen** Datenbanken verwenden“

   Wählen Sie **Speichern**.  
![\[Data catalog settings interface for AWS Lake Formation with permission options.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tbac-tut-settings.jpg)

   **Darüber hinaus können Sie `IAMAllowedPrincipals` unter **Administratorrollen und -aufgaben** die `CREATE_DATABASE` Berechtigungen für Datenbankersteller entfernen.** Nur dann können Sie mithilfe von Lake Formation Formation-Berechtigungen steuern, wer eine neue Datenbank erstellen kann.

## Schritt 1: Stellen Sie Ihre Ressourcen mithilfe von AWS CloudFormation Vorlagen bereit
<a name="tut-tbac-share-provision-resources"></a>

Die CloudFormation Vorlage für das Produzentenkonto generiert die folgenden Ressourcen:
+ Ein Amazon S3 S3-Bucket, der als Data Lake dient.
+ Eine Lambda-Funktion (für CloudFormation Lambda-gestützte benutzerdefinierte Ressourcen). Wir verwenden die Funktion, um Beispieldatendateien aus dem öffentlichen Amazon S3 S3-Bucket in Ihren Amazon S3-Bucket zu kopieren.
+ IAM-Benutzer und -Richtlinien: DataLakeAdminProducer.
+ Die entsprechenden Lake Formation Formation-Einstellungen und -Berechtigungen, einschließlich:
  + Definieren des Lake Formation Data Lake-Administrators im Producer-Konto
  + Registrierung eines Amazon S3 S3-Buckets als Lake Formation Data Lake-Standort (Produzentenkonto)
+ Eine AWS Glue Data Catalog Datenbank, eine Tabelle und eine Partition. Da es zwei Optionen für die gemeinsame Nutzung von Ressourcen gibt AWS-Konten, erstellt diese Vorlage zwei separate Gruppen von Datenbank und Tabelle.

Die CloudFormation Vorlage für das Verbraucherkonto generiert die folgenden Ressourcen:
+ IAM-Benutzer und -Richtlinien:
  + DataLakeAdminConsumer
  + DataAnalyst
+ Eine AWS Glue Data Catalog Datenbank. Diese Datenbank dient zum Erstellen von Ressourcenlinks zu gemeinsam genutzten Ressourcen.

**Erstellen Sie Ihre Ressourcen im Produzentenkonto**

1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.

1. Wählen Sie [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_producer.yaml).

1.  Wählen Sie **Weiter** aus.

1. Geben Sie **unter Stackname** einen Stacknamen ein, z. `stack-producer` B.

1.  Geben Sie im Abschnitt **Benutzerkonfiguration** den Benutzernamen und das Passwort für `ProducerDatalakeAdminUserName` und ein`ProducerDatalakeAdminUserPassword`. 

1. Geben Sie für **DataLakeBucketName**den Namen Ihres Data Lake-Buckets ein. Dieser Name muss weltweit eindeutig sein.

1. Behalten Sie für **DatabaseName**und **TableName**die Standardwerte bei.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der nächsten Seite **Weiter** aus.

1.  Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.

1.  Wählen Sie **Erstellen** aus.

   Die Erstellung des Stacks kann bis zu einer Minute dauern.

**Erstellen Sie Ihre Ressourcen im Kundenkonto**

1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.

1. Wählen Sie [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_consumer.yaml).

1.  Wählen Sie **Weiter** aus.

1. Geben Sie **unter Stackname** einen Stacknamen ein, z. `stack-consumer` B.

1.  Geben Sie im Abschnitt **Benutzerkonfiguration** den Benutzernamen und das Passwort für `ConsumerDatalakeAdminUserName` und ein`ConsumerDatalakeAdminUserPassword`. 

1. Geben Sie für `DataAnalystUserName` und `DataAnalystUserPassword` den gewünschten Benutzernamen und das Kennwort für den IAM-Benutzer von Data Analyst ein.

1. Geben Sie für **DataLakeBucketName**den Namen Ihres Data Lake-Buckets ein. Dieser Name muss weltweit eindeutig sein.

1. Behalten Sie im Feld **DatabaseName** die Standardwerte bei.

1. Geben Sie für `AthenaQueryResultS3BucketName` den Namen des Amazon S3 S3-Buckets ein, in dem die Amazon Athena Athena-Abfrageergebnisse gespeichert werden. Wenn Sie noch keinen haben, [erstellen Sie einen Amazon S3 S3-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).

1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der nächsten Seite **Weiter** aus.

1.  Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.

1.  Wählen Sie **Erstellen** aus.

   Die Erstellung des Stacks kann bis zu einer Minute dauern.

**Anmerkung**  
Löschen Sie nach Abschluss des Tutorials den Stack CloudFormation , um Gebühren zu vermeiden. Stellen Sie sicher, dass die Ressourcen im Ereignisstatus für den Stack erfolgreich gelöscht wurden.

## Schritt 2: Voraussetzungen für die gemeinsame Nutzung von Konten bei Lake Formation
<a name="cross-account-share-prerequisistes"></a>

Bevor Ressourcen mit Lake Formation gemeinsam genutzt werden können, müssen Voraussetzungen sowohl für die tagbasierte Zugriffskontrollmethode als auch für die benannte Ressourcenmethode erfüllt sein.

**Erfüllen Sie die Voraussetzungen für die tagbasierte Zugriffskontrolle und die kontenübergreifende gemeinsame Nutzung von Daten**
+ Weitere Informationen zu den Anforderungen für die kontenübergreifende gemeinsame Nutzung von Daten finden Sie im [Voraussetzungen](cross-account-prereqs.md) Abschnitt des Kapitels zur kontenübergreifenden Datenfreigabe.

  Um Datenkatalogressourcen mit Version 3 oder höher der **Einstellungen für die kontoübergreifende Version gemeinsam nutzen zu können**, benötigt der Gewährer die in der AWS verwalteten Richtlinie `AWSLakeFormationCrossAccountManager` definierten IAM-Berechtigungen in Ihrem Konto. 

  Wenn Sie Version 1 oder Version 2 der **Einstellungen für die kontenübergreifende Version** verwenden, müssen Sie der Datenkatalog-Ressourcenrichtlinie im Produzentenkonto das folgende `JSON` Berechtigungsobjekt hinzufügen, bevor Sie die tagbasierte Zugriffssteuerungsmethode verwenden können, um kontenübergreifenden Zugriff auf Ressourcen zu gewähren. Dadurch erhält das Verbraucherkonto die Erlaubnis, auf den Datenkatalog zuzugreifen, wenn dies `glue:EvaluatedByLakeFormationTags` zutrifft. Diese Bedingung gilt auch für Ressourcen, für die Sie die Erlaubnis erteilt haben, Lake Formation Formation-Berechtigungs-Tags für das Konto des Verbrauchers zu verwenden. Diese Richtlinie ist für jede Richtlinie erforderlich AWS-Konto , für die Sie Berechtigungen erteilen.

  Die folgende Richtlinie muss sich in einem `Statement` Element befinden. Wir besprechen die vollständige IAM-Richtlinie im nächsten Abschnitt.

  ```
  {
      "Effect": "Allow",
      "Action": [
          "glue:*"
      ],
      "Principal": {
          "AWS": [
              "consumer-account-id"
          ]
      },
      "Resource": [
          "arn:aws:glue:region:account-id:table/*",
          "arn:aws:glue:region:account-id:database/*",
          "arn:aws:glue:region:account-id:catalog"
      ],
      "Condition": {
          "Bool": {
              "glue:EvaluatedByLakeFormationTags": true
          }
      }
  }
  ```

**Vollständige Voraussetzungen für die kontenübergreifende gemeinsame Nutzung der Methode „Benannte Ressourcen“**

1. Wenn es in Ihrem Konto keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie existiert, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. Wenn Sie nur die benannte Ressourcenmethode oder nur die tagbasierte Zugriffskontrollmethode verwenden möchten, können Sie diesen Schritt überspringen. In diesem Tutorial evaluieren wir beide Methoden und müssen die folgende Richtlinie hinzufügen.

   Die folgende Richtlinie muss sich in einem `Statement` Element befinden. Wir besprechen die vollständige IAM-Richtlinie im nächsten Abschnitt.

   ```
   {
             "Effect": "Allow",
             "Action": [
             "glue:ShareResource"
             ],
             "Principal": {
               "Service":"ram.amazonaws.com"
             },
             "Resource": [
                 "arn:aws:glue:region:account-id:table/*/*",
                 "arn:aws:glue:region:account-id:database/*",
                 "arn:aws:glue:region:account-id:catalog"
             ]
   }
   ```

1. Fügen Sie als Nächstes die AWS Glue Data Catalog Ressourcenrichtlinie mithilfe von AWS Command Line Interface (AWS CLI) hinzu.

   Wenn Sie kontenübergreifende Berechtigungen sowohl mithilfe der tagbasierten Zugriffskontrollmethode als auch der benannten Ressourcenmethode gewähren, müssen Sie das `EnableHybrid` Argument auf „true“ setzen, wenn Sie die vorherigen Richtlinien hinzufügen. Weil diese Option derzeit nicht auf der Konsole unterstützt wird und Sie die `glue:PutResourcePolicy` API und verwenden müssen. AWS CLI

   Erstellen Sie zunächst ein Richtliniendokument (z. B. policy.json) und fügen Sie die beiden vorherigen Richtlinien hinzu. *consumer-account-id*Ersetzen Sie es durch die Angabe *account ID* des AWS-Konto Empfängers des Zuschusses, *region* durch die Region des Datenkatalogs, die die Datenbanken und Tabellen enthält, für die Sie Berechtigungen gewähren, und *account-id* durch die AWS-Konto Producer-ID.

   Geben Sie den folgenden AWS CLI Befehl ein. *glue-resource-policy*Ersetzen Sie durch die richtigen Werte (z. B. file: //policy.json).

   ```
   aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE
   ```

   Weitere Informationen finden Sie unter [put-resource-policy.](https://docs.aws.amazon.com/cli/latest/reference/glue/put-resource-policy.html)

## Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode
<a name="tut-share-tbac-method"></a>

In diesem Abschnitt führen wir Sie durch die folgenden allgemeinen Schritte:

1.  Definieren Sie ein LF-Tag.

1.  Weisen Sie der Zielressource das LF-Tag zu.

1. Erteilen Sie dem Verbraucherkonto LF-Tag-Berechtigungen.

1. Erteilen Sie dem Verbraucherkonto Datenberechtigungen.

1. Widerrufen Sie optional die `IAMAllowedPrincipals` Berechtigungen für die Datenbank, Tabellen und Spalten.

1. Erstellen Sie einen Ressourcenlink zu der gemeinsam genutzten Tabelle.

1.  Erstellen Sie ein LF-Tag und weisen Sie es der Zieldatenbank zu.

1.  Erteilen Sie dem Verbraucherkonto LF-Tag-Datenberechtigungen.

**Definieren Sie ein LF-Tag**
**Anmerkung**  
Wenn Sie mit Ihrem Produzentenkonto angemeldet sind, melden Sie sich ab, bevor Sie die folgenden Schritte ausführen.

1. Melden Sie sich als Data Lake-Administrator unter beim Produzentenkonto an [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Verwenden Sie die Producer-Kontonummer, den IAM-Benutzernamen (die Standardeinstellung ist`DatalakeAdminProducer`) und das Passwort, die Sie bei der CloudFormation Stack-Erstellung angegeben haben. 

1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) im Navigationsbereich unter **Berechtigungen** die Optionen **LF-Tags and** Permissions aus.

1. Wählen Sie „LF-Tag **hinzufügen**“.

**Weisen Sie der Zielressource das LF-Tag zu**

Weisen Sie der Zielressource das LF-Tag zu und gewähren Sie einem anderen Konto Datenberechtigungen

Als Data Lake-Administrator können Sie Tags an Ressourcen anhängen. Wenn Sie beabsichtigen, eine separate Rolle zu verwenden, müssen Sie der separaten Rolle möglicherweise Berechtigungen zum Beschreiben und Anhängen erteilen.

1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.

1. Wählen Sie die Zieldatenbank aus `(lakeformation_tutorial_cross_account_database_tbac)` und klicken Sie im Menü **Aktionen** auf **LF-Tags bearbeiten**.

   In diesem Tutorial weisen Sie einer Datenbank ein LF-Tag zu, Sie können aber auch Tabellen und Spalten LF-Tags zuweisen.

1. **Wählen Sie Neues LF-Tag zuweisen.**

1. Fügen Sie den Schlüssel `Confidentiality` und den Wert hinzu. `public`

1.  Wählen Sie **Speichern**.

**Erteilen Sie dem Kundenkonto die **LF-Tag-Erlaubnis****

Erteilen Sie dem Verbraucherkonto, das sich immer noch im Herstellerkonto befindet, Berechtigungen für den Zugriff auf das LF-Tag.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.

1. ****Wählen Sie die Registerkarte **LF-Tags** und wählen Sie den **Schlüssel** und die **Werte** des LF-Tags aus, das mit dem Kundenkonto geteilt wird (Schlüssel und Wert). `Confidentiality`**** `public`

1. Klicken Sie auf**Gewähren von Berechtigungen**aus.

1. Wählen Sie als **Berechtigungstyp die** Option **LF-Tag-Schlüssel-Wert-Paar-Berechtigungen** aus.

1. **Wählen Sie für **Principals** die Option Externe Konten aus.**

1. Geben Sie die **AWS-Konto Ziel-ID** ein.

   AWS-Konten innerhalb derselben Organisation werden automatisch angezeigt. Andernfalls müssen Sie die AWS-Konto ID manuell eingeben.

1. Wählen Sie unter **Berechtigungen** die Option **Describe** aus.

   Dies sind die Berechtigungen, die dem Verbraucherkonto erteilt wurden. Erteilbare Berechtigungen sind Berechtigungen, die das Verbraucherkonto anderen Prinzipalen gewähren kann.

1. Wählen Sie **Grant (Erteilen)**.

   Zu diesem Zeitpunkt sollte der Data Lake-Administrator in der Lage sein, das Policy-Tag, das über die Lake Formation Formation-Konsole des Verbraucherkontos gemeinsam genutzt wird, unter **Berechtigungen**, **LF-Tags und** Berechtigungen zu finden.

**Erteilen Sie dem Verbraucherkonto eine Datenberechtigung**

Wir werden nun Datenzugriff auf das Verbraucherkonto gewähren, indem wir einen LF-Tag-Ausdruck angeben und dem Verbraucherkonto Zugriff auf alle Tabellen oder Datenbanken gewähren, die dem Ausdruck entsprechen..

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen und Data Lake-Berechtigungen** **die Option Grant** aus.**

1. Wählen Sie für **Principals** die Option **Externe Konten** aus und geben Sie die AWS-Konto Ziel-ID ein.

1. ****Wählen Sie für **LF-Tags oder Katalogressourcen** den **Schlüssel** und die **Werte** des **LF-Tags** aus, das mit dem Kundenkonto geteilt wird (Schlüssel und Wert). `Confidentiality`**** `public`

1. **Wählen Sie für **Berechtigungen** unter **Ressourcen, denen LF-Tags zugeordnet sind (empfohlen) die Option LF-Tag hinzufügen** aus.**

1. Wählen Sie den **Schlüssel** und den **Wert** des Tags aus, das mit dem Kundenkonto geteilt wird (Schlüssel `Confidentiality` und Wert). `public`

1. Wählen Sie für **Datenbankberechtigungen** unter **Datenbankberechtigungen** die Option **Beschreiben** aus, um Zugriffsberechtigungen auf Datenbankebene zu gewähren.

1. Der Data Lake-Administrator für Verbraucher sollte das Policy-Tag, das über das Verbraucherkonto geteilt wird, in der Lake Formation Formation-Konsole unter **Berechtigungen [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)**, **Administratorrollen und Aufgaben**, **LF-Tags** finden können.

1. Wählen Sie unter **Erteilbare Berechtigungen** die Option **Beschreiben** aus, damit das Verbraucherkonto seinen Benutzern Berechtigungen auf Datenbankebene gewähren kann.

1. **Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter Tabellenberechtigungen die **Option Auswählen** und **Beschreiben** aus.**

1. **Wählen Sie unter **Erteilbare Berechtigungen** die Option Auswählen** und **Beschreiben** aus.

1. Wählen Sie **Grant (Erteilen)**.

**Widerrufen Sie die Berechtigung für `IAMAllowedPrincipals` die Datenbank, Tabellen und Spalten (optional).**

Ganz am Anfang dieses Tutorials haben Sie die Lake Formation Data Catalog-Einstellungen geändert. Wenn Sie diesen Teil übersprungen haben, ist dieser Schritt erforderlich. Wenn Sie Ihre Lake Formation Data Catalog-Einstellungen geändert haben, können Sie diesen Schritt überspringen.

In diesem Schritt müssen wir die standardmäßige **Super-Berechtigung** für die Datenbank oder Tabelle widerrufen. `IAMAllowedPrincipals` Details dazu finden Sie unter [Schritt 4: Stellen Sie Ihre Datenspeicher auf das Lake Formation Formation-Berechtigungsmodell um](upgrade-glue-lake-formation.md#upgrade-glue-lake-formation-step4).

Bevor Sie die Genehmigung für widerrufen`IAMAllowedPrincipals`, stellen Sie sicher, dass Sie bestehenden IAM-Prinzipalen die erforderliche Genehmigung über Lake Formation erteilt haben. Dies umfasst drei Schritte:

1. Fügen Sie dem IAM-Zielbenutzer oder der Zielrolle mit der `GetDataAccess` Aktion Lake Formation (mit IAM-Richtlinie) eine IAM-Berechtigung hinzu.

1.  Erteilen Sie dem Ziel-IAM-Benutzer oder der Zielrolle Lake Formation Formation-Datenberechtigungen (ändern, auswählen usw.).

1. Widerrufen Sie anschließend die Berechtigungen für`IAMAllowedPrincipals`. Andernfalls können bestehende IAM-Prinzipale nach dem Widerruf der Berechtigungen für `IAMAllowedPrincipals` möglicherweise nicht mehr auf die Zieldatenbank oder den Datenkatalog zugreifen.

   Der Widerruf der **Super-Berechtigung** für `IAMAllowedPrincipals` ist erforderlich, wenn Sie das Lake Formation Formation-Berechtigungsmodell (anstelle des IAM-Richtlinienmodells) anwenden möchten, um den Benutzerzugriff innerhalb eines einzelnen Kontos oder zwischen mehreren Konten mithilfe des Lake Formation Formation-Berechtigungsmodells zu verwalten. Sie müssen die Erlaubnis `IAMAllowedPrincipals` für andere Tabellen nicht widerrufen, für die Sie das traditionelle IAM-Richtlinienmodell beibehalten möchten.

   Zu diesem Zeitpunkt sollte der Data Lake-Administrator des Verbraucherkontos in der Lage sein, die Datenbank und die Tabelle, die über das Verbraucherkonto gemeinsam genutzt werden [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), in der Lake Formation Formation-Konsole unter **Data Catalog unter Datenbanken** zu finden. Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:

   1. Den Zieldatenbanken und -tabellen werden das richtige Policy-Tag und die richtigen Werte zugewiesen.

   1. Dem Verbraucherkonto werden die richtigen Tagberechtigungen und Datenberechtigungen zugewiesen.

   1. Widerrufen Sie die Standard-Superberechtigung für die Datenbank oder Tabelle. `IAMAllowedPrincipals`

**Erstellen Sie einen Ressourcenlink zu der gemeinsam genutzten Tabelle**

Wenn eine Ressource von mehreren Konten gemeinsam genutzt wird und die gemeinsam genutzten Ressourcen nicht in den Datenkatalog der Verbraucherkonten aufgenommen werden. Um sie verfügbar zu machen und die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle mithilfe von Diensten wie Athena abzufragen, müssen wir einen Ressourcenlink zu der gemeinsam genutzten Tabelle erstellen. Ein Ressourcenlink ist ein Datenkatalog-Objekt, bei dem es sich um einen Link zu einer lokalen oder gemeinsam genutzten Datenbank oder Tabelle handelt. Details hierzu finden Sie unter [Ressourcenlinks erstellen](creating-resource-links.md). Durch das Erstellen einer Ressourcenverknüpfung können Sie:
+ Weisen Sie einer Datenbank oder Tabelle einen anderen Namen zu, der Ihren Richtlinien zur Benennung von Ressourcen im Datenkatalog entspricht.
+ Verwenden Sie Dienste wie Athena und Redshift Spectrum, um gemeinsam genutzte Datenbanken oder Tabellen abzufragen.

Gehen Sie wie folgt vor, um einen Ressourcenlink zu erstellen:

1. Wenn Sie in Ihrem Kundenkonto angemeldet sind, melden Sie sich ab.

1. Melden Sie sich als Data Lake-Administrator für das Verbraucherkonto an. Verwenden Sie die Benutzerkonto-ID, den IAM-Benutzernamen (Standard DatalakeAdminConsumer) und das Passwort, die Sie bei der CloudFormation Stack-Erstellung angegeben haben.

1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) im Navigationsbereich unter **Datenkatalog, Datenbanken** die gemeinsam genutzte Datenbank aus`lakeformation_tutorial_cross_account_database_tbac`.

   Wenn Sie die Datenbank nicht sehen, wiederholen Sie die vorherigen Schritte, um zu überprüfen, ob alles richtig konfiguriert ist.

1. Wählen Sie „**Tabellen anzeigen**“.

1. Wählen Sie die gemeinsam genutzte Tabelle aus`amazon_reviews_table_tbac`.

1. Wählen Sie im Menü **Aktionen** die Option **Ressourcenlink erstellen** aus.

1. Geben Sie **unter Name des Ressourcenlinks** einen Namen ein (für dieses Tutorial,`amazon_reviews_table_tbac_resource_link`).

1. Wählen Sie unter **Datenbank** die Datenbank aus, in der der Ressourcenlink erstellt wurde (für diesen Beitrag hat der CloudFormation n-Stack die Datenbank erstellt`lakeformation_tutorial_cross_account_database_consumer`).

1. Wählen Sie **Erstellen** aus.

   Der Ressourcenlink wird unter **Datenkatalog**, **Tabellen** angezeigt.

**Erstellen Sie ein LF-Tag und weisen Sie es der Zieldatenbank zu**

Lake Formation-Tags befinden sich im selben Datenkatalog wie die Ressourcen. Das bedeutet, dass im Produzentenkonto erstellte Tags nicht verwendet werden können, wenn Zugriff auf die Ressourcenlinks im Verbraucherkonto gewährt wird. Sie müssen einen separaten Satz von LF-Tags im Verbraucherkonto erstellen, um die auf LF-Tags basierende Zugriffskontrolle bei der gemeinsamen Nutzung der Ressourcenlinks im Verbraucherkonto verwenden zu können.

1. Definieren Sie das LF-Tag im Verbraucherkonto. Für dieses Tutorial verwenden wir Schlüssel `Division` und Werte `sales``marketing`, und. `analyst`

1. Weisen Sie der Datenbank, in der der Ressourcenlink erstellt wird`lakeformation_tutorial_cross_account_database_consumer`, `analyst` den LF-Tag-Schlüssel `Division` und den Wert zu.

**Erteilen Sie dem Verbraucher die Erlaubnis für LF-Tag-Daten**

Erteilen Sie dem Verbraucher als letzten Schritt die Genehmigung für LF-Tag-Daten.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, Data Lake-Berechtigungen** **die Option Grant** aus.**

1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** dann den Benutzer aus. `DataAnalyst`

1.  Wählen Sie für **LF-Tags oder Katalogressourcen die Option Ressourcen, denen** **LF-Tags zugeordnet sind** (empfohlen) aus.

1. **Wählen Sie „**Key** Division“ und „Value Analyst“.**

1. Wählen Sie für **Datenbankberechtigungen** unter **Datenbankberechtigungen** **die** Option Describe aus.

1. Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter **Tabellenberechtigungen** die **Option Auswählen** und **Beschreiben** aus.

1. Wählen Sie **Grant (Erteilen)**.

1. Wiederholen Sie diese Schritte für den Benutzer`DataAnalyst`, wobei sich der LF-Tag-Schlüssel `Confidentiality` und der Wert befinden. `public`

   Zu diesem Zeitpunkt sollte der Data Analyst-Benutzer im Kundenkonto in der Lage sein, die Datenbank und den Ressourcenlink zu finden und die gemeinsam genutzte Tabelle über die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)abzufragen. Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:
   + Der Ressourcenlink wird für die gemeinsam genutzte Tabelle erstellt
   + Sie haben dem Benutzer Zugriff auf das vom Producer-Konto gemeinsam genutzte LF-Tag gewährt
   + Sie haben dem Benutzer Zugriff auf das LF-Tag gewährt, das dem Ressourcenlink und der Datenbank zugeordnet ist, in der der Ressourcenlink erstellt wurde
   + Überprüfen Sie, ob Sie dem Ressourcenlink und der Datenbank, in der der Ressourcenlink erstellt wurde, das richtige LF-Tag zugewiesen haben

## Schritt 4: Implementieren Sie die benannte Ressourcenmethode
<a name="tut-named-resource-method"></a>

Um die Methode „Named Resource“ zu verwenden, führen wir Sie durch die folgenden allgemeinen Schritte:

1. Widerrufen Sie optional die Zugriffsrechte für `IAMAllowedPrincipals` die Datenbank, Tabellen und Spalten.

1. Erteilen Sie dem Kundenkonto die Datenberechtigung.

1. Akzeptieren Sie eine gemeinsame Nutzung einer Ressource von AWS Resource Access Manager.

1. Erstellen Sie einen Ressourcenlink für die gemeinsam genutzte Tabelle.

1. Erteilen Sie dem Verbraucher die Datenberechtigung für die gemeinsam genutzte Tabelle.

1. Erteilen Sie dem Verbraucher die Datenberechtigung für den Ressourcenlink.

**Widerrufen Sie `IAMAllowedPrincipals` die Berechtigung für die Datenbank, Tabellen und Spalten (optional)**
+ Ganz am Anfang dieses Tutorials haben wir die Einstellungen für den Lake Formation Data Catalog geändert. Wenn Sie diesen Teil übersprungen haben, ist dieser Schritt erforderlich. Anweisungen finden Sie im optionalen Schritt im vorherigen Abschnitt.

**Erteilen Sie dem Kundenkonto die Datenberechtigung**

1. 
**Anmerkung**  
Wenn Sie als anderer Benutzer beim Produzentenkonto angemeldet sind, melden Sie sich zuerst ab.

   Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Data Lake-Administrator des Producer-Kontos bei der Lake Formation Formation-Konsole an. Verwenden Sie AWS-Konto dabei die ID, den IAM-Benutzernamen (Standard ist`DatalakeAdminProducer`) und das Passwort, die bei der CloudFormation Stack-Erstellung angegeben wurden.

1. Wählen Sie auf der Seite **Berechtigungen** unter **Data Lake-Berechtigungen** die Option **Grant** aus.

1. Wählen Sie unter **Principals** die Option **Externe Konten** aus und geben Sie eine AWS-Konto IDs oder mehrere AWS Organisationen IDs ein. Weitere Informationen finden Sie unter: [AWS Organizations](https://aws.amazon.com/organizations/).

   Organizations, zu denen das Produzentenkonto gehört und zu AWS-Konten derselben Organisation gehört, werden automatisch angezeigt. Andernfalls geben Sie die Konto- oder Organisations-ID manuell ein.

1. Wählen Sie für **LF-Tags oder Katalogressourcen**. `Named data catalog resources`

1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_named_resource`

1. Wählen Sie **LF-Tag hinzufügen**.

1. Wählen Sie unter **Tabellen** die Option **Alle** Tabellen aus.

1. Wählen Sie für **Tabellenspaltenberechtigungen** die **Option Auswählen** und unter **Tabellenberechtigungen** die Option **Beschreiben** aus.

1. **Wählen Sie unter **Erteilbare Berechtigungen** die Option Auswählen** und **beschreiben** aus.

1. Wählen Sie optional für **Datenberechtigungen** die Option **Einfacher spaltenbasierter Zugriff** aus, wenn eine Berechtigungsverwaltung auf Spaltenebene erforderlich ist. 

1. Wählen Sie **Grant (Erteilen)**.

**Wenn Sie die Berechtigung für nicht widerrufen haben`IAMAllowedPrincipals`, wird die Fehlermeldung „Berechtigungen nicht erteilt“ angezeigt.** Zu diesem Zeitpunkt sollten Sie unter **Berechtigungen, Datenberechtigungen die Zieltabelle sehen, AWS RAM ** über die für das Verbraucherkonto freigegeben wurde.

**Akzeptieren Sie eine gemeinsame Nutzung einer Ressource von AWS RAM**
**Anmerkung**  
Dieser Schritt ist nur für die gemeinsame Nutzung AWS-Konto auf der Grundlage von Organisationen erforderlich, nicht für die gemeinsame Nutzung innerhalb einer Organisation.

1. Melden Sie sich mit dem Data Lake-Administrator des Verbraucherkontos [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)mit dem IAM-Benutzernamen (Standard ist DatalakeAdminConsumer) und dem Passwort, das Sie bei der Stack-Erstellung angegeben haben, bei der AWS CloudFormation Konsole an.

1. Wählen Sie auf der AWS RAM Konsole im Navigationsbereich unter **Für mich freigegeben, Ressourcenfreigaben** die gemeinsam genutzte Lake Formation Formation-Ressource aus. Der **Status sollte „****Ausstehend“ lauten**.

1. Wählen Sie **Aktion** und **Grant** aus.

1. Bestätigen Sie die Ressourcendetails und wählen Sie „**Ressourcenfreigabe akzeptieren**“.

   Zu diesem Zeitpunkt sollte der Data Lake-Administrator des Benutzerkontos in der Lage sein, die gemeinsam genutzte Ressource in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Datenkatalog**, **Datenbanken** zu finden.

**Erstellen Sie einen Ressourcenlink für die gemeinsam genutzte Tabelle**
+ Folgen Sie den Anweisungen in [Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode](#tut-share-tbac-method) (Schritt 6), um einen Ressourcenlink für eine gemeinsam genutzte Tabelle zu erstellen. Benennen Sie den Ressourcenlink`amazon_reviews_table_named_resource_resource_link`. Erstellen Sie den Ressourcenlink in der Datenbank`lakeformation_tutorial_cross_account_database_consumer`.

**Erteilen Sie dem Benutzer die Datenberechtigung für die gemeinsam genutzte Tabelle**

Gehen Sie wie folgt vor, um dem Verbraucher die Datenberechtigung für die gemeinsam genutzte Tabelle zu erteilen:

1. **Wählen Sie auf der Lake Formationconsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Berechtigungen und Data Lake-Berechtigungen** **die Option Grant** aus.**

1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und dann** den Benutzer aus. `DataAnalyst`

1. Wählen Sie für **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.

1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_named_resource` Wenn Sie die Datenbank nicht in der Dropdownliste sehen, wählen Sie **Mehr laden** aus. 

1.  Wählen Sie unter **Tabellen** die Tabelle aus`amazon_reviews_table_named_resource`.

1. Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter **Tabellenberechtigungen** die **Option Auswählen** und **Beschreiben** aus.

1. Wählen Sie **Grant (Erteilen)**.

**Erteilen Sie dem Verbraucher die Datenberechtigung für den Ressourcenlink**

Sie müssen dem Data Lake-Benutzer nicht nur die Berechtigung für den Zugriff auf die gemeinsam genutzte Tabelle gewähren, sondern auch dem Data Lake-Benutzer die Berechtigung für den Zugriff auf den Ressourcenlink erteilen.

1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Berechtigungen**, **Data Lake-Berechtigungen** die Option **Grant** aus.

1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** dann den Benutzer aus. `DataAnalyst`

1. Wählen Sie für **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.

1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_consumer` Wenn Sie die Datenbank nicht in der Dropdownliste sehen, wählen Sie **Mehr laden** aus. 

1.  Wählen Sie unter **Tabellen** die Tabelle aus`amazon_reviews_table_named_resource_resource_link`.

1. Wählen Sie für **Berechtigungen für Ressourcenlinks** die Option **Beschreiben** unter **Berechtigungen für Ressourcenlinks** aus.

1. Wählen Sie **Grant (Erteilen)**.

   Zu diesem Zeitpunkt sollte der Data Analyst-Benutzer im Verbraucherkonto in der Lage sein, die Datenbank und den Ressourcenlink zu finden und die gemeinsam genutzte Tabelle über die Athena-Konsole abzufragen.

   Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:
   + Der Ressourcenlink wird für die gemeinsam genutzte Tabelle erstellt
   + Sie haben dem Benutzer Zugriff auf die vom Producer-Konto gemeinsam genutzte Tabelle gewährt
   + Sie haben dem Benutzer Zugriff auf den Ressourcenlink und die Datenbank gewährt, für die der Ressourcenlink erstellt wurde

## Schritt 5: AWS Ressourcen bereinigen
<a name="share-tbac-clean-up-db"></a>

Um zu verhindern, dass Ihnen unerwünschte Kosten entstehen AWS-Konto, können Sie die AWS Ressourcen löschen, die Sie für dieses Tutorial verwendet haben.

1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Produzentenkonto bei der Lake Formation Formation-Konsole an und löschen oder ändern Sie Folgendes:
   + AWS Resource Access Manager gemeinsame Nutzung von Ressourcen
   + Lake Formation Stichworte
   + CloudFormation stapeln
   + Lake Formation Formation-Einstellungen
   + AWS Glue Data Catalog

1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Kundenkonto bei der Lake Formation Formation-Konsole an und löschen oder ändern Sie Folgendes:
   + Lake Formation Stichworte
   + CloudFormation stapeln