Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden der Anwendungsintegration von Lake Formation
<a name="using-cred-vending"></a>

Lake Formation ermöglicht es Drittanbietern, sich in Lake Formation zu integrieren und im Namen ihrer Benutzer durch Nutzung [GetTemporaryGlueTableCredentials](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_GetTemporaryGlueTableCredentials.html)und [GetTemporaryGluePartitionCredentials](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_GetTemporaryGluePartitionCredentials.html)Betrieb temporären Zugriff auf Amazon S3 S3-Daten zu erhalten. Auf diese Weise können Dienste von Drittanbietern dieselbe Autorisierungs- und Verkaufsfunktion für Anmeldeinformationen verwenden wie die übrigen AWS Analysedienste. In diesem Abschnitt wird beschrieben, wie Sie diese API-Operationen verwenden, um eine Abfrage-Engine eines Drittanbieters zu integrieren. Lake Formation

 Diese API-Operationen sind standardmäßig deaktiviert. Es gibt zwei Möglichkeiten, Lake Formation zur Integration von Anwendungen zu autorisieren:
+ Konfigurieren Sie IAM-Sitzungs-Tags, die bei jedem Aufruf der API-Operationen für die Anwendungsintegration validiert werden

  Weitere Informationen finden Sie unter [Aktivierung von Berechtigungen für eine Abfrage-Engine eines Drittanbieters zum Aufrufen von API-Operationen für die Anwendungsintegration](permitting-third-party-call.md).
+ Aktivieren Sie die Option, die **externen Engines den Zugriff auf Daten an Amazon S3 S3-Standorten mit vollständigem Tabellenzugriff ermöglicht**

  Diese Option ermöglicht es Abfrage-Engines und Anwendungen, Anmeldeinformationen ohne IAM-Sitzungs-Tags abzurufen, wenn der Benutzer vollen Tabellenzugriff hat. Sie bietet Leistungsvorteile für Abfrage-Engines und Anwendungen und vereinfacht den Datenzugriff. Amazon EMR auf Amazon EC2 kann diese Einstellung nutzen. 

  Weitere Informationen finden Sie unter [Anwendungsintegration für vollständigen Tabellenzugriff](full-table-credential-vending.md).

**Topics**
+ [So funktioniert die Anwendungsintegration von Lake Formation](how-vending-works.md)
+ [Rollen und Verantwortlichkeiten bei der Anwendungsintegration von Lake Formation](roles-and-responsibilities.md)
+ [Lake FormationWorkflow für API-Operationen zur Anwendungsintegration](api-overview.md)
+ [Registrierung einer Query-Engine eines Drittanbieters](register-query-engine.md)
+ [Aktivierung von Berechtigungen für eine Abfrage-Engine eines Drittanbieters zum Aufrufen von API-Operationen für die Anwendungsintegration](permitting-third-party-call.md)
+ [Anwendungsintegration für vollständigen Tabellenzugriff](full-table-credential-vending.md)

# So funktioniert die Anwendungsintegration von Lake Formation
<a name="how-vending-works"></a>

In diesem Abschnitt wird beschrieben, wie API-Operationen zur Anwendungsintegration verwendet werden, um eine Drittanbieteranwendung (Abfrage-Engine) zu integrierenLake Formation.

![\[Lake Formation data access workflow with user authentication and service integration.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/credential-vending-new.png)


1. Der Lake Formation Administrator führt die folgenden Aktivitäten aus:
   + Registriert einen Amazon S3 S3-Standort bei Lake Formation, indem eine IAM-Rolle (für Verkaufsberechtigungen) bereitgestellt wird, die über die entsprechenden Berechtigungen für den Zugriff auf Daten innerhalb des Amazon S3 S3-Standorts verfügt
   + Registriert eine Drittanbieteranwendung, um die API-Operationen für den Verkauf von Anmeldeinformationen von Lake Formation aufrufen zu können. Siehe [Registrierung einer Query-Engine eines Drittanbieters](register-query-engine.md)
   + Gewährt Benutzern Berechtigungen für den Zugriff auf Datenbanken und Tabellen

     Wenn Sie beispielsweise einen Datensatz für Benutzersitzungen veröffentlichen möchten, der einige Spalten mit personenbezogenen Daten (PII) enthält, weisen Sie diesen Spalten zur Einschränkung des Zugriffs ein [LF-TBAC-Tag](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html.html) mit dem Namen „Klassifizierung“ mit dem Wert „vertraulich“ zu. *Als Nächstes definieren Sie eine Berechtigung, die es einem Geschäftsanalysten ermöglicht, auf die Daten der Benutzersitzungen zuzugreifen, aber die Spalten, die mit classification = sensitive gekennzeichnet sind, ausschließen.* 

1. Ein Principal (Benutzer) sendet eine Anfrage an einen integrierten Dienst.

1. Die integrierte Anwendung sendet die Anfrage an Lake Formation und bittet um Tabelleninformationen und Anmeldeinformationen für den Zugriff auf die Tabelle. 

1. Wenn der abfragende Prinzipal autorisiert ist, auf die Tabelle zuzugreifen, gibt Lake Formation die Anmeldeinformationen an die integrierte Anwendung zurück, die den Datenzugriff ermöglicht.
**Anmerkung**  
Lake Formation greift beim Verkauf von Anmeldeinformationen nicht auf die zugrunde liegenden Daten zu.

1. Der integrierte Service liest Daten aus Amazon S3, filtert Spalten auf der Grundlage der empfangenen Richtlinien und gibt die Ergebnisse an den Principal zurück.

**Wichtig**  
Lake FormationAPI-Operationen für den Verkauf von Anmeldedaten ermöglichen eine **verteilte Durchsetzung mit einem expliziten Modell der Ablehnung bei einem Ausfall (**Fail-Close). Dadurch wird ein Dreiparteien-Sicherheitsmodell zwischen Kunden, Drittanbieterdiensten und Lake Formation eingeführt. Integrierten Diensten wird bei der ordnungsgemäßen Durchsetzung von Lake Formation Berechtigungen vertraut (verteilte Durchsetzung). 

Der integrierte Service ist dafür verantwortlich, die aus Amazon S3 gelesenen Daten auf der Grundlage der Richtlinien zu filtern, die Lake Formation vor der Rückgabe der gefilterten Daten an den Benutzer zurückgegeben wurden. Integrierte Dienste folgen einem Fail-Close-Modell, was bedeutet, dass sie die Abfrage nicht bestehen müssen, wenn sie die erforderlichen Lake Formation Berechtigungen nicht durchsetzen können. 

# Rollen und Verantwortlichkeiten bei der Anwendungsintegration von Lake Formation
<a name="roles-and-responsibilities"></a>

Im Folgenden sind die Rollen und die damit verbundenen Verantwortlichkeiten für die Integration von Drittanbieteranwendungen mit aufgeführt AWS Lake Formation.


****  

| Rolle | Verantwortung | 
| --- | --- | 
| Der Kunde |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/roles-and-responsibilities.html)  | 
| Der Drittanbieter |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/roles-and-responsibilities.html)  | 
| AWS Lake Formation |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/roles-and-responsibilities.html)  | 

# Lake FormationWorkflow für API-Operationen zur Anwendungsintegration
<a name="api-overview"></a>

Im Folgenden ist der Arbeitsablauf für API-Operationen zur Anwendungsintegration dargestellt:

1. Ein Benutzer sendet eine Abfrage oder Datenanforderung mithilfe einer integrierten Abfrage-Engine eines Drittanbieters. Die Abfrage-Engine nimmt eine IAM-Rolle an, die den Benutzer oder eine Benutzergruppe repräsentiert, und ruft vertrauenswürdige Anmeldeinformationen ab, die beim Aufrufen der API-Operationen für die Anwendungsintegration verwendet werden.

1.  Die Abfrage-Engine ruft auf`GetUnfilteredTableMetadata`, und wenn es sich um eine partitionierte Tabelle handelt, ruft die Abfrage-Engine auf, `GetUnfilteredPartitionsMetadata` um Metadaten und Richtlinieninformationen aus dem Datenkatalog abzurufen.

1.  Lake Formation führt die Autorisierung für die Anfrage durch. Wenn der Benutzer nicht über die entsprechenden Berechtigungen für die Tabelle verfügt, *AccessDeniedException*wird ausgelöst. 

1. Als Teil der Anfrage sendet die Abfrage-Engine die Filterung, die sie unterstützt. *Es gibt zwei Flags, die innerhalb eines Arrays gesendet werden können: *COLUMN\$1PERMISSIONS und CELL\$1FILTER\$1PERMISSION*.* Wenn die Abfrage-Engine keine dieser Funktionen unterstützt und in der Tabelle für die Funktion eine Richtlinie vorhanden ist, wird a *PermissionTypeMismatchException*ausgelöst und die Abfrage schlägt fehl. Dies dient dazu, Datenlecks zu vermeiden.

1. Die zurückgegebene Antwort enthält Folgendes:
   + Das gesamte Schema für die Tabelle, sodass Abfrage-Engines es verwenden können, um die Daten aus dem Speicher zu analysieren.
   + Eine Liste der autorisierten Spalten, auf die der Benutzer Zugriff hat. Wenn die Liste der autorisierten Spalten leer ist, bedeutet dies, dass der Benutzer zwar über `DESCRIBE` Berechtigungen, aber nicht über `SELECT` Berechtigungen verfügt, und die Abfrage schlägt fehl.
   + Eine Flagge`IsRegisteredWithLakeFormation`, die angibt, ob Lake Formation Anmeldeinformationen für diese Ressourcendaten weitergeben kann. Wenn dies den Wert False zurückgibt, sollten die Anmeldeinformationen des Kunden für den Zugriff auf Amazon S3 verwendet werden. 
   +  Eine Liste, `CellFilters` falls vorhanden, die auf Datenzeilen angewendet werden sollen. Diese Liste enthält Spalten und einen Ausdruck zur Auswertung jeder Zeile. Dies sollte nur aufgefüllt werden, wenn *CELL\$1FILTER\$1PERMISSION* als Teil der Anfrage gesendet wird und ein Datenfilter für die Tabelle für den aufrufenden Benutzer vorhanden ist.

1. Nachdem die Metadaten abgerufen wurden, ruft die Abfrage-Engine `GetTemporaryGlueTableCredentials` oder `GetTemporaryGluePartitionCredentials` auf, um AWS Anmeldeinformationen zum Abrufen von Daten vom Amazon S3 S3-Standort abzurufen. 

1. Die Abfrage-Engine liest relevante Objekte aus Amazon S3, filtert die Daten auf der Grundlage der Richtlinien, die sie in Schritt 2 erhalten hat, und gibt die Ergebnisse an den Benutzer zurück. 

Die API-Operationen für die Anwendungsintegration für Lake Formation enthalten zusätzliche Inhalte für die Konfiguration der Integration mit Abfrage-Engines von Drittanbietern. Die Einzelheiten zu den Vorgängen finden Sie im [Abschnitt „Credential Vending API Operations“](aws-lake-formation-api-credential-vending.md).

 Dies `QuerySessionContext` ist eine Struktur, an die Abfrage-Engines Lake Formation für diese API-Operationen zur Anwendungsintegration zusätzlich senden können. Sie ermöglicht Lake Formation das Speichern und Verwenden von zusätzlichem Kontext für eine bestimmte Abfrage. Im Folgenden finden Sie ein Beispiel dafür, wie es verwendet werden [QuerySessionContext](https://docs.aws.amazon.com/glue/latest/webapi/API_QuerySessionContext.html)sollte:

1. Die Abfrage-Engine `GetInternalUnfilteredMetadata` ruft auf und übergibt eine QSC-Struktur, die eine eindeutige Abfrage-ID in der Anfrage enthält:

   ```
   {
       "QuerySessionContext": {
           "QueryId": "your-unique-identifier-here"
       }
   }
   ```

1. Der `GetInternalUnfilteredMetadata` Aufruf wird in der Antwort eine `QueryAuthorizationId` Zeichenfolge zurückgegeben haben. Beim nächsten (und jedem nachfolgenden) Abfrageaufruf, der eine QSC-Struktur in der Eingabe akzeptiert, übergibt die Abfrage-Engine dieselbe QSC-Struktur, die jetzt auch das `QueryAuthorizationId` zurückgegebene von enthält. Lake Formation Nehmen wir an, dieser nächste Aufruf ist`GetTemporaryGlueTableCredentials`; die Anfrage wird Folgendes enthalten:

   ```
   {
       "QuerySessionContext": {
           "QueryAuthorizationId": "lf-returned-query-authz-id-here",
           "QueryId": "your-unique-identifier-here"
       },
   }
   ```

# Registrierung einer Query-Engine eines Drittanbieters
<a name="register-query-engine"></a>

Bevor eine Abfrage-Engine eines Drittanbieters die API-Operationen für die Anwendungsintegration verwenden kann, müssen Sie der Abfrage-Engine explizit Berechtigungen zum Aufrufen der API-Operationen in Ihrem Namen gewähren. Dies ist in wenigen Schritten erledigt:

1. Sie müssen die AWS Konten und IAM-Sitzungs-Tags angeben, für die eine Genehmigung zum Aufrufen der API-Operationen für die Anwendungsintegration über die AWS Lake Formation Konsole, die AWS CLI oder das API/SDK erforderlich ist. 

1. Wenn die Drittanbieter-Abfrage-Engine die Ausführungsrolle in Ihrem Konto übernimmt, muss die Abfrage-Engine ein Sitzungs-Tag anhängen, das bei Lake Formation registriert ist und die Drittanbieter-Engine darstellt. Lake Formationverwendet dieses Tag, um zu überprüfen, ob die Anfrage von einer zugelassenen Engine stammt. Weitere Informationen zu Sitzungs-Tags finden Sie unter [Sitzungs-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) im IAM-Benutzerhandbuch.

1. Wenn Sie eine Ausführungsrolle für die Query Engine eines Drittanbieters einrichten, müssen Sie in der IAM-Richtlinie über die folgenden Mindestberechtigungen verfügen:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": {"Effect": "Allow",
       "Action": [
         "lakeformation:GetDataAccess",      
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetDatabase",
         "glue:GetDatabases",
         "glue:CreateDatabase",
         "glue:GetUserDefinedFunction",
         "glue:GetUserDefinedFunctions",
         "glue:GetPartition",
         "glue:GetPartitions"
       ],
       "Resource": "*"
     }
   }
   ```

------

1. Richten Sie eine Rollenvertrauensrichtlinie für die Ausführungsrolle der Abfrage-Engine ein, um genau kontrollieren zu können, welches Schlüssel-Wert-Paar für das Sitzungs-Tag an diese Rolle angehängt werden kann. Im folgenden Beispiel darf dieser Rolle nur der Sitzungs-Tag-Schlüssel `"LakeFormationAuthorizedCaller"` und der Sitzungs-Tag-Wert `"engine1"` angehängt werden, und es ist kein anderes Sitzungstag-Schlüssel-Wert-Paar zulässig.

   ```
   {
       "Sid": "AllowPassSessionTags",
       "Effect": "Allow",
       "Principal": {
           "AWS": "arn:aws:iam::111122223333:role/query-execution-role"
       },
       "Action": "sts:TagSession",
       "Condition": {
       "StringLike": {
           "aws:RequestTag/LakeFormationAuthorizedCaller": "engine1"        }
       }
   }
   ```

Wenn der `LakeFormationAuthorizedCaller` AssumeRole API-Vorgang STS: aufgerufen wird, um Anmeldeinformationen für die Abfrageengine abzurufen, muss das Sitzungs-Tag in der [ AssumeRole Anforderung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html#id_session-tags_adding-assume-role) enthalten sein. Die zurückgegebenen temporären Anmeldeinformationen können verwendet werden, um API-Anfragen zur Lake Formation Anwendungsintegration zu stellen.

Lake FormationFür API-Operationen zur Anwendungsintegration muss der aufrufende Prinzipal eine IAM-Rolle sein. Die IAM-Rolle muss ein Sitzungs-Tag mit einem vordefinierten Wert enthalten, mit dem registriert wurde. Lake Formation Mit diesem Tag kann Lake Formation überprüft werden, ob die Rolle, die zum Aufrufen der API-Operationen für die Anwendungsintegration verwendet wird, dazu berechtigt ist.

# Aktivierung von Berechtigungen für eine Abfrage-Engine eines Drittanbieters zum Aufrufen von API-Operationen für die Anwendungsintegration
<a name="permitting-third-party-call"></a>

Gehen Sie wie folgt vor, damit eine Query-Engine eines Drittanbieters API-Operationen für die Anwendungsintegration über die AWS Lake Formation Konsole, die AWS CLI oder API/SDK aufrufen kann.

------
#### [ Console ]

**So registrieren Sie Ihr Konto für die externe Datenfilterung:**

1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Erweitern Sie in der linken Navigationsleiste die Option **Administration** und wählen Sie dann **Anwendungsintegrationseinstellung** aus.

1. Wählen Sie auf der **Einstellungsseite für die Anwendungsintegration** die Option **Zulassen, dass externe Engines Daten an Amazon S3 S3-Standorten filtern, bei denen Sie registriert** sindLake Formation.

1. Geben Sie die Sitzungs-Tags ein, die Sie für die Drittanbieter-Engine erstellt haben. Informationen zu Sitzungs-Tags finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Übergeben von Sitzungs-Tags in AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

1. Geben Sie das Konto IDs für Benutzer ein, die mit der Drittanbieter-Engine auf ungefilterte Metadateninformationen und die Datenzugriffsanmeldeinformationen der Ressourcen im aktuellen Konto zugreifen können.

   Sie können das AWS Konto-ID-Feld auch für die Konfiguration des kontoübergreifenden Zugriffs verwenden.  
![\[Der Screenshot zeigt die Seite mit den Einstellungen für Lake Formation die Anwendungsintegration. Die Option Zulassen, dass externe Engines Daten an Amazon S3 S3-Standorten filtern, bei denen Sie registriert sind, Lake Formation ist ausgewählt. Bei Sitzungs-Tag-Werten ist das Textfeld leer, aber unter dem Feld werden sechs Tags mit den Werten „engine1“, „engine2", „engine3", „session1", „session2" und „session3" angezeigt. AWS-Konto IDs Das letzte Feld zeigt das Feld. Das Textfeld ist leer, aber unter diesem Feld mit Konto werden drei Tags angezeigt IDs. Die Konto-ID-Werte sind geschwärzt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cred-vending-external-data-filtering.png)

------
#### [ CLI ]

Verwenden Sie den `put-data-lake-settings` CLI-Befehl, um die folgenden Parameter festzulegen.

Bei Verwendung dieses AWS CLI Befehls müssen drei Felder konfiguriert werden:
+ `allow-external-data-filtering `— (boolean) Gibt an, dass eine Engine eines Drittanbieters auf ungefilterte Metadateninformationen und Datenzugriffsanmeldeinformationen von Ressourcen im aktuellen Konto zugreifen kann. 
+ `external-data-filtering-allow-list`— (Array) Eine Liste von Konten IDs , die auf ungefilterte Metadateninformationen und Datenzugriffsanmeldeinformationen von Ressourcen im aktuellen Konto zugreifen können, wenn eine Engine eines Drittanbieters verwendet wird. Wenn auf „true“ gesetzt AllowExternalDataFiltering ist, muss die ExternalDataFilteringAllowList Eigenschaft mindestens eine Konto-ID enthalten. Eine leere Liste ist nicht zulässig.
+ `authorized-sessions-tag-value-list`— (Array) Eine Liste von autorisierten Sitzungs-Tag-Werten (Zeichenketten). Wenn eine IAM-Rollenanmeldeberechtigung mit einem autorisierten Schlüssel-Wert-Paar verknüpft wurde und das Sitzungs-Tag in der Liste enthalten ist, erhält die Sitzung Zugriff auf ungefilterte Metadateninformationen und Datenzugriffsanmeldeinformationen für Ressourcen im konfigurierten Konto. Der Tag-Schlüssel für die autorisierte Sitzung ist definiert als. `*LakeFormationAuthorizedCaller*`
+ `AllowFullTableExternalDataAccess`— (boolean) Ob einer Abfrage-Engine eines Drittanbieters erlaubt werden soll, Datenzugriffsanmeldeinformationen ohne Sitzungs-Tags abzurufen, wenn ein Aufrufer über volle Datenzugriffsberechtigungen verfügt. 

Beispiel:

```
aws lakeformation put-data-lake-settings --cli-input-json file://datalakesettings.json

{
  "DataLakeSettings": {
    "DataLakeAdmins": [
      {
        "DataLakePrincipalIdentifier": "arn:aws:iam::111111111111:user/lakeAdmin"
      }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "TrustedResourceOwners": [],
    "AllowExternalDataFiltering": true,
    "ExternalDataFilteringAllowList": [
        {"DataLakePrincipalIdentifier": "111111111111"}
        ],
    "AuthorizedSessionTagValueList": ["engine1"],
    "AllowFullTableExternalDataAccess": false
    }
    

}
```

------
#### [ API/SDK ]

Verwenden Sie den `PutDataLakeSetting` API-Vorgang, um die folgenden Parameter festzulegen. 

Bei Verwendung dieses API-Vorgangs müssen drei Felder konfiguriert werden:
+ `AllowExternalDataFiltering`— (Boolean) Gibt an, ob eine Engine eines Drittanbieters auf ungefilterte Metadateninformationen und Datenzugriffsanmeldeinformationen von Ressourcen im aktuellen Konto zugreifen kann. 
+ `ExternalDataFilteringAllowList`— (Array) Eine Liste von Konten IDs , die mithilfe einer Drittanbieter-Engine auf ungefilterte Metadateninformationen und die Datenzugriffsanmeldeinformationen von Ressourcen im aktuellen Konto zugreifen können. 
+ `AuthorizedSectionsTagValueList`— (Array) Eine Liste autorisierter Tag-Werte (Zeichenketten). Wenn eine IAM-Rollenberechtigung mit einem autorisierten Tag verknüpft wurde, erhält die Sitzung Zugriff auf ungefilterte Metadateninformationen und die Datenzugriffsanmeldeinformationen für Ressourcen im konfigurierten Konto. Der Tag-Schlüssel für die autorisierte Sitzung ist definiert als. `*LakeFormationAuthorizedCaller*` 
+  `AllowFullTableExternalDataAccess`— (boolean) Ob einer Abfrage-Engine eines Drittanbieters erlaubt werden soll, Datenzugriffsanmeldeinformationen ohne Sitzungs-Tags abzurufen, wenn ein Aufrufer über volle Datenzugriffsberechtigungen verfügt. 

Beispiel:

```
//Enable session tag on existing data lake settings
public void sessionTagSetUpForExternalFiltering(AWSLakeFormationClient lakeformation) {
    GetDataLakeSettingsResult getDataLakeSettingsResult = lfClient.getDataLakeSettings(new GetDataLakeSettingsRequest());
    DataLakeSettings dataLakeSettings = getDataLakeSettingsResult.getDataLakeSettings();
    
    //set account level flag to allow external filtering
    dataLakeSettings.setAllowExternalDataFiltering(true);
    
    //set account that are allowed to call credential vending or Glue GetFilteredMetadata API
    List<DataLakePrincipal> allowlist = new ArrayList<>();
    allowlist.add(new DataLakePrincipal().withDataLakePrincipalIdentifier("111111111111"));
    dataLakeSettings.setWhitelistedForExternalDataFiltering(allowlist);
    
    //set registered session tag values
    List<String> registeredTagValues = new ArrayList<>();
    registeredTagValues.add("engine1");
    dataLakeSettings.setAuthorizedSessionTagValueList(registeredTagValues);

    lakeformation.putDataLakeSettings(new PutDataLakeSettingