Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Tag-basierte Zugangskontrolle von Lake Formation
<a name="tag-based-access-control"></a>

Lake Formation Tag-Based Access Control (LF-TBAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In Lake Formation werden diese Attribute als *LF-Tags* bezeichnet. Sie können LF-Tags an Datenkatalogressourcen anhängen und Lake Formation-Prinzipalen mithilfe dieser LF-Tags Berechtigungen für diese Ressourcen erteilen. Lake Formation ermöglicht Operationen mit diesen Ressourcen, wenn der Principal Zugriff auf einen Tag-Wert gewährt hat, der dem Ressourcen-Tag-Wert entspricht. 

LF-TBAC ist hilfreich in Umgebungen, die schnell wachsen, und hilft in Situationen, in denen die Richtlinienverwaltung umständlich wird. 

LF-TBAC ist die empfohlene Methode, um Lake Formation Formation-Berechtigungen zu erteilen, wenn es eine große Anzahl von Datenkatalogobjekten gibt, einschließlich Verbundkatalogen, Datenbanken, Tabellen und Ansichten. Lake Formation unterstützt tagbasierte Zugriffskontrolle für Verbundkataloge von Amazon S3 S3-Tabellen, Amazon Redshift Data Warehouses und föderierten Datenquellen wie SQL Server und Amazon DynamoDB Snowflake.

**Anmerkung**  
IAM-Tags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM-Tags werden verwendet, um IAM-Richtlinien zu definieren.

## So funktioniert die Tag-basierte Zugriffskontrolle von Lake Formation
<a name="how-TBAC-works"></a>

Jedes LF-Tag ist ein Schlüssel-Wert-Paar, z. B. oder. `department=sales` `classification=restricted` Ein Schlüssel kann mehrere definierte Werte haben, wie z. `department=sales,marketing,engineering,finance` 

Um die LF-TBAC-Methode zu verwenden, führen Data Lake-Administratoren und Datentechniker die folgenden Aufgaben aus.


| Aufgabe | Einzelheiten zu den Aufgaben | 
| --- | --- | 
|  1. Definieren Sie die Eigenschaften und Beziehungen von LF-Tags.  | - | 
|  2. Erstelle die LF-Tag-Ersteller in Lake Formation.  | [Hinzufügen von LF-Tag-Erstellern](TBAC-adding-tag-creator.md) | 
|  3. Erstellen Sie das LF-Tag in Lake Formation.  | [LF-Tags erstellen](TBAC-creating-tags.md) | 
|  4. Weisen Sie den Datenkatalogressourcen LF-Tags zu.  | [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md) | 
|  5. Erteilen Sie anderen Principals Berechtigungen, um Ressourcen LF-Tags zuzuweisen, optional mit der Option Grant.  | [Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md) | 
|  6. Erteilen Sie Prinzipalen LF-Tag-Ausdrücke, optional mit der Grant-Option.  | [Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md) | 
|  7. (Empfohlen) Nachdem Sie überprüft haben, ob die Prinzipale über die LF-TBAC-Methode Zugriff auf die richtigen Ressourcen haben, widerrufen Sie die Berechtigungen, die mithilfe der benannten Ressourcenmethode erteilt wurden.  | - | 

Stellen Sie sich den Fall vor, dass Sie drei Prinzipalen Berechtigungen für drei Datenbanken und sieben Tabellen erteilen müssen. 

![\[Auf der linken Seite befinden sich drei Figuren mit Benutzern, die vertikal angeordnet sind. Auf der rechten Seite befinden sich drei Datenbanken mit den Bezeichnungen A, B und C, die vertikal angeordnet sind. Datenbank A hat zwei Tabellen mit den Bezeichnungen A.1 und A.2, Datenbank B hat die Tabellen B.1 und B.2 und Datenbank C hat drei Tabellen mit den Bezeichnungen C.1, C.2 und C.3. Siebzehn Pfeile verbinden die Benutzer mit den Datenbanken und Tabellen und weisen so darauf hin, dass die Benutzer Zugriff auf die Datenbanken und Tabellen erhalten.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/TBAC_example_discreet.png)


Um die im obigen Diagramm angegebenen Berechtigungen mithilfe der Methode der benannten Ressource zu erhalten, müssten Sie 17 Zuweisungen vornehmen, und zwar wie folgt (in Pseudocode).

```
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1
...
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2
GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2
...
GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
```

Überlegen Sie sich nun, wie Sie mithilfe von LF-TBAC Berechtigungen gewähren würden. Das folgende Diagramm zeigt, dass Sie Datenbanken und Tabellen LF-Tags zugewiesen und Prinzipalen Berechtigungen für LF-Tags erteilt haben. 

In diesem Beispiel stellen die LF-Tags Bereiche des Data Lake dar, die Analysen für verschiedene Module einer ERP-Anwendungssuite (Enterprise Resource Planning) enthalten. Sie können sie verwenden, um den Zugriff auf die Analysedaten für die verschiedenen Module zu steuern. Alle LF-Tags haben den Schlüssel `module` und mögliche Werte `Sales``Orders`, und. `Customers` Ein Beispiel für ein LF-Tag sieht so aus:

```
module=Sales
```

Das Diagramm zeigt nur die LF-Tag-Werte.

![\[Wie im vorherigen Diagramm befinden sich links drei Abbildungen von Benutzern, vertikal angeordnet, und rechts drei vertikal angeordnete Datenbanken mit den Bezeichnungen A, B und C. Datenbank A hat zwei Tabellen mit den Bezeichnungen A.1 und A.2, Datenbank B hat die Tabellen mit den Bezeichnungen B.1 und B.2 und Datenbank C hat drei Tabellen mit den Bezeichnungen C.1, C.2 und C.3. Es gibt keine Pfeile zwischen den Benutzern und den Datenbanken und Tabellen. Stattdessen weisen „Flaggen“ neben den Benutzern darauf hin, dass Benutzer1 die LF-Tags Vertrieb und Kunden, Benutzer 2 die LF-Tags Bestellungen und Benutzer 3 die LF-Tags Kunden erhalten hat. Flaggen neben den Datenbanken und Tabellen weisen auf die folgenden Zuweisungen von LF-Tags zu Datenbanken und Tabellen hin: Datenbank A: Vertrieb. Tabelle A1: Eine abgeblendete Markierung gibt an, dass der Umsatz aus Datenbank A übernommen wurde. Tabelle A2: Bestellungen. Eine abgeblendete Flagge bedeutet jedoch, dass der Umsatz aus Datenbank A übernommen wurde. Datenbank B: Bestellungen. Tabelle B.1 und B.2 erben Bestellungen, und Tabelle B.2 enthält Kunden. Datenbank C hat Kunden, und die Tabellen C.1, C.2 und C.3 erben Kunden. Die C-Tabellen haben keine anderen Zuweisungen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/TBAC_example_tags.png)


**Tag-Zuweisungen zu Datenkatalogressourcen und Vererbung**  
Tabellen erben LF-Tags von Datenbanken und Spalten erben LF-Tags von Tabellen. Vererbte Werte können überschrieben werden. Im vorherigen Diagramm werden abgedunkelte LF-Tags vererbt.

Aufgrund der Vererbung muss der Data Lake-Administrator nur die fünf folgenden LF-Tag-Zuweisungen zu Ressourcen vornehmen (in Pseudocode).

```
ASSIGN TAGS module=Sales TO database A
ASSIGN TAGS module=Orders TO table A.2
ASSIGN TAGS module=Orders TO database B
ASSIGN TAGS module=Customers TO table B.2
ASSIGN TAGS module=Customers TO database C
```

**Tag-Zuschüsse für Schulleiter**  
Nach der Zuweisung von LF-Tags zu den Datenbanken und Tabellen muss der Data Lake-Administrator den Prinzipalen nur vier LF-Tags gewähren, und zwar wie folgt (in Pseudocode).

```
GRANT TAGS module=Sales TO Principal 1
GRANT TAGS module=Customers TO Principal 1
GRANT TAGS module=Orders TO Principal 2
GRANT TAGS module=Customers TO Principal 3
```

Jetzt kann ein Principal mit dem `module=Sales` LF-Tag auf Datenkatalogressourcen mit dem LF-Tag zugreifen (z. B. Datenbank A), ein Principal mit dem `module=Sales` LF-Tag kann auf Ressourcen mit dem `module=Customers` LF-Tag zugreifen usw. `module=Customers`

Die obigen Grant-Befehle sind unvollständig. Dies liegt daran, dass sie zwar anhand von LF-Tags die Datenkatalogressourcen angeben, für die die Prinzipale Berechtigungen haben, sie geben jedoch nicht genau an, welche Lake Formation Formation-Berechtigungen (z. B.`ALTER`) die Principals `SELECT` für diese Ressourcen haben. Daher stellen die folgenden Pseudocode-Befehle genauer dar, wie Lake Formation Formation-Berechtigungen für Datenkatalogressourcen über LF-Tags erteilt werden.

```
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Sales TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Customers TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Orders TO Principal 2
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3
GRANT (SELECT, INSERT ON TABLES)  ON TAGS module=Customers TO Principal 3
```

**Zusammenstellen — Die daraus resultierenden Berechtigungen für Ressourcen**  
Angesichts der LF-Tags, die den Datenbanken und Tabellen im vorherigen Diagramm zugewiesen wurden, und der LF-Tags, die den Prinzipalen im Diagramm gewährt wurden, sind in der folgenden Tabelle die Lake Formation Formation-Berechtigungen aufgeführt, die die Prinzipale für die Datenbanken und Tabellen haben.


| Auftraggeber | Über LF-Tags erteilte Berechtigungen | 
| --- | --- | 
| Schulleiter 1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 
| Schulleiter 2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 
| Schulleiter 3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/tag-based-access-control.html)  | 

**Unterm Strich**  
In diesem einfachen Beispiel konnte der Data Lake-Administrator mithilfe von fünf Zuweisungsvorgängen und acht Zuweisungsvorgängen 17 Berechtigungen angeben. Bei Dutzenden von Datenbanken und Hunderten von Tabellen wird der Vorteil der LF-TBAC-Methode gegenüber der benannten Ressourcenmethode deutlich. Im hypothetischen Fall, dass jedem Hauptbenutzer Zugriff auf jede Ressource gewährt werden muss, und wo `n(P)` ist die Anzahl der Prinzipale und ist die Anzahl der Ressourcen: `n(R)`
+ Bei der Methode mit der Bezeichnung „Ressourcen“ beträgt die Anzahl der erforderlichen Zuschüsse ✕. `n(P)` `n(R)`
+ Bei der LF-TBAC-Methode, bei der ein einziger LF-Tag verwendet wird, ergibt die Gesamtzahl der Zuschüsse an Schulleiter und der Zuweisungen an Ressourcen einen Wert von \$1. `n(P)` `n(R)`

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)

**Topics**
+ [So funktioniert die Tag-basierte Zugriffskontrolle von Lake Formation](#how-TBAC-works)
+ [Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md)
+ [Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten](managing-tag-expressions.md)
+ [Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)

# Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten
<a name="managing-tags"></a>

Um die Tag-Based Access Control (LF-TBAC) -Methode von Lake Formation zur Sicherung von Datenkatalogobjekten wie Katalogen, Datenbanken, Tabellen, Ansichten und Spalten zu verwenden, erstellen Sie LF-Tags, weisen sie Ressourcen zu und gewähren Prinzipalen LF-Tag-Berechtigungen.

Bevor Sie Datenkatalogobjekten LF-Tags zuweisen oder Prinzipalen Berechtigungen erteilen können, müssen Sie LF-Tags definieren. Nur ein Data Lake-Administrator oder ein Principal mit Berechtigungen zum Erstellen von LF-Tags kann LF-Tags erstellen.

**Ersteller von LF-Tags**  
LF-Tag Creator ist kein Administrator und hat die Rechte, LF-Tags zu erstellen und zu verwalten. Data Lake-Administratoren können LF-Tag-Ersteller mithilfe der Lake Formation Formation-Konsole oder CLI hinzufügen. LF-Tag-Ersteller verfügen über implizite Lake Formation Formation-Berechtigungen zum Aktualisieren und Löschen von LF-Tags, zum Zuweisen von LF-Tags zu Ressourcen und zum Erteilen von LF-Tag-Berechtigungen und LF-Tag-Wertberechtigungen an andere Principals.

Mit LF-Tag-Erstellerrollen können Data Lake-Administratoren Tag-Management-Aufgaben wie das Erstellen und Aktualisieren von Tag-Schlüsseln und -Werten an Prinzipale delegieren, die keine Administratoren sind. Data Lake-Administratoren können LF-Tag-Erstellern auch erteilbare Berechtigungen gewähren. `Create LF-Tag` Anschließend kann der LF-Tag-Ersteller anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tags erteilen. 

 Sie können zwei Arten von Berechtigungen für LF-Tags gewähren:
+ LF-Tag-Berechtigungen -`Create LF-Tag`, und. `Alter` `Drop` Diese Berechtigungen sind erforderlich, um LF-Tags zu erstellen, zu aktualisieren und zu löschen.

  Data Lake-Administratoren und LF-Tag-Ersteller verfügen implizit über diese Berechtigungen für die von ihnen erstellten LF-Tags und können diese Berechtigungen explizit Prinzipalen zur Verwaltung von Tags im Data Lake gewähren. 
+ Berechtigungen für LF-Tag-Schlüsselwertpaare -, und. `Assign` `Describe` `Grant with LF-Tag expressions` Diese Berechtigungen sind erforderlich, um Datenkatalogobjekten LF-Tags zuzuweisen und Prinzipalen, die die Tag-basierte Zugriffskontrolle von Lake Formation verwenden, Berechtigungen für die Ressourcen zu gewähren. LF-Tag-Ersteller erhalten diese Berechtigungen implizit, wenn sie LF-Tags erstellen.

Nach Erhalt der `Create LF-Tag` Genehmigung und erfolgreicher Erstellung von LF-Tags kann der LF-Tag-Ersteller Ressourcen LF-Tags zuweisen und anderen Benutzern, die keine Administratorrechte haben, LF-Tag-Berechtigungen (`Create LF-Tag``Alter``Drop`, und) zur Verwaltung von Tags im Data Lake gewähren. Sie können LF-Tags mithilfe der Lake Formation Formation-Konsole, der API oder der AWS Command Line Interface ()AWS CLI verwalten.

**Anmerkung**  
 Data Lake-Administratoren verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tag-Berechtigungen zu gewähren. 

Bewährte Methoden und Überlegungen finden Sie unter [Bewährte Methoden und Überlegungen zur Tag-basierten Zugriffskontrolle von Lake Formation](lf-tag-considerations.md)

**Topics**
+ [Hinzufügen von LF-Tag-Erstellern](TBAC-adding-tag-creator.md)
+ [LF-Tags erstellen](TBAC-creating-tags.md)
+ [LF-Tags werden aktualisiert](TBAC-updating-tags.md)
+ [LF-Tags löschen](TBAC-deleting-tags.md)
+ [LF-Tags auflisten](TBAC-listing-tags.md)
+ [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md)
+ [LF-Tags anzeigen, die einer Ressource zugewiesen sind](TBAC-view-resource-tags.md)
+ [Die Ressourcen anzeigen, denen ein LF-Tag zugewiesen ist](TBAC-view-tag-resources.md)
+ [Lebenszyklus eines LF-Tags](#lf-tag-life-cycle)
+ [Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle](#TBAC-comparison-ABAC)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

# Hinzufügen von LF-Tag-Erstellern
<a name="TBAC-adding-tag-creator"></a>

 Standardmäßig können Data Lake-Administratoren LF-Tags erstellen, aktualisieren und löschen, Datenkatalogobjekten Tags zuweisen und Prinzipalen Tag-Berechtigungen gewähren. Wenn Sie die Tag-Erstellung und -Verwaltung an Prinzipale ohne Administratorrechte delegieren möchten, kann der Data Lake-Administrator LF-Tag-Erstellerrollen erstellen und Lake Formation `Create LF-Tag` Formation-Berechtigungen für die Rollen erteilen. Mit erteilbarer `Create LF-Tag` Genehmigung können LF-Tag-Ersteller Aufgaben zur Erstellung und Wartung von Tags an andere Personen delegieren, die keine Administratorrechte haben.

Damit Data Lake-Administratoren LF-Tags Datenkatalogressourcen zuweisen können, müssen sie sich selbst assoziierte Rechte für LF-Tags gewähren, die nicht von ihnen erstellt wurden.

**Anmerkung**  
Kontoübergreifende Zugriffsberechtigungen können nur Berechtigungen beinhalten. `Describe` `Associate` Sie können Prinzipalen in einem anderen Konto keine `Drop``Alter`,, und `Grant with LFTag expressions` Berechtigungen gewähren`Create LF-Tag`. 

**Topics**
+ [Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich](#tag-creator-permissions)
+ [Fügen Sie LF-Tag-Ersteller hinzu](#add-lf-tag-creator)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

## Für die Erstellung von LF-Tags sind IAM-Berechtigungen erforderlich
<a name="tag-creator-permissions"></a>

 Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tags erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ersteller sein muss, die folgende Anweisung hinzu.

**Anmerkung**  
Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.

Weitere Informationen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }
```

Principals, die Ressourcen LF-Tags zuweisen und Prinzipalen LF-Tags gewähren, müssen über dieselben Berechtigungen verfügen, mit Ausnahme der Berechtigungen, und. `CreateLFTag` `UpdateLFTag` `DeleteLFTag`

## Fügen Sie LF-Tag-Ersteller hinzu
<a name="add-lf-tag-creator"></a>

Ein LF-Tag-Ersteller kann mithilfe der LF-TBAC-Methode ein LF-Tag erstellen, Tag-Schlüssel und -Werte aktualisieren, Tags löschen, Tags mit Datenkatalogressourcen verknüpfen und Prinzipalen Berechtigungen für Datenkatalog-Ressourcen gewähren. Der LF-Tag-Ersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können LF-Tag-Erstellerrollen mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ console ]

**Um einen LF-Tag-Ersteller hinzuzufügen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Datalake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.

   **Wählen Sie auf der Seite **LF-Tags und Berechtigungen** den Abschnitt LF-Tag-Ersteller und dann **LF-Tag-Ersteller hinzufügen** aus.**  
![\[LF-Tag creator details form with IAM-Benutzer selection and permission options.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-lf-tag-creator.png)

1. Wählen Sie auf der Seite „**LF-Tag-Ersteller hinzufügen**“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tags verfügt.

1. Kontrollkästchen „Berechtigung aktivieren“. `Create LF-Tag`

1. (Optional) Wählen Sie Grantable Permission aus, um den ausgewählten Prinzipalen die `Create LF-Tag` Erlaubnis zu erteilen. `Create LF-Tag`

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}
```

------

Die folgenden Berechtigungen sind für eine LF-Tag-Ersteller-Rolle verfügbar:


| Berechtigung | Description | 
| --- | --- | 
| Drop | Ein Principal mit dieser Berechtigung für ein LF-Tag kann ein LF-Tag aus dem Data Lake löschen. Der Principal erhält implizite Describe Berechtigungen für alle Tag-Werte einer LF-Tag-Ressource. | 
| Alter | Ein Principal mit dieser Berechtigung für ein LF-Tag kann einem LF-Tag Tag-Wert hinzufügen oder daraus entfernen. Der Principal erhält implizite Alter Berechtigungen für alle Tag-Werte eines LF-Tags. | 
| Describe | Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag und seine Werte einsehen, wenn er Ressourcen LF-Tags zuweist oder Berechtigungen für LF-Tags erteilt. Sie können für alle Schlüsselwerte oder für bestimmte Werte gewährenDescribe. | 
| Associate | Ein Principal mit dieser Berechtigung für ein LF-Tag kann das LF-Tag einer Datenkatalogressource zuweisen. Implizite Gewährung von Zuschüssen. Associate Describe | 
| Grant with LF-Tag expression | Ein Principal mit dieser Berechtigung für ein LF-Tag kann mithilfe des LF-Tag-Schlüssels und der LF-Tag-Werte Berechtigungen für Datenkatalogressourcen gewähren. Implizite Gewährung von Zuschüssen. Grant with LF-Tag expression Describe | 

Diese Genehmigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.

# LF-Tags erstellen
<a name="TBAC-creating-tags"></a>

Alle LF-Tags müssen in Lake Formation definiert werden, bevor sie verwendet werden können. Ein LF-Tag besteht aus einem Schlüssel und einem oder mehreren möglichen Werten für den Schlüssel.

 Nachdem der Data Lake-Administrator die erforderlichen IAM-Berechtigungen und Lake Formation Formation-Berechtigungen für die Rolle LF-Tag-Ersteller eingerichtet hat, kann der Principal ein LF-Tag erstellen. Der LF-Tag-Ersteller erhält die implizite Erlaubnis, jeden Tag-Wert aus dem LF-Tag zu aktualisieren oder zu entfernen und das LF-Tag zu löschen.

Sie können LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag zu erstellen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Principal mit LF-Tag-Erstellerberechtigungen oder als Data Lake-Administrator an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** **die Option LF-Tags** aus.**

   **Die Seite mit den LF-Tags wird angezeigt.**  
![\[Die Seite enthält eine 4-spaltige Tabelle mit den Spaltenüberschriften Schlüssel, Werte, Konto-ID des Besitzers und LF-Tag-Berechtigungen. Die Tabelle hat 2 Zeilen. Über der Tabelle befinden sich 4 horizontal angeordnete Schaltflächen: Löschen (abgeblendet), Bearbeiten (abgeblendet), Berechtigungen gewähren (abgeblendet) und Tag hinzufügen. Die Seite hat auch ein Suchfeld mit dem Platzhaltertext „Tag suchen“. Rechts neben dem Suchfeld befindet sich eine Seitenauswahl, die den Wert „1“ zwischen der linken und rechten Taste sowie ein Einstellungssymbol anzeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/policy-tags-page-2.png)

1. Wählen Sie „**LF-Tag hinzufügen**“.

1. Geben **Sie im Dialogfeld „LF-Tag hinzufügen**“ einen Schlüssel und einen oder mehrere Werte ein.

   Jeder Schlüssel muss mindestens einen Wert haben. Um mehrere Werte einzugeben, geben Sie entweder eine durch Kommas getrennte Liste ein und drücken **Sie dann die EINGABETASTE**, oder geben Sie jeweils einen Wert ein und wählen Sie nach jedem Wert die Option **Hinzufügen**. Die maximal zulässige Anzahl von Werten ist 1000.

1. Wählen Sie **Add tag**.

------
#### [ AWS CLI ]

**Um ein LF-Tag zu erstellen**
+ Geben Sie einen Befehl ein`create-lf-tag`.

  Im folgenden Beispiel wird ein LF-Tag mit Schlüssel `module` und Werten `Customers` und erstellt. `Orders`

  ```
  aws lakeformation create-lf-tag --tag-key module --tag-values Customers Orders
  ```

------

 Als Tag-Ersteller erhält der Principal die `Alter` Erlaubnis für dieses LF-Tag und kann jeden Tag-Wert aus diesem LF-Tag aktualisieren oder entfernen. Der Principal, der das LF-Tag erstellt, kann auch einem anderen Prinzipal die `Alter` Erlaubnis erteilen, Tag-Werte auf diesem LF-Tag zu aktualisieren und zu entfernen. 

# LF-Tags werden aktualisiert
<a name="TBAC-updating-tags"></a>

Sie aktualisieren ein LF-Tag, für das Sie `Alter` berechtigt sind, indem Sie zulässige Schlüsselwerte hinzufügen oder löschen. Sie können den LF-Tag-Schlüssel nicht ändern. Um den Schlüssel zu ändern, löschen Sie den LF-Tag und fügen Sie einen mit dem erforderlichen Schlüssel hinzu. Zusätzlich zur `Alter` Berechtigung benötigen Sie auch die `lakeformation:UpdateLFTag` IAM-Berechtigung, um Werte zu aktualisieren.

Wenn Sie einen LF-Tag-Wert löschen, wird nicht geprüft, ob dieser LF-Tag-Wert in einer Datenkatalogressource vorhanden ist. Wenn der gelöschte LF-Tag-Wert mit einer Ressource verknüpft ist, ist er für die Ressource nicht mehr sichtbar, und alle Prinzipale, denen Berechtigungen für dieses Schlüssel-Wert-Paar erteilt wurden, verfügen nicht mehr über diese Berechtigungen.

Bevor Sie einen LF-Tag-Wert löschen, können Sie optional den [`remove-lf-tags-from-resource`Befehlsbefehl](TBAC-assigning-tags.md#remove-tag-command) verwenden, um das LF-Tag aus den Datenkatalogressourcen zu entfernen, die den Wert haben, den Sie löschen möchten, und dann die Ressource mit den Werten, die Sie behalten möchten, erneut taggen.

Nur Data Lake-Administratoren, der Ersteller des LF-Tags und Principals, die über `Alter` Berechtigungen für das LF-Tag verfügen, können ein LF-Tag aktualisieren.

Sie können ein LF-Tag mithilfe der AWS Lake Formation Konsole, der API oder der () aktualisieren. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag (Konsole) zu aktualisieren**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, LF-Tag-Ersteller oder Principal mit entsprechenden `Alter` Berechtigungen für das LF-Tag an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** die Option **LF-Tags** aus.**

1. **Wählen Sie auf der Seite **LF-Tags** ein LF-Tag aus und klicken Sie dann auf Bearbeiten.**

1. Fügen **Sie im Dialogfeld „LF-Tag bearbeiten“ LF-Tag-Werte** hinzu oder entfernen Sie sie.

   **Um mehrere Werte hinzuzufügen, geben Sie im Feld **Werte** entweder eine kommagetrennte Liste ein und drücken Sie die **Eingabetaste**, oder geben Sie jeweils einen Wert ein oder wählen Sie nach jedem Wert die Option Hinzufügen.**

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um ein LF-Tag () zu aktualisieren AWS CLI**
+ Geben Sie einen Befehl ein`update-lf-tag`. Geben Sie eines oder beide der folgenden Argumente an:
  + `--tag-values-to-add`
  + `--tag-values-to-delete`

**Example**  
Im folgenden Beispiel wird der Wert `vp` durch den Wert `vice-president` für den LF-Tag-Schlüssel ersetzt. `level`  

```
aws lakeformation update-lf-tag --tag-key level --tag-values-to-add vice-president 
--tag-values-to-delete vp
```

------

# LF-Tags löschen
<a name="TBAC-deleting-tags"></a>

Sie können LF-Tags löschen, die nicht mehr verwendet werden. Es wird nicht geprüft, ob das LF-Tag in einer Datenkatalogressource vorhanden ist. Wenn das gelöschte LF-Tag mit einer Ressource verknüpft ist, ist es für die Ressource nicht mehr sichtbar, und alle Prinzipale, denen Berechtigungen für dieses LF-Tag erteilt wurden, verfügen nicht mehr über diese Berechtigungen.

Bevor Sie ein LF-Tag löschen, können Sie optional den [`remove-lf-tags-from-resource`](TBAC-assigning-tags.md#remove-tag-command)Befehl verwenden, um das LF-Tag aus allen Ressourcen zu entfernen.

Nur Data Lake-Administratoren, der Ersteller des LF-Tags oder ein Principal, der über `Drop` Berechtigungen für das LF-Tag verfügt, können ein LF-Tag löschen. Zusätzlich zur Berechtigung benötigt der Principal auch eine `Drop` `lakeformation:DeleteLFTag` IAM-Berechtigung, um ein LF-Tag zu löschen.

Sie können ein LF-Tag mithilfe der AWS Lake Formation Konsole, der API oder der () löschen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um ein LF-Tag (Konsole) zu löschen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator an.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen**, **LF-Tags und Berechtigungen die Option LF-Tags** aus.**

1. **Wählen Sie auf der Seite **LF-Tags** ein LF-Tag aus und klicken Sie dann auf Löschen.**

1. **In der Umgebung „Tag löschen“?** **Um den Löschvorgang zu bestätigen, geben Sie den LF-Tag-Schlüsselwert in das dafür vorgesehene Feld ein und wählen Sie dann Löschen aus.**

------
#### [ AWS CLI ]

**Um ein LF-Tag zu löschen ()AWS CLI**
+ Geben Sie einen Befehl ein`delete-lf-tag`. Geben Sie den Schlüssel des zu löschenden LF-Tags ein.  
**Example**  

  Im folgenden Beispiel wird das LF-Tag mit dem Schlüssel gelöscht. `region`

  ```
  aws lakeformation delete-lf-tag --tag-key region
  ```

------

# LF-Tags auflisten
<a name="TBAC-listing-tags"></a>

Sie können die LF-Tags auflisten, für die Sie die Oder-Berechtigungen haben. `Describe` `Associate` Die Werte, die mit jedem LF-Tag-Schlüssel aufgeführt sind, sind die Werte, für die Sie berechtigt sind.

Der LF-Tag-Ersteller hat implizite Berechtigungen, um die von ihm erstellten LF-Tags zu sehen.

Data Lake-Administratoren können alle LF-Tags sehen, die im lokalen AWS Konto definiert sind, sowie alle LF-Tags, für die dem lokalen Konto die `Describe` und `Associate` -Berechtigungen von externen Konten erteilt wurden. Der Data Lake-Administrator kann alle Werte für alle LF-Tags sehen.

Sie können LF-Tags mithilfe der AWS Lake Formation Konsole, der API oder der () auflisten. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um LF-Tags aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tags, als Data Lake-Administrator oder als Principal an, dem Berechtigungen für LF-Tags erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTags`

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen** die Option **LF-Tags** aus.**

   **Die Seite mit den LF-Tags wird angezeigt.**  
![\[Die Seite enthält eine dreispaltige Tabelle mit den Spaltenüberschriften Schlüssel, Werte und Eigentümerkonto-ID. Die Tabelle hat 2 Zeilen. Über der Tabelle befinden sich 4 horizontal angeordnete Schaltflächen: Seite neu laden, Löschen (abgeblendet), Bearbeiten (abgeblendet) und Tag hinzufügen. Die Seite hat auch ein Suchfeld mit dem Platzhaltertext „Tag suchen“. Rechts neben dem Suchfeld befindet sich eine Seitenauswahl, die den Wert „1“ zwischen der linken und rechten Taste sowie ein Einstellungssymbol anzeigt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/policy-tags-page-2.png)

   In der Spalte mit der **ID des Eigentümerkontos** können Sie die LF-Tags ermitteln, die von einem externen Konto aus mit Ihrem Konto geteilt wurden.

------
#### [ AWS CLI ]

**Um LF-Tags aufzulisten ()AWS CLI**
+ Führen Sie den folgenden Befehl als Data Lake-Administrator oder als Principal aus, dem Berechtigungen für LF-Tags erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTags`

  ```
  aws lakeformation list-lf-tags
  ```

  Die Ausgabe sieht folgendermaßen oder ähnlich aus.

  ```
  {
      "LFTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "level",
              "TagValues": [
                  "director",
                  "vp",
                  "c-level"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "Orders",
                  "Sales",
                  "Customers"
              ]
          }
      ]
  }
  ```

  Um auch LF-Tags zu sehen, die von externen Konten gewährt wurden, fügen Sie die Befehlsoption hinzu. `--resource-share-type ALL`

  ```
  aws lakeformation list-lf-tags --resource-share-type ALL
  ```

  Die Ausgabe sieht folgendermaßen oder ähnlich aus. Beachten Sie den `NextToken` Schlüssel, der darauf hinweist, dass es noch mehr aufzulisten gibt.

  ```
  {
      "LFTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "level",
              "TagValues": [
                  "director",
                  "vp",
                  "c-level"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "Orders",
                  "Sales",
                  "Customers"
              ]
          }
      ],
      "NextToken": "eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ=="
  }
  ```

  Wiederholen Sie den Befehl und fügen Sie das `--next-token` Argument hinzu, um alle verbleibenden lokalen LF-Tags und LF-Tags anzuzeigen, die von externen Konten vergeben wurden. LF-Tags von externen Konten befinden sich immer auf einer separaten Seite.

  ```
  aws lakeformation list-lf-tags --resource-share-type ALL 
  --next-token eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ==
  ```

  ```
  {
      "LFTags": [
          {
              "CatalogId": "123456789012",
              "TagKey": "region",
              "TagValues": [
                  "central",
                  "south"
              ]
          }
      ]
  }
  ```

------
#### [ API ]

Sie können die für Lake Formation SDKs verfügbaren Tags verwenden, um die Tags aufzulisten, zu deren Anzeige der Anforderer berechtigt ist.

```
import boto3

client = boto3.client('lakeformation')
...

response = client.list_lf_tags(
    CatalogId='string',
    ResourceShareType='ALL',
    MaxResults=50'
)
```

Dieser Befehl gibt ein `dict` Objekt mit der folgenden Struktur zurück:

```
{
    'LFTags': [
        {
            'CatalogId': 'string',
            'TagKey': 'string',
            'TagValues': [
                'string',
            ]
        },
    ],
    'NextToken': 'string'
}
```

------

Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

# Zuweisen von LF-Tags zu Datenkatalogressourcen
<a name="TBAC-assigning-tags"></a>

Sie können Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) LF-Tags zuweisen, um den Zugriff auf diese Ressourcen zu kontrollieren. Nur Prinzipale, denen passende LF-Tags gewährt wurden (und Prinzipale, denen Zugriff mit der benannten Ressourcenmethode gewährt wurde), können auf die Ressourcen zugreifen.

Wenn eine Tabelle ein LF-Tag von einer Datenbank erbt oder eine Spalte ein LF-Tag von einer Tabelle erbt, können Sie den geerbten Wert überschreiben, indem Sie dem LF-Tag-Schlüssel einen neuen Wert zuweisen.

Die maximale Anzahl von LF-Tags, die Sie einer Ressource zuweisen können, ist 50.

**Topics**
+ [Anforderungen für die Verwaltung von Tags, die Ressourcen zugewiesen sind](#manage-tags-reqs)
+ [Weisen Sie einer Tabellenspalte LF-Tags zu](#assign-tag-column)
+ [Weisen Sie einer Datenkatalogressource LF-Tags zu](#assign-tag-catalog-resource)
+ [LF-Tags für eine Ressource aktualisieren](#update-tags)
+ [LF-Tag aus einer Ressource entfernen](#remove-tag)

## Anforderungen für die Verwaltung von Tags, die Ressourcen zugewiesen sind
<a name="manage-tags-reqs"></a>

Um einer Datenkatalogressource ein LF-Tag zuzuweisen, müssen Sie:
+ Habe die Lake Formation `ASSOCIATE` Formation-Genehmigung auf dem LF-Tag.
+ Habe die IAM-Erlaubnis`lakeformation:AddLFTagsToResource`.
+ Habe die Glue: GetDatabase -Erlaubnis für eine Glue-Datenbank.
+ Seien Sie der Eigentümer (Ersteller) der Ressource, verfügen Sie über die `Super` Lake Formation Formation-Berechtigung für die Ressource mit der `GRANT` Option oder verfügen Sie über die folgenden Berechtigungen mit der `GRANT` Option:
  + Für Datenbanken im selben AWS Konto: `DESCRIBE``CREATE_TABLE`,`ALTER`, und `DROP` 
  + Für Datenbanken in einem externen Konto:`DESCRIBE`, `CREATE_TABLE` und `ALTER`
  + Für Tabellen (und Spalten): `DESCRIBE``ALTER`,`DROP`,`INSERT`,`SELECT`, und `DELETE`

Außerdem müssen sich das LF-Tag und die Ressource, der es zugewiesen wird, im selben AWS Konto befinden.

Um ein LF-Tag aus einer Datenkatalogressource zu entfernen, müssen Sie diese Anforderungen erfüllen und außerdem über die IAM-Berechtigung verfügen. `lakeformation:RemoveLFTagsFromResource`

## Weisen Sie einer Tabellenspalte LF-Tags zu
<a name="assign-tag-column"></a>

**Um einer Tabellenspalte LF-Tags zuzuweisen (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.

1. Wählen Sie einen Tabellennamen (nicht das Optionsfeld neben dem Tabellennamen).

1. Wählen Sie auf der Seite mit den Tabellendetails im Abschnitt **Schema** die Option **Schema bearbeiten** aus.

1. Wählen Sie auf der Seite **Schema bearbeiten** eine oder mehrere Spalten aus und wählen Sie dann **LF-Tags bearbeiten** aus.
**Anmerkung**  
Wenn Sie Spalten hinzufügen oder löschen und eine neue Version speichern möchten, tun Sie dies zuerst. Bearbeiten Sie dann die LF-Tags.

   Das Dialogfeld **LF-Tags bearbeiten** wird angezeigt, in dem alle LF-Tags angezeigt werden, die aus der Tabelle übernommen wurden.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten“. Im oberen Teil des Fensters werden zwei geerbte Schlüssel angezeigt. Der erste geerbte Schlüssel hat den Schlüssel „level“ und den Wert „director (inherited)“. Der zweite geerbte Schlüssel hat den Schlüssel „module“ und den Wert „Orders (inherited)“. Unter diesen Feldern befindet sich die Schaltfläche „Neues LF-Tag zuweisen“. Unten und rechts befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2a.png)

1. (Optional) Wählen Sie in der **Werteliste** neben dem Feld **Geerbte Schlüssel** einen Wert aus, um den geerbten Wert zu überschreiben.

1. (Optional) Wählen Sie „**Neues LF-Tag zuweisen**“. Wählen Sie dann für **Zugewiesene Schlüssel** einen Schlüssel und für **Werte** einen Wert für den Schlüssel aus.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten“. Im oberen Teil des Fensters werden zwei geerbte Schlüssel angezeigt. Der erste geerbte Schlüssel hat den Schlüssel „level“ und den Wert „director (inherited)“. Der zweite geerbte Schlüssel hat den Schlüssel „module“ und den Wert „Orders (inherited)“. Unter diesem Abschnitt befinden sich, horizontal ausgerichtet, die folgenden Felder und Steuerelemente: das Feld „Zugewiesene Schlüssel“, das Feld „Werte“ und die Schaltfläche „Entfernen“. Das Feld Zugewiesene Schlüssel enthält den Text „Umgebung“. Das Feld Werte ist eine Dropdownliste mit den Werten „Produktion“ (hervorgehoben) und „Kunden“. Unter dem Feld „Zugewiesene Schlüssel“ wird die Schaltfläche „Neues LF-Tag zuweisen“ angezeigt. Unten rechts im Fenster befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2b.png)

1. (Optional) Wählen Sie erneut **Neues LF-Tag zuweisen, um ein weiteres LF-Tag** hinzuzufügen.

1. Wählen Sie **Speichern**.

## Weisen Sie einer Datenkatalogressource LF-Tags zu
<a name="assign-tag-catalog-resource"></a>

------
#### [ Console ]

**Um einer Datenkatalog-Datenbank oder -Tabelle LF-Tags zuzuweisen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. Führen Sie im Navigationsbereich unter **Datenkatalog** eine der folgenden Aktionen aus:
   + **Um Datenbanken LF-Tags zuzuweisen, wählen Sie Datenbanken.**
   + **Um Tabellen LF-Tags zuzuweisen, wählen Sie Tabellen.**

1. Wählen Sie eine Datenbank oder Tabelle aus und klicken Sie im Menü **Aktionen** auf LF-Tags **bearbeiten**.

   Das Dialogfeld **LF-Tags bearbeiten: *resource-name*** wird angezeigt.

   Wenn eine Tabelle LF-Tags von der Datenbank erbt, die sie enthält, zeigt das Fenster die geerbten LF-Tags an. Andernfalls wird der Text „Der Ressource sind keine geerbten LF-Tags zugeordnet“ angezeigt.  
![\[Das Bild ist ein Screenshot des Dialogfensters „LF-Tags bearbeiten: Inventar“. Ganz oben befinden sich die Felder „Geerbte Schlüssel“ (abgeblendet) und „Werte“. Das Feld Geerbte Schlüssel hat den Wert „Level“ und das Feld Werte hat den Wert „Director (geerbt)“. Unter diesem Abschnitt befinden sich, horizontal ausgerichtet, die folgenden Felder und Steuerelemente: das Feld „Zugewiesene Schlüssel“, das Feld „Werte“ und die Schaltfläche „Entfernen“. Das Feld Zugewiesene Schlüssel enthält den Text „Modul“. Das Feld Werte ist eine Dropdownliste mit den Werten „Bestellungen“, „Vertrieb“ und „Kunden“ (hervorgehoben). Unter dem Feld Zugewiesene Schlüssel befindet sich die Schaltfläche „Neues LF-Tag zuweisen“. Unten rechts im Fenster befinden sich die Schaltflächen Abbrechen und Speichern.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/edit-policy-tags-for-tables-2.png)

1. (Optional) Wenn eine Tabelle LF-Tags geerbt hat, können Sie für die **Werteliste** neben dem Feld **Geerbte Schlüssel** einen Wert auswählen, der den geerbten Wert überschreibt.

1. Gehen Sie wie folgt vor, um neue LF-Tags zuzuweisen:

   1. Wählen Sie **Neues LF-Tag zuweisen**.

   1. Wählen Sie im Feld **Zugewiesene Schlüssel** einen LF-Tag-Schlüssel und im Feld **Werte** einen Wert aus.

   1. (Optional) Wählen Sie erneut **Neues LF-Tag zuweisen, um ein zusätzliches LF-Tag** zuzuweisen.

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

**Um einer Datenkatalogressource LF-Tags zuzuweisen**
+ Führen Sie den Befehl `add-lf-tags-to-resource` aus.

  Im folgenden Beispiel wird der Tabelle in der Datenbank das LF-Tag `module=orders` zugewiesen. `orders` `erp` Es verwendet die Shortcut-Syntax für das Argument. `--lf-tags` Die `CatalogID` Eigenschaft für `--lf-tags` ist optional. Falls nicht angegeben, wird die Katalog-ID der Ressource (in diesem Fall der Tabelle) angenommen.

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"orders"}}' --lf-tags  CatalogId=111122223333,TagKey=module,TagValues=orders
  ```

  Das Folgende ist die Ausgabe, wenn der Befehl erfolgreich ist.

  ```
  {
      "Failures": []
  }
  ```

  Im nächsten Beispiel werden der `sales` Tabelle zwei LF-Tags zugewiesen und die JSON-Syntax für das Argument verwendet. `--lf-tags`

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"sales"}}' --lf-tags '[{"TagKey": "module","TagValues": ["sales"]},{"TagKey": "environment","TagValues": ["development"]}]'
  ```

  Im nächsten Beispiel wird der Spalte der Tabelle das LF-Tag `level=director` zugewiesen. `total` `sales`

  ```
  aws lakeformation add-lf-tags-to-resource --resource '{ "TableWithColumns": {"DatabaseName":"erp", "Name":"sales", "ColumnNames":["total"]}}' --lf-tags TagKey=level,TagValues=director
  ```

------

## LF-Tags für eine Ressource aktualisieren
<a name="update-tags"></a>

**Um ein LF-Tag für eine Datenkatalogressource zu aktualisieren ()AWS CLI**
+ Verwenden Sie den `add-lf-tags-to-resource` Befehl, wie im vorherigen Verfahren beschrieben.

  Wenn Sie ein LF-Tag mit demselben Schlüssel wie ein vorhandenes LF-Tag hinzufügen, jedoch mit einem anderen Wert, wird der vorhandene Wert aktualisiert.

## LF-Tag aus einer Ressource entfernen
<a name="remove-tag"></a><a name="remove-tag-command"></a>

**Um ein LF-Tag für eine Datenkatalogressource zu entfernen ()AWS CLI**
+ Führen Sie den Befehl `remove-lf-tags-from-resource` aus. 

  Wenn eine Tabelle einen LF-Tag-Wert hat, der den Wert überschreibt, der von der übergeordneten Datenbank übernommen wurde, wird durch das Entfernen dieses LF-Tags aus der Tabelle der geerbte Wert wiederhergestellt. Dieses Verhalten gilt auch für eine Spalte, die aus der Tabelle übernommene Schlüsselwerte überschreibt. 

  Im folgenden Beispiel wird das LF-Tag `level=director` aus der `total` Spalte der Tabelle entfernt. `sales` Die `CatalogID` Eigenschaft für `--lf-tags` ist optional. Falls nicht angegeben, wird die Katalog-ID der Ressource (in diesem Fall der Tabelle) angenommen. 

  ```
  aws lakeformation remove-lf-tags-from-resource 
  --resource ' { "TableWithColumns":  
  { "DatabaseName": "erp",  "Name": "sales",  "ColumnNames":[ "total"]}}' 
  --lf-tags  CatalogId=111122223333,TagKey=level,TagValues=director
  ```

# LF-Tags anzeigen, die einer Ressource zugewiesen sind
<a name="TBAC-view-resource-tags"></a>

Sie können die LF-Tags anzeigen, die einer Datenkatalogressource zugewiesen sind. Sie müssen über die `ASSOCIATE` Berechtigung `DESCRIBE` oder für ein LF-Tag verfügen, um es anzeigen zu können.

------
#### [ Console ]

**Um die LF-Tags anzuzeigen, die einer Ressource (Konsole) zugewiesen sind**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, Ressourcenbesitzer oder als Benutzer an, dem Lake Formation Formation-Berechtigungen für die Ressource erteilt wurden.

1. Führen Sie im Navigationsbereich unter der Überschrift **Datenkatalog** einen der folgenden Schritte aus:
   + **Um LF-Tags anzuzeigen, die einer Datenbank zugewiesen sind, wählen Sie Datenbanken.**
   + **Um die einer Tabelle zugewiesenen LF-Tags anzuzeigen, wählen Sie Tabellen.**

1. Wählen Sie auf der Seite „**Tabellen**“ oder „**Datenbanken**“ den Namen der Datenbank oder Tabelle aus. Scrollen Sie dann auf der Detailseite nach unten zum Abschnitt **LF-Tags**.

   Der folgende Screenshot zeigt die LF-Tags, die einer `customers` Tabelle zugewiesen sind, die in der Datenbank enthalten ist. `retail` Das `module` LF-Tag wird von der Datenbank vererbt. Der `credit_limit` Spalte ist das `level=vp` LF-Tag zugewiesen.  
![\[Das Bild ist ein Screenshot des Abschnitts LF-Tags auf der customers Tabellendetailseite. Der Abschnitt LF-Tags enthält eine Tabelle mit den folgenden Spalten: Ressource, Schlüssel, Wert und Geerbt von. Die Tabelle hat 3 Zeilen. Über der Tabelle befindet sich ein Texteingabefeld mit dem Platzhaltertext „Tags suchen“ und einer Schaltfläche „Tags bearbeiten“. Der Absatz vor dem Bild beschreibt die im Screenshot gezeigten Tabellenwerte.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tags-for-resource-2.png)

------
#### [ AWS CLI ]

**Um die LF-Tags anzuzeigen, die einer Ressource zugewiesen sind ()AWS CLI**
+ Verwenden Sie einen Befehl ähnlich dem folgenden.

  ```
  aws lakeformation get-resource-lf-tags --show-assigned-lf-tags --resource '{ "Table": {"CatalogId":"111122223333", "DatabaseName":"erp", "Name":"sales"}}'
  ```

  Der Befehl gibt die folgende Ausgabe zurück.

  ```
  {
      "TableTags": [
          {
              "CatalogId": "111122223333",
              "TagKey": "module",
              "TagValues": [
                  "sales"
              ]
          },
          {
              "CatalogId": "111122223333",
              "TagKey": "environment",
              "TagValues": [
                  "development"
              ]
          }
      ],
      "ColumnTags": [
          {
              "Name": "total",
              "Tags": [
                  {
                      "CatalogId": "111122223333",
                      "TagKey": "level",
                      "TagValues": [
                          "director"
                      ]
                  }
              ]
          }
      ]
  }
  ```

  In dieser Ausgabe werden nur LF-Tags angezeigt, die explizit zugewiesen und nicht vererbt wurden. Wenn Sie alle LF-Tags in allen Spalten sehen möchten, einschließlich geerbter LF-Tags, lassen Sie die Option weg. `--show-assigned-lf-tags`

------

# Die Ressourcen anzeigen, denen ein LF-Tag zugewiesen ist
<a name="TBAC-view-tag-resources"></a>

Sie können alle Datenkatalogressourcen anzeigen, denen ein bestimmter LF-Tag-Schlüssel zugewiesen ist. Dazu benötigen Sie die folgenden Lake Formation Formation-Berechtigungen:
+ `Describe`oder `Associate` auf dem LF-Tag.
+ `Describe`oder jede andere Genehmigung von Lake Formation für die Ressource.

Darüber hinaus benötigen Sie die folgenden AWS Identity and Access Management (IAM-) Berechtigungen:
+ `lakeformation:SearchDatabasesByLFTags`
+ `lakeformation:SearchTablesByLFTags`

------
#### [ Console ]

**Um die Ressourcen anzusehen, denen ein LF-Tag zugewiesen ist (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator oder als Benutzer an, der die oben aufgeführten Anforderungen erfüllt.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen und LF-Tags und Berechtigungen** **die Option LF-Tags** aus.**

1. Wählen Sie einen LF-Tag-Schlüssel (nicht das Optionsfeld neben dem Schlüsselnamen).

   Auf der LF-Tag-Detailseite wird eine Liste der Ressourcen angezeigt, denen das LF-Tag zugewiesen wurde.  
![\[Das Bild ist ein Screenshot der LF-Tag-Detailseite für den Schlüssel „Modul“. Die LF-Tag-Detailseite besteht aus zwei Abschnitten. Im oberen Bereich werden der LF-Tag-Schlüssel und die Werte angezeigt. Im unteren Bereich werden die mit diesem LF-Tag verknüpften Ressourcen in einer Tabelle mit den folgenden Spalten angezeigt: Schlüssel, Werte, Ressourcentyp und Ressource. Die Tabelle hat 12 Zeilen, aber im Screenshot sind nur 7 Zeilen zu sehen. Die Tabellenzeilen zeigen, dass das LF-Tag einer Datenbank, zwei der Tabellen in der Datenbank und durch Vererbung den Spalten dieser Tabellen zugewiesen ist.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/resources-on-tags-2.png)

------
#### [ AWS CLI ]

**Um die Ressourcen anzuzeigen, denen ein LF-Tag zugewiesen ist**
+ Führen Sie den Befehl `search-tables-by-lf-tags` oder `search-databases-by-lf-tags` aus.  
**Example**  

  Das folgende Beispiel listet Tabellen und Spalten auf, denen das `level=vp` LF-Tag zugewiesen wurde. Für jede aufgelistete Tabelle und Spalte werden alle zugewiesenen LF-Tags für die Tabelle oder Spalte ausgegeben, nicht nur der Suchausdruck.

  ```
  aws lakeformation search-tables-by-lf-tags --expression TagKey=level,TagValues=vp
  ```

------

Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

## Lebenszyklus eines LF-Tags
<a name="lf-tag-life-cycle"></a>

1. Der LF-Tag-Schöpfer Michael erstellt einen LF-Tag. `module=Customers`

1. Michael vergibt den LF-Tag `Associate` an den Dateningenieur Eduardo. Implizite Gewährung von Zuschüssen`Associate`. `Describe`

1. Michael gewährt Eduardo mit der Grant-Option `Super` auf dem Tisch`Custs`, sodass Eduardo der Tabelle LF-Tags zuweisen kann. Weitere Informationen finden Sie unter [Zuweisen von LF-Tags zu Datenkatalogressourcen](TBAC-assigning-tags.md).

1. Eduardo weist der Tabelle den LF-Tag zu. `module=customers` `Custs`

1. Michael gewährt der Dateningenieurin Sandra den folgenden Zuschuss (in Pseudocode).

   ```
   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
   ```

1. Sandra gewährt der Datenanalystin Maria den folgenden Zuschuss.

   ```
   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria
   ```

   Maria kann jetzt Abfragen für die `Custs` Tabelle ausführen.

**Weitere Informationen finden Sie auch unter**  
[Zugriffskontrolle für Metadaten](access-control-metadata.md)

## Vergleich der Tag-basierten Zugriffskontrolle von Lake Formation mit der attributbasierten IAM-Zugriffskontrolle
<a name="TBAC-comparison-ABAC"></a>

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. *In werden diese AWS Attribute als Tags bezeichnet.* Sie können Tags an IAM-Ressourcen, einschließlich IAM-Entitäten (Benutzer oder Rollen), und an AWS Ressourcen anhängen. Sie können eine einzelne ABAC-Richtlinie oder einen kleinen Richtliniensatz für Ihre IAM-Prinzipale erstellen. Diese ABAC-Richtlinien können so konzipiert werden, dass Operationen zugelassen werden, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.

Cloud-Sicherheits- und Governance-Teams verwenden IAM, um Zugriffsrichtlinien und Sicherheitsberechtigungen für alle Ressourcen zu definieren, einschließlich Amazon S3 S3-Buckets, Amazon EC2 EC2-Instances und allen Ressourcen, auf die Sie mit einem ARN verweisen können. Die IAM-Richtlinien definieren umfassende (grobe) Berechtigungen für Ihre Data Lake-Ressourcen, um beispielsweise den Zugriff auf Amazon S3 S3-Bucket-, Präfix- oder Datenbankebene zuzulassen oder zu verweigern. [Weitere Informationen zu IAM ABAC finden Sie unter Wozu dient ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im *IAM-Benutzerhandbuch*.

Sie können beispielsweise drei Rollen mit dem Tag-Schlüssel `project-access` erstellen. Legen Sie den Tag-Wert der ersten Rolle auf `Dev`, den zweiten auf `Marketing` und den dritten auf `Support` fest. Weisen Sie Ressourcen Tags mit dem entsprechenden Wert zu. Sie können dann eine einzelne Richtlinie verwenden, die den Zugriff erlaubt, wenn die Rolle und die Ressource mit demselben Wert für `project-access` markiert sind.

Data Governance-Teams verwenden Lake Formation, um detaillierte Berechtigungen für bestimmte Data Lake-Ressourcen zu definieren. LF-Tags werden Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zugewiesen und an Principals vergeben. Ein Principal mit LF-Tags, die den LF-Tags einer Ressource entsprechen, kann auf diese Ressource zugreifen. Lake Formation Formation-Berechtigungen sind den IAM-Berechtigungen untergeordnet. Wenn IAM-Berechtigungen einem Benutzer beispielsweise keinen Zugriff auf einen Data Lake gewähren, gewährt Lake Formation diesem Benutzer keinen Zugriff auf Ressourcen innerhalb dieses Data Lakes, selbst wenn der Principal und die Ressource übereinstimmende LF-Tags haben.

Lake Formation Tag-Based Access Control (LF-TBAC) arbeitet mit IAM ABAC zusammen, um zusätzliche Berechtigungsebenen für Ihre Lake Formation Formation-Daten und -Ressourcen bereitzustellen. 
+ **Lake Formation TBAC-Genehmigungen skalieren mit Innovation.** Es ist nicht mehr notwendig, dass ein Administrator vorhandene Richtlinien aktualisiert, um den Zugriff auf neue Ressourcen zu erlauben. Nehmen wir beispielsweise an, dass Sie eine IAM-ABAC-Strategie mit dem `project-access` Tag verwenden, um Zugriff auf bestimmte Datenbanken innerhalb von Lake Formation zu gewähren. Mithilfe von LF-TBAC `Project=SuperApp` wird das LF-Tag bestimmten Tabellen oder Spalten zugewiesen, und dasselbe LF-Tag wird einem Entwickler für dieses Projekt gewährt. Über IAM kann der Entwickler auf die Datenbank zugreifen, und LF-TBAC-Berechtigungen gewähren dem Entwickler weiteren Zugriff auf bestimmte Tabellen oder Spalten innerhalb von Tabellen. Wenn dem Projekt eine neue Tabelle hinzugefügt wird, muss der Lake Formation-Administrator der neuen Tabelle nur das Tag zuweisen, damit der Entwickler Zugriff auf die Tabelle erhält.
+ **Lake Formation TBAC erfordert weniger IAM-Richtlinien.** Da Sie IAM-Richtlinien verwenden, um umfassenden Zugriff auf Lake Formation-Ressourcen und Lake Formation TBAC für die Verwaltung eines genaueren Datenzugriffs zu gewähren, erstellen Sie weniger IAM-Richtlinien.
+ **Mit Lake Formation TBAC können sich Teams schnell verändern und wachsen.** Der Grund hierfür ist, dass Berechtigungen für neue Ressourcen automatisch basierend auf Attributen erteilt werden. Wenn beispielsweise ein neuer Entwickler dem Projekt beitritt, ist es einfach, diesem Entwickler Zugriff zu gewähren, indem Sie dem Benutzer die IAM-Rolle zuordnen und ihm dann die erforderlichen LF-Tags zuweisen. Sie müssen die IAM-Richtlinie nicht ändern, um ein neues Projekt zu unterstützen oder neue LF-Tags zu erstellen. 
+ **Mit Lake Formation TBAC sind detailliertere Genehmigungen möglich.** IAM-Richtlinien gewähren Zugriff auf Ressourcen der obersten Ebene, wie z. B. Datenkatalogdatenbanken oder Tabellen. Mit **Lake Formation TBAC** können Sie Zugriff auf bestimmte Tabellen oder Spalten gewähren, die bestimmte Datenwerte enthalten.

**Anmerkung**  
IAM-Tags sind nicht dasselbe wie LF-Tags. Diese Tags sind nicht austauschbar. LF-Tags werden verwendet, um Lake Formation Formation-Berechtigungen zu gewähren, und IAM-Tags werden verwendet, um IAM-Richtlinien zu definieren.

# Verwaltung von LF-Tag-Ausdrücken für die Zugriffskontrolle auf Metadaten
<a name="managing-tag-expressions"></a>

 LF-Tag-Ausdrücke sind logische Ausdrücke, die aus einem oder mehreren LF-Tags (Schlüssel-Wert-Paaren) bestehen und zur Gewährung von Berechtigungen für Ressourcen verwendet werden. AWS Glue Data Catalog Mit LF-Tag-Ausdrücken können Sie Regeln definieren, die den Zugriff auf Ihre Datenressourcen auf der Grundlage ihrer Metadaten-Tags regeln. Sie können diese Ausdrücke speichern und sie für mehrere Berechtigungszuweisungen wiederverwenden, wodurch Konsistenz gewährleistet ist und Änderungen an der Tag-Ontologie im Laufe der Zeit problemlos verwaltet werden können. 

Innerhalb eines bestimmten LF-Tag-Ausdrucks werden die Tag-Schlüssel mithilfe der AND-Operation kombiniert, während die Werte mithilfe der OR-Operation kombiniert werden. Der Tag-Ausdruck `content_type:Sales AND location:US` steht beispielsweise für Ressourcen, die sich auf Verkaufsdaten in den USA beziehen.

Sie können bis zu 1000 LF-Tag-Ausdrücke in einem erstellen. AWS-Konto Diese Ausdrücke bieten eine flexible und skalierbare Methode zur Verwaltung von Berechtigungen auf der Grundlage von Metadaten-Tags und stellen so sicher, dass nur autorisierte Benutzer oder Anwendungen auf der Grundlage der definierten Tag-Regeln auf bestimmte Datenressourcen zugreifen können.

LF-Tag-Ausdrücke bieten die folgenden Vorteile: 
+ **Wiederverwendbarkeit** — Durch die Definition und Speicherung von LF-Tag-Ausdrücken müssen Sie dieselben Ausdrücke nicht mehr manuell replizieren, wenn Sie anderen Ressourcen oder Prinzipalen Berechtigungen zuweisen.
+ **Konsistenz** — Die Wiederverwendung von LF-Tag-Ausdrücken für mehrere Berechtigungsberechtigungen gewährleistet eine einheitliche Art und Weise, wie Berechtigungen erteilt und verwaltet werden.
+ **Verwaltung der Tag-Ontologie** — LF-Tag-Ausdrücke helfen dabei, Änderungen an der Tag-Ontologie im Laufe der Zeit zu verwalten, da Sie die gespeicherten Ausdrücke aktualisieren können, anstatt einzelne Berechtigungsberechtigungen zu ändern. 

Weitere Informationen zur tagbasierten Zugriffskontrolle finden Sie im. [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md) 

**Ersteller von LF-Tag-Ausdrücken**  
Der LF-Tag Expression Creator ist ein Principal, der über die Rechte zum Erstellen und Verwalten von LF-Tag-Ausdrücken verfügt. Data Lake-Administratoren können LF-Tag-Ausdrucksersteller mithilfe der Lake Formation Formation-Konsole, CLI, API oder SDK hinzufügen. Die Ersteller von LF-Tag-Ausdrücken verfügen über implizite Lake Formation Formation-Berechtigungen, um LF-Tag-Ausdrücke zu erstellen, zu aktualisieren und zu löschen und anderen Prinzipalen LF-Tag-Ausdrucksberechtigungen zu gewähren.

Ersteller von LF-Tag-Ausdrücken, die keine Data Lake-Administratoren sind, erhalten implizite,, und Berechtigungen nur für Ausdrücke, die sie erstellt `Alter` haben. `Drop` `Describe` `Grant with LF-Tag expression` 

Data Lake-Administratoren können Erstellern von LF-Tag-Ausdrücken auch erteilbare Berechtigungen gewähren. `Create LF-Tag expression` Anschließend kann der Ersteller von LF-Tag-Ausdrücken anderen Prinzipalen die Erlaubnis zur Erstellung von LF-Tag-Ausdrücken erteilen.

**Topics**
+ [Für die Erstellung von LF-Tag-Ausdrücken sind IAM-Berechtigungen erforderlich](#tag-expression-creator-permissions)
+ [Fügen Sie Ersteller von LF-Tag-Ausdrücken hinzu](#add-lf-tag-expression-creator)
+ [LF-Tag-Ausdrücke erstellen](TBAC-creating-tag-expressions.md)
+ [LF-Tag-Ausdrücke werden aktualisiert](TBAC-updating-expressions.md)
+ [LF-Tag-Ausdrücke löschen](TBAC-deleting-expressions.md)
+ [LF-Tag-Ausdrücke auflisten](TBAC-listing-expressions.md)

**Weitere Informationen finden Sie auch unter**  
[Verwaltung von LF-Tag-Wertberechtigungen](TBAC-granting-tags.md)
[Erteilen von Data Lake-Berechtigungen mithilfe der LF-TBAC-Methode](granting-catalog-perms-TBAC.md)
[Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)

## Für die Erstellung von LF-Tag-Ausdrücken sind IAM-Berechtigungen erforderlich
<a name="tag-expression-creator-permissions"></a>

 Sie müssen Berechtigungen konfigurieren, damit ein Lake Formation-Prinzipal LF-Tag-Ausdrücke erstellen kann. Fügen Sie der Berechtigungsrichtlinie für den Prinzipal, der ein LF-Tag-Ausdrucksersteller sein muss, die folgende Anweisung hinzu.

**Anmerkung**  
Data Lake-Administratoren verfügen zwar über implizite Lake Formation Formation-Berechtigungen, um LF-Tags und LF-Tag-Ausdrücke zu erstellen, zu aktualisieren und zu löschen, Ressourcen LF-Tags zuzuweisen und Prinzipalen LF-Tags- und LF-Tag-Ausdrucksberechtigungen zu gewähren, aber Data Lake-Administratoren benötigen auch die folgenden IAM-Berechtigungen.

Weitere Informationen finden Sie unter [Referenz zu Personas und IAM-Berechtigungen in Lake Formation](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## Fügen Sie Ersteller von LF-Tag-Ausdrücken hinzu
<a name="add-lf-tag-expression-creator"></a>

Die Ersteller von LF-Tag-Ausdrücken können wiederverwendbare LF-Tag-Ausdrücke erstellen und speichern, Tag-Schlüssel und -Werte aktualisieren, Ausdrücke löschen und Prinzipalen mithilfe der LF-TBAC-Methode Berechtigungen für Datenkatalogressourcen gewähren. Der LF-Tag-Ausdrucksersteller kann diese Berechtigungen auch Prinzipalen gewähren.

Sie können Rollen zum Erstellen von LF-Tag-Ausdrücken mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ console ]

**Um einen LF-Tag Expression Creator hinzuzufügen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags und** Berechtigungen aus.

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke**.

1. Wählen Sie im Abschnitt **LF-Tag-Ausdrucksersteller** die Option LF-Tag-Ausdrucksersteller **hinzufügen** aus.  
![\[Form to add LF-Tag expression creators with IAM-Benutzer selection and permissions.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. Wählen Sie auf der Seite „**Ersteller von LF-Tag-Ausdrücken hinzufügen**“ eine IAM-Rolle oder einen IAM-Benutzer aus, der über die erforderlichen Berechtigungen zum Erstellen von LF-Tag-Ausdrücken verfügt.

1. Aktivieren Sie das Kontrollkästchen „Berechtigung“. `Create LF-Tag expression`

1. (Optional) Damit die ausgewählten Hauptbenutzer den Hauptbenutzern `Create LF-Tag expression` Berechtigungen erteilen können, wählen Sie „Berechtigung erteilen“ aus. `Create LF-Tag expression`

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

Die Rolle „LF-Tag-Ausdrucksersteller“ kann LF-Tag-Ausdrücke erstellen, aktualisieren oder löschen. 


| Berechtigung | Description | 
| --- | --- | 
| Create | Ein Principal mit dieser Berechtigung kann LF-Tag-Ausdrücke zum Data Lake hinzufügen. | 
| Drop | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann einen LF-Tag-Ausdruck aus dem Data Lake löschen.  | 
| Alter | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann den Ausdruckstext eines LF-Tag-Ausdrucks aktualisieren. | 
| Describe | Ein Principal mit dieser Berechtigung für einen LF-Tag-Ausdruck kann den Inhalt eines LF-Tag-Ausdrucks anzeigen.  | 
| Grant with LF-Tag expression | Diese Berechtigung ermöglicht es dem Empfänger, den Tag-Ausdruck als Ressource zu verwenden, wenn er Zugriffsberechtigungen für Daten oder Metadaten erteilt. Grant with LF-Tag expressionImplizite Gewährung gewährtDescribe. | 
| Super | Bei LF-Tag-Ausdrücken gewährt die Super Berechtigung die MöglichkeitDescribe,, AlterDrop, und anderen Prinzipalen Berechtigungen für den Tag-Ausdruck zu gewähren. | 

Diese Berechtigungen sind erteilbar. Ein Principal, dem diese Berechtigungen mit der Grant-Option erteilt wurden, kann sie anderen Prinzipalen gewähren.

# LF-Tag-Ausdrücke erstellen
<a name="TBAC-creating-tag-expressions"></a>

Sie müssen alle LF-Tags in Lake Formation definieren und sie den Datenkatalogressourcen zuweisen, bevor sie zum Erstellen von Ausdrücken verwendet werden können. Ein LF-Tag-Ausdruck besteht aus einem weiteren Schlüssel und einem oder mehreren möglichen Werten für jeden Schlüssel.

 Nachdem der Data Lake-Administrator die erforderlichen IAM-Berechtigungen und Lake Formation Formation-Berechtigungen für die Rolle LF-Tag-Ausdrucksersteller eingerichtet hat, kann der Principal wiederverwendbare LF-Tag-Ausdrücke erstellen. Der LF-Tag-Ausdrucksersteller erhält implizite Berechtigungen, um den Ausdruckstext zu aktualisieren und den LF-Tag-Ausdruck zu löschen.

Sie können LF-Tag-Ausdrücke mithilfe der AWS Lake Formation Konsole, der API oder der () erstellen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu erstellen**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Principal mit LF-Tag Expression Creator-Rechten oder als Data Lake-Administrator an.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die **Option LF-Tags** und Berechtigungen aus.

1. Wählen Sie **LF-Tag-Ausdrücke**. Die Seite „**LF-Tag-Ausdrücke hinzufügen**“ wird angezeigt.  
![\[Die Seite enthält Felder zum Hinzufügen eines Namens und einer Beschreibung sowie ein Dropdownmenü zur Auswahl des Ausdruckstextes. Benutzer können auch die Möglichkeit haben, Berechtigungen zu erteilen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/add-tag-expression.png)

1. Geben Sie die folgenden Informationen ein:
   + Name — Geben Sie einen eindeutigen Namen für den Ausdruck ein. Sie können den Ausdrucksnamen nicht aktualisieren. 
   + Beschreibung — Geben Sie eine optionale Beschreibung für den Ausdruck mit den Details des Ausdrucks ein.
   + Ausdruck — Erstellen Sie den Ausdruck, indem Sie Tag-Schlüssel und die zugehörigen Werte angeben. Sie können bis zu 50 Schlüssel pro Ausdruck hinzufügen. Sie benötigen die `Grant with LF-Tags` Lake Formation Formation-Erlaubnis für alle Tags im Ausdruckstext.

      Jeder Schlüssel muss mindestens einen Wert haben. Um mehrere Werte einzugeben, geben Sie entweder eine durch Kommas getrennte Liste ein und drücken **Sie dann die EINGABETASTE**, oder geben Sie jeweils einen Wert ein und wählen Sie nach jedem Wert die Option **Hinzufügen**. Die maximal zulässige Anzahl von Werten pro Schlüssel ist 1000.

      Lake Formation verwendet die AND/OR Logik, um mehrere Schlüssel und Werte in einem Ausdruck zu kombinieren. Innerhalb eines einzigen Paares (Schlüssel: Werteliste) werden die Werte mit dem logischen OR-Operator kombiniert. Wenn das Paar beispielsweise (Abteilung: [Vertrieb, Marketing]) lautet, bedeutet dies, dass das Tag übereinstimmt, wenn die Ressource das Abteilungs-Tag mit dem Wert Vertrieb ODER Marketing hat. 

      Wenn Sie mehrere Schlüssel angeben, werden die Schlüssel durch einen logischen AND-Operator verknüpft. Wenn der vollständige Ausdruck also (Department: [Sales, Marketing]) AND (Location: [US, Kanada]) lautet, entspricht er Ressourcen, die das Department-Tag mit dem Wert Sales OR Marketing und auch das Location-Tag mit dem Wert US OR Kanada haben. Im Folgenden finden Sie ein weiteres Beispiel mit mehreren Schlüsseln und Werten:

     LF-Tag-AusdruckContentType : (: [Video, Audio]) UND (Region: [Europa, Asien]) UND (Abteilung: [Technik, ProductManagement]).

     Dieser Ausdruck würde Ressourcen entsprechen, die: - das ContentType Tag mit dem Wert Video ODER Audio UND - das Region-Tag mit dem Wert Europa ODER Asien UND - das Department-Tag mit dem Wert Engineering OR haben. ProductManagement 

    Sie können auch einen Tag-Ausdruck speichern, wenn Sie Data Lake-Berechtigungen mithilfe von LF-Tags gewähren. Wählen Sie die Schlüssel- und Wertepaare aus und wählen Sie die Option **Als neuen Ausdruck speichern**. Geben Sie einen Namen ein, der den Ausdruck beschreibt.   
![\[Die Seite enthält Felder zur Auswahl des Ausdruckstextes und ein Feld zur Eingabe eines Namens.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/save-expression-grant.png)

1.  (Optional) Wählen Sie als Nächstes die Benutzer/Rollen und die Berechtigungen für den Ausdruck aus, die Sie ihnen im Konto gewähren möchten. Sie können auch erteilbare Berechtigungen auswählen, die es den Benutzern ermöglichen, diese Berechtigungen anderen Benutzern im Konto zu gewähren. Sie können keine kontoübergreifenden Berechtigungen für die Tagausdrücke gewähren.  
![\[Auf der Seite werden die Felder angezeigt, in denen Sie auswählen können, welche Berechtigungen anderen Hauptbenutzern erteilt werden sollen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-expression-permissions.png)

1. Wählen Sie **Hinzufügen** aus.

------
#### [ AWS CLI ]

**Um einen LF-Tag-Ausdruck zu erstellen**
+ Geben Sie einen Befehl ein`create-lf-tag-expression`.

  Im folgenden Beispiel wird ein LF-Tag-Ausdruck mit dem Tag `Department` mit den Werten `Sales` und UND `Marketing` dem Tag `Location` mit dem Wert erstellt. `US`

  ```
  aws lakeformation create-lf-tag-expression \
  -- name "my-tag-expression" \
  -- catalog-id "123456789012" \
  -- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
  ```

   Dieser CLI-Befehl erstellt einen neuen LF-Tag-Ausdruck in der. AWS Glue Data Catalog Der Ausdruck kann verwendet werden, um Datenkatalogressourcen wie Datenbanken, Tabellen, Ansichten oder Spalten auf der Grundlage der zugehörigen Tags Berechtigungen zu gewähren. In diesem Beispiel entspricht der Ausdruck Ressourcen, bei denen der `Department` Schlüssel Werte `Sales` oder `Marketing` und der `Location` Schlüssel der Wert ist`US`. 

------

 Als Ersteller eines Tag-Ausdrucks erhält der Principal die `Alter` Erlaubnis für diesen LF-Tag-Ausdruck und kann den Ausdruck aktualisieren oder entfernen. Der Prinzipal, der den Ausdruck erstellt, kann auch einem anderen Prinzipal die `Alter` Erlaubnis erteilen, diesen Ausdruck zu aktualisieren und zu entfernen. 

# LF-Tag-Ausdrücke werden aktualisiert
<a name="TBAC-updating-expressions"></a>

Nur Data Lake-Administratoren, der Ersteller des LF-Tag-Ausdrucks und Prinzipale, die über `Alter` oder über `Super` Berechtigungen für den LF-Tag-Ausdruck verfügen, können einen LF-Tag-Ausdruck aktualisieren. Zusätzlich zu den `Alter` Berechtigungen benötigen Sie auch die `lakeformation:UpdateLFTagExpression` IAM-Berechtigung und die Erlaubnis für alle zugrunde liegenden Schlüsselwerte im neuen `Grant with LF-Tag` Ausdruckstext, um Ausdrücke zu aktualisieren.

Sie aktualisieren einen LF-Tag-Ausdruck, indem Sie die Beschreibung, den Ausdruckstext und die für den Ausdruck erteilten Berechtigungen aktualisieren. Sie können den Namen des LF-Tag-Ausdrucks nicht ändern. Um den Namen zu ändern, löschen Sie den LF-Tag-Ausdruck und fügen Sie einen mit den erforderlichen Parametern hinzu. 

Sie können einen LF-Tag-Ausdruck mithilfe der AWS Lake Formation Konsole, der API oder der () aktualisieren. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu aktualisieren**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, als Ersteller des LF-Tags oder als Principal mit `Alter` Berechtigungen für das LF-Tag an.

1. **Wählen Sie im Navigationsbereich unter Berechtigungen die Option LF-Tags und Berechtigungen aus.**

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke**.

1. **Wählen Sie im Abschnitt **LF-Tag-Ausdrücke** einen LF-Tag-Ausdruck aus und klicken Sie dann auf Bearbeiten.**

1. Aktualisieren **Sie im Dialogfeld „LF-Tag-Ausdruck bearbeiten**“ die Beschreibung und den Ausdruckstext, indem Sie Schlüssel und Werte hinzufügen oder entfernen.

   Um mehrere Werte hinzuzufügen, wählen Sie im Feld **Werte die Werte** aus der Dropdownliste aus.

1. Wählen Sie **Speichern**.

------
#### [ AWS CLI ]

 Mit dem update-lf-tag-expression Befehl in Lake Formation können Sie einen vorhandenen LF-Tag-Ausdruck aktualisieren. 

```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```

Die Parameter im bereitgestellten Befehl bedeuten Folgendes: 
+ name — Der Name des vorhandenen benannten Tag-Ausdrucks, den Sie aktualisieren möchten. 
+ Beschreibung — Eine neue Beschreibung für den Ausdruck.

  catalog-id — Die ID des Datenkatalogs, in dem sich der Ausdruck des benannten Tags befindet. 
+ Ausdruck — Die neue Tag-Ausdruckszeichenfolge, mit der Sie den Ausdruck aktualisieren möchten.

------

# LF-Tag-Ausdrücke löschen
<a name="TBAC-deleting-expressions"></a>

Sie können LF-Tag-Ausdrücke löschen, die nicht mehr verwendet werden. Wenn Sie Prinzipalen mithilfe des LF-Tag-Ausdrucks Berechtigungen für Datenkatalogressourcen erteilt haben, haben sie diese Rechte nicht mehr.

Nur Data Lake-Administratoren, der Ersteller des LF-Tag-Ausdrucks oder ein Principal mit `Drop` Berechtigungen für den LF-Tag-Ausdruck können einen LF-Tag-Ausdruck löschen. Zusätzlich zur Berechtigung benötigt der Principal auch eine `Drop` `lakeformation:DeleteLFTagExpression` IAM-Berechtigung, um einen LF-Tag-Ausdruck zu löschen.

Sie können einen LF-Tag-Ausdruck mithilfe der AWS Lake Formation Konsole, der API oder der () löschen. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um einen LF-Tag-Ausdruck zu löschen (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Data Lake-Administrator, Ersteller des LF-Tag-Ausdrucks oder als Principal an, der über die Berechtigungen zum Löschen des Ausdrucks verfügt.

1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.

1. Wählen Sie die Registerkarte **LF-Tag-Ausdruck**.

1. **Wählen Sie im Abschnitt **LF-Tag-Ausdrücke** einen LF-Tag-Ausdruck aus und klicken Sie dann auf Löschen.**

1. **Im Ausdruck „LF-Tag löschen“?** **Um den Löschvorgang zu bestätigen, geben Sie den Namen des LF-Tag-Ausdrucks in das dafür vorgesehene Feld ein und wählen Sie dann Löschen.**

------
#### [ AWS CLI ]

**Um ein LF-Tag () zu löschen AWS CLI**
+ Geben Sie einen Befehl ein`delete-lf-tag-expression`. Geben Sie den Namen des Ausdrucks und die Katalog-ID an, die gelöscht werden sollen.  
**Example**  

  Im folgenden Beispiel wird der LF-Tag-Ausdruck mit dem Namen `my-tag-expression` aus dem Datenkatalog mit der ID gelöscht. `123456789012` Der `catalog-id` Parameter ist optional, wenn Sie dasselbe Konto wie Ihre Konfiguration verwenden. AWS CLI Nach dem Löschen eines LF-Tag-Ausdrucks bereinigt Lake Formation die zugehörigen Berechtigungsdatensätze für diesen Ausdruck. Dies umfasst sowohl einzelne Berechtigungsdatensätze als auch aggregierte Berechtigungsdatensätze, die den gelöschten Ausdruck enthalten.

  ```
  aws lakeformation delete-lf-tag-expression \
  --name "my-tag-expression" \
  --catalog-id "123456789012"
  ```

------

# LF-Tag-Ausdrücke auflisten
<a name="TBAC-listing-expressions"></a>

 Sie können die LF-Tag-Ausdrücke auflisten, für die Sie die Beschreibungsberechtigung haben. Data Lake-Administratoren, Ersteller von LF-Tag-Ausdrücken und Administratoren mit Lesezugriff können implizit alle Tag-Ausdrücke in ihrem Konto sehen. 

Sie können LF-Tag-Ausdrücke mithilfe der AWS Lake Formation Konsole, der API oder der () auflisten. AWS Command Line Interface AWS CLI

------
#### [ Console ]

**Um LF-Tag-Ausdrücke aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tag-Ausdrucks, als Data Lake-Administrator oder als Principal an, dem Berechtigungen für LF-Tag-Ausdrücke erteilt wurden und der über die IAM-Berechtigung verfügt. `lakeformation:ListLFTagExpressions`

1. **Im Navigationsbereich unter **Berechtigungen, LF-Tags und Berechtigungen**.**

1. Wählen Sie die Registerkarte **LF-Tag-Ausdrücke, um die Ausdrücke** zu sehen. Dieser Abschnitt enthält Informationen zu den vorhandenen LF-Tag-Ausdrücken, einschließlich des Ausdrucksnamens, des Ausdrucks selbst mit Links zu den enthaltenen Tags und Optionen zum Erstellen, Bearbeiten oder Löschen von Ausdrücken. 

------
#### [ AWS CLI ]

**Um LF-Tags aufzulisten ()AWS CLI**
+ Um LF-Tag-Ausdrücke mit dem aufzulisten AWS CLI, können Sie den Befehl verwenden. list-lf-tag-expressions Die Anforderungssyntax lautet: 

  ```
  aws lakeformation list-lf-tag-expressions \
  -- catalog-id "123456789012" \
  -- max-items "100" \
  -- next-token "next-token"
  ```

   Wobei Folgendes gilt:
  + `catalog-id`ist die AWS Konto-ID des Datenkatalogs, für den Sie Tagausdrücke auflisten möchten.
  + `max-items`gibt die maximale Anzahl von zurückzugebenden Tag-Ausdrücken an. Wenn dieser Parameter nicht verwendet wird, ist der Standardwert 100.
  + `next-token`ist ein Fortsetzungstoken, wenn die Ergebnisse in einer früheren Anfrage gekürzt wurden.

  Die Antwort wird eine Liste von LF-Tag-Ausdrücken und gegebenenfalls ein Next-Token enthalten. 

------

# Verwaltung von LF-Tag-Wertberechtigungen
<a name="TBAC-granting-tags"></a>

Sie können Prinzipalen die `Alter` Berechtigungen für LF-Tags gewähren`Drop`, um LF-Tag-Wertausdrücke zu verwalten. Sie können Prinzipalen auch die `Grant with LF-Tag expressions` Berechtigungen `Describe``Associate`, und für LF-Tags gewähren, um die LF-Tags anzuzeigen und sie Datenkatalogressourcen (Datenbanken, Tabellen und Spalten) zuzuweisen. Wenn LF-Tags Datenkatalogressourcen zugewiesen werden, können Sie die Tag-Based Access Control-Methode (LF-TBAC) von Lake Formation verwenden, um diese Ressourcen zu sichern. Weitere Informationen finden Sie unter [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md).

Sie können diese Berechtigungen mit der Grant-Option gewähren, sodass andere Principals sie gewähren können. Die `Associate` Berechtigungen `Grant with LF-Tag expressions``Describe`, und werden unter erklärt. [Fügen Sie LF-Tag-Ersteller hinzu](TBAC-adding-tag-creator.md#add-lf-tag-creator)

Sie können die `Describe` und `Associate` -Berechtigungen für ein LF-Tag einem externen AWS Konto gewähren. Ein Data Lake-Administrator in diesem Konto kann diese Berechtigungen dann anderen Prinzipalen im Konto gewähren. Principals, denen der Data Lake-Administrator des externen Kontos die `Associate` Berechtigung erteilt, können dann LF-Tags den Datenkatalogressourcen zuweisen, die Sie mit ihrem Konto geteilt haben.

Bei der Gewährung an ein externes Konto müssen Sie die Option „Gewähren“ angeben.

Sie können Berechtigungen für LF-Tags erteilen, indem Sie die Lake Formation Formation-Konsole, die API oder die AWS Command Line Interface ()AWS CLI verwenden.

**Topics**
+ [LF-Tag-Berechtigungen mithilfe der Konsole auflisten](TBAC-listing-tag-perms-console.md)
+ [Erteilen von LF-Tag-Berechtigungen über die Konsole](TBAC-granting-tags-console.md)
+ [Verwaltung von LF-Tag-Berechtigungen mit dem AWS CLI](TBAC-granting-revoking-tags-cli.md)

Weitere Informationen finden Sie unter [Verwaltung von LF-Tags für die Zugriffskontrolle auf Metadaten](managing-tags.md) und [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md).

# LF-Tag-Berechtigungen mithilfe der Konsole auflisten
<a name="TBAC-listing-tag-perms-console"></a>

Sie können die Lake Formation Formation-Konsole verwenden, um die für LF-Tags erteilten Berechtigungen einzusehen. Sie müssen ein LF-Tag-Ersteller oder ein Data Lake-Administrator sein oder über die `Associate` Berechtigung `Describe` oder für ein LF-Tag verfügen, um es sehen zu können.

**Um die LF-Tag-Berechtigungen aufzulisten (Konsole)**

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als Ersteller des LF-Tags, als Data Lake-Administrator oder als Benutzer an, dem die, `Drop` `Alter``Associate`, oder `Describe` -Berechtigungen für LF-Tags erteilt wurden.

1. **Wählen Sie im Navigationsbereich unter **Berechtigungen die Option LF-Tags und Berechtigungen** **und anschließend den Abschnitt LF-Tag-Berechtigungen** aus.**

   Der Abschnitt **LF-Tag-Berechtigungen** zeigt eine Tabelle, die Principal-, Tag-Schlüssel, Werte und Berechtigungen enthält.  
![\[Die Seite enthält eine Tabelle mit Berechtigungen mit den folgenden Spalten: Principal, Principal Type, Keys, Values, Permissions und Grantable. Es gibt fünf Zeilen. Links von jeder Zeile befindet sich ein Optionsfeld. Über der Tabelle befinden sich ein Suchfeld und die folgenden Schaltflächen: Refresh, View, Revoke und Grant. Da anfänglich keine Zeile ausgewählt ist, sind die Schaltflächen „Anzeigen“ und „Widerrufen“ deaktiviert. Die Werte in der ersten Zeile sind: Principal=arn:aws:iam: :111122223333:user/datalake_admin, Principal Type=IAM user, keys=Environment, Values=All values, permissions=DESCRIBE, grantable=DESCRIBE.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/list-tag-permissions-page.png)

# Erteilen von LF-Tag-Berechtigungen über die Konsole
<a name="TBAC-granting-tags-console"></a>

In den folgenden Schritten wird erklärt, wie Sie mithilfe der Seite „LF-Tag-Berechtigungen gewähren“ in der Lake Formation **Formation-Konsole Berechtigungen gewähren Berechtigungen für LF-Tags** gewähren. Die Seite ist in folgende Abschnitte unterteilt:
+ **Berechtigungsarten** — Die Art der zu erteilenden Genehmigung.
+ **Principals** — Die IAM-Benutzer oder -Rollen oder SAML-Benutzer oder -Rollen, denen Berechtigungen erteilt werden sollen.
+  Berechtigungen für **LF-Tag-Schlüssel-Wert-Paare — Die LF-Tag-Schlüssel-Wert-Paare, für die Berechtigungen** erteilt werden sollen.
+  LF-Tag-Berechtigungen — **Die LF-Tags**, für die Berechtigungen erteilt werden sollen.
+  Berechtigungen für **LF-Tag-Ausdrücke — Die LF-Tags, für die Berechtigungen** erteilt werden sollen.
+  **Berechtigungen** — Die zu erteilenden Berechtigungen.

## Öffnen Sie die Seite „**LF-Tag-Berechtigungen gewähren**“
<a name="tag-start-grant"></a>

1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Melden Sie sich als LF-Tag-Ersteller, Data Lake-Administrator oder als Benutzer an. Mit dieser Option wurden LF-Tag-Berechtigungen oder LF-Tag-Schlüssel-Wert-Paar-Berechtigungen für LF-Tags erteilt. `Grant`

1. ****Wählen Sie im Navigationsbereich die Option LF-Tags und Berechtigungen und anschließend den Abschnitt LF-Tag-Berechtigungen aus.****

1. Klicken Sie auf**Gewähren von Berechtigungen**aus.

## Geben Sie den Berechtigungstyp an
<a name="grant-tag-permission-type"></a>

Wählen Sie im Abschnitt **Berechtigungstyp** einen Berechtigungstyp aus.

LF-Tag-Berechtigungen  
Wählen Sie die **LF-Tag-Berechtigungen**, damit Principals LF-Tag-Werte aktualisieren oder LF-Tags löschen können.

Berechtigungen für LF-Tag-Schlüsselwertpaare  
Wählen Sie die **LF-Tag-Berechtigungen für Schlüssel-Wert-Paare**, um es Prinzipalen zu ermöglichen, Datenkatalogressourcen LF-Tags zuzuweisen, LF-Tags und -Werte anzuzeigen und Prinzipalen LF-Tag-basierte Berechtigungen für Datenkatalogressourcen zu gewähren.  
**Die in den folgenden Abschnitten verfügbaren Optionen hängen vom Berechtigungstyp ab.**

Berechtigungen für LF-Tag-Ausdrücke  
Wählen Sie die **LF-Tag-Ausdrucksberechtigungen**, um es den Prinzipalen zu ermöglichen, Ausdrücke zu aktualisieren oder Ausdrücke zu löschen.

## Geben Sie die Prinzipale an
<a name="grant-tags-principals"></a>

**Anmerkung**  
Sie können externen Konten oder Prinzipalen in einem anderen Konto keine LF-Tag-Berechtigungen (`Alter`und`Drop`) gewähren.

Wählen Sie im Abschnitt **Principals** einen Prinzipaltyp aus und geben Sie die Principals an, denen Berechtigungen erteilt werden sollen.

![\[Der Abschnitt Principals enthält drei Kacheln, die im folgenden Text benannt werden. Jede Kachel enthält eine Optionsschaltfläche und Text. Die Kachel „IAM-Benutzer und -Rollen“ ist ausgewählt, und unter den Kacheln befindet sich eine Dropdownliste mit IAM-Benutzern und -Rollen.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-tags-principals-section.png)


**IAM-Benutzer und -Rollen**  
Wählen Sie einen oder mehrere Benutzer oder Rollen aus der Liste der **IAM-Benutzer** und -Rollen aus.

**SAML-Benutzer und -Gruppen**  
Geben Sie für **SAML- und Quick-Benutzer und -Gruppen** einen oder mehrere Amazon-Ressourcennamen (ARNs) für Benutzer oder Gruppen ein, die über SAML verbunden sind, oder ARNs für Quick-Benutzer oder -Gruppen. Drücken Sie nach jedem ARN die **Eingabetaste**.  
Informationen zur Erstellung von finden Sie unter ARNs. [Lake Formation erteilt und widerruft AWS CLI Befehle](lf-permissions-reference.md#perm-command-format)  
Die Integration von Lake Formation mit Quick wird nur für die Quick Enterprise Edition unterstützt.

**Externe Konten**  
Geben Sie als **AWS Konto** ein oder mehrere gültige AWS Konten ein IDs. Drücken **Sie nach jeder ID die Eingabetaste**.  
Eine Organisations-ID besteht aus einem „o-“, gefolgt von 10 bis 32 Kleinbuchstaben oder Ziffern.  
Eine Organisationseinheits-ID beginnt mit „ou-“, gefolgt von 4 bis 32 Kleinbuchstaben oder Ziffern (der ID des Stammes, der die Organisationseinheit enthält). Auf diese Zeichenfolge folgen ein zweiter Gedankenstrich „-“ und 8 bis 32 zusätzliche Kleinbuchstaben oder Ziffern.  
Geben Sie für IAM-Principal den ARN für den IAM-Benutzer oder die IAM-Rolle ein.

## Geben Sie die LF-Tags an
<a name="grant-tags-tags"></a>

Um Berechtigungen für LF-Tags zu gewähren, geben Sie im Abschnitt LF-Tag-Berechtigungen die **LF-Tags an, für die Berechtigungen erteilt** werden sollen.

![\[Der Abschnitt LF-Tags enthält zwei Zeilen mit Feldern, wobei jede Zeile, die von links nach rechts verläuft, ein Schlüsselfeld, ein Wertfeld und eine Schaltfläche zum Entfernen enthält. Das Wertfeld ist eine Dropdownliste. Unter den beiden Feldreihen befindet sich die Schaltfläche LF-Tag hinzufügen. In der ersten Zeile wird „Modul“ im Schlüsselfeld angezeigt, und unter dem Wertefeld befinden sich zwei kleine Kacheln, die Bestellungen bzw. Verkäufe enthalten, was darauf hinweist, dass der Benutzer Bestellungen und Verkäufe als Werte für das Schlüsselmodul ausgewählt hat. Jede Kachel hat ein X, auf das Sie klicken können (wie bei einem Schließfeld), um die Kachel zu löschen. Die zweite Zeile mit Feldern ist leer.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)

+ Wählen Sie über das Drop-down-Menü ein oder mehrere LF-Tags aus.

## Geben Sie die Schlüssel-Wert-Paare für das LF-Tag an
<a name="w2aac15b9c27c19c21c15"></a>

1. Um Berechtigungen für LF-Tag-Schlüssel-Wert-Paare zu gewähren (Sie müssen zuerst **LF-Tag-Schlüssel-Wert-Paar-Berechtigungen als **Berechtigungstyp** auswählen), wählen Sie LF-Tag-Schlüssel-Wert-Paar** **hinzufügen, um die erste Zeile mit Feldern für die Angabe von LF-Tag-Schlüsseln und Werten anzuzeigen**.  
![\[Interface for adding LF-Tag key-value pairs and setting associated permissions.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tag-key-value-pair.png)

1. Positionieren Sie den Cursor im **Schlüsselfeld, beginnen Sie optional mit der Eingabe, um die Auswahlliste einzugrenzen**, und wählen Sie einen LF-Tag-Schlüssel aus.

1. Wählen Sie in der **Werteliste** einen oder mehrere Werte aus, und drücken Sie dann die **Tabulatortaste** oder klicken oder tippen Sie auf eine Stelle außerhalb des Felds, um die ausgewählten Werte zu speichern.
**Anmerkung**  
Wenn eine der Zeilen in der **Werteliste** den Fokus hat, wird durch Drücken der **EINGABETASTE** das Kontrollkästchen aktiviert oder deaktiviert.

   Die ausgewählten Werte werden als Kacheln unter der **Werteliste** angezeigt. Wählen Sie ✖, um einen Wert zu entfernen. Wählen Sie **Entfernen**, um das gesamte LF-Tag zu entfernen.

1. Um ein weiteres LF-Tag hinzuzufügen, wählen Sie erneut **LF-Tag hinzufügen** und wiederholen Sie die beiden vorherigen Schritte.

## Geben Sie die LF-Tag-Ausdrücke an
<a name="w2aac15b9c27c19c21c17"></a>

1. **Um Berechtigungen für LF-Tag-Ausdrücke zu gewähren, müssen Sie zunächst **LF-Tag-Ausdrucksberechtigungen** als Berechtigungstyp auswählen.**  
![\[Permission type selection interface with LF-Tag expression permissions highlighted.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tag-expression.png)

1. Wählen Sie einen LF-Tag-Ausdruck.

1. Die ausgewählten Ausdrücke werden als Kacheln unter der Liste der **LF-Tag-Ausdrücke** angezeigt. Wählen Sie ✖, um einen Ausdruck zu entfernen.

1. Um einen weiteren LF-Tag-Ausdruck hinzuzufügen, wählen Sie einen anderen Ausdruck.

## Geben Sie die Berechtigungen an
<a name="grant-tags-permissions"></a>

In diesem Abschnitt werden entweder die **LF-Tag-Berechtigungen oder die **LF-Tag-Werteberechtigungen**** basierend auf dem **Berechtigungstyp** angezeigt, den Sie im vorherigen Schritt ausgewählt haben.

Wählen Sie je nach **Berechtigungstyp**, den Sie gewähren möchten, die **LF-Tag-Berechtigungen oder die LF-Tag-Schlüsselwertpaar-Berechtigungen** und die **erteilbaren** Berechtigungen aus.

1. Wählen Sie unter **LF-Tag-Berechtigungen** die zu erteilenden Berechtigungen aus.

   **Wenn **Sie Drop** and **Alter** gewähren, wird implizit Describe gewährt.** 

   Sie müssen für alle Tag-Werte die Berechtigungen **Alter** und **Drop** gewähren.

1. Wählen Sie unter **LT-Tag-Schlüsselwertberechtigungen die zu erteilenden Berechtigungen** aus.

   **Die Erteilung von **Associate gewährt implizit Describe**.** Wählen Sie den **Ausdruck Grant with LF-Tag**, um es dem Empfänger zu ermöglichen, mithilfe der LF-TBAC-Methode Zugriffsberechtigungen für Datenkatalogressourcen zu gewähren oder zu widerrufen.

1. Wählen Sie unter **LF-Tag-Ausdrucksberechtigungen** die zu erteilenden Berechtigungen aus.

   **Wenn **Sie Drop** and **Alter** gewähren, wird implizit Describe gewährt.** 

   Durch die Erteilung der **Super-Berechtigung** werden alle verfügbaren Berechtigungen gewährt.

1. (Optional) Wählen Sie unter **Erteilbare Berechtigungen** die Berechtigungen aus, die der Empfänger der Gewährung anderen Hauptbenutzern in seinem AWS Konto gewähren kann.

1. Wählen Sie **Grant (Erteilen)**.

# Verwaltung von LF-Tag-Berechtigungen mit dem AWS CLI
<a name="TBAC-granting-revoking-tags-cli"></a>

Sie können Berechtigungen für LF-Tags gewähren, widerrufen und auflisten, indem Sie die () verwenden. AWS Command Line Interface AWS CLI

**Um LF-Tag-Berechtigungen aufzulisten ()AWS CLI**
+ Geben Sie einen Befehl ein`list-permissions`. Sie müssen der Ersteller des LF-Tags oder ein Data Lake-Administrator sein oder über die,,, `Drop``Alter`, `Grant with LF-Tag permissions` -Berechtigung für ein LF-Tag verfügen `Describe``Associate`, um es sehen zu können.

  Der folgende Befehl fordert alle LF-Tags an, für die Sie Berechtigungen haben.

  ```
  aws lakeformation list-permissions --resource-type LF_TAG
  ```

  Im Folgenden finden Sie eine Beispielausgabe für einen Data Lake-Administrator, der alle LF-Tags sieht, die allen Prinzipalen gewährt wurden. Benutzern ohne Administratorrechte werden nur LF-Tags angezeigt, die ihnen gewährt wurden. LF-Tag-Berechtigungen, die von einem externen Konto aus gewährt wurden, werden auf einer separaten Ergebnisseite angezeigt. Um sie zu sehen, wiederholen Sie den Befehl und geben Sie dem `--next-token` Argument das Token an, das bei der vorherigen Befehlsausführung zurückgegeben wurde.

  ```
  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "environment",
                      "TagValues": [
                          "*"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": [
                  "ASSOCIATE"
              ]
          },
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "DESCRIBE"
              ],
              "PermissionsWithGrantOption": []
          },
  ...
      ],
      "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
  }
  ```

  Sie können alle Grants für einen bestimmten LF-Tag-Schlüssel auflisten. Der folgende Befehl gibt alle für das LF-Tag gewährten Berechtigungen zurück. `module`

  ```
  aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```

  Sie können auch LF-Tag-Werte auflisten, die einem bestimmten Prinzipal für ein bestimmtes LF-Tag gewährt wurden. Wenn Sie das `--principal` Argument angeben, müssen Sie das Argument angeben. `--resource` Daher kann der Befehl effektiv nur die Werte anfordern, die einem bestimmten Prinzipal für einen bestimmten LF-Tag-Schlüssel gewährt wurden. Der folgende Befehl zeigt, wie dies für den Principal `datalake_user1` und den LF-Tag-Schlüssel funktioniert. `module`

  ```
  aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```

  Dies ist eine Beispielausgabe.

  ```
  {
      "PrincipalResourcePermissions": [
          {
              "Principal": {
                  "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
              },
              "Resource": {
                  "LFTag": {
                      "CatalogId": "111122223333",
                      "TagKey": "module",
                      "TagValues": [
                          "Orders",
                          "Sales"
                      ]
                  }
              },
              "Permissions": [
                  "ASSOCIATE"
              ],
              "PermissionsWithGrantOption": []
          }
      ]
  }
  ```

**Um Berechtigungen für LF-Tags () zu gewähren AWS CLI**

1. Verwenden Sie einen Befehl ähnlich dem folgenden. In diesem Beispiel wird `datalake_user1` dem Benutzer die `Associate` Berechtigung für das LF-Tag mit dem Schlüssel erteilt. `module` Es gewährt Berechtigungen zum Anzeigen und Zuweisen aller Werte für diesen Schlüssel, wie durch das Sternchen (\$1) gekennzeichnet.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

   Durch die Erteilung der `Associate` Berechtigung wird die Berechtigung implizit erteilt. `Describe`

   Das nächste Beispiel gewährt `Associate` dem externen AWS Konto 1234-5678-9012 auf dem LF-Tag mit dem Schlüssel und der Grant-Option. `module` Es gewährt Berechtigungen, nur die Werte und anzuzeigen und zuzuweisen. `sales` `orders`

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
   ```

1. Durch die Erteilung der `GrantWithLFTagExpression` Berechtigung wird die `Describe` Berechtigung implizit erteilt.

   Das nächste Beispiel erteilt `GrantWithLFTagExpression` einem Benutzer auf dem LF-Tag mit dem Schlüssel die Option `module` Grant. Es gewährt Berechtigungen zum Anzeigen und Erteilen von Berechtigungen für Datenkatalogressourcen, wobei nur die Werte `sales` und verwendet werden. `orders`

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
   ```

1. Im nächsten Beispiel werden einem Benutzer `Drop` Berechtigungen für das LF-Tag mit dem Schlüssel und der `module` Option Grant erteilt. Sie gewährt Berechtigungen zum Löschen des LF-Tags. Um ein LF-Tag zu löschen, benötigen Sie Berechtigungen für alle Werte dieses Schlüssels.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

1. Das nächste Beispiel gewährt dem Benutzer mit dem LF-Tag mit dem Schlüssel `Alter` Berechtigungen mit der `module` Grant-Option. Es gewährt Berechtigungen zum Löschen des LF-Tags. Um ein LF-Tag zu aktualisieren, benötigen Sie Berechtigungen für alle Werte dieses Schlüssels.

   ```
   aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
   ```

**Um Berechtigungen für LF-Tags () zu widerrufen AWS CLI**
+ Verwenden Sie einen Befehl ähnlich dem folgenden. In diesem Beispiel wird dem Benutzer die `Associate` Erlaubnis für das LF-Tag mit dem Schlüssel entzogen. `module` `datalake_user1`

  ```
  aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
  ```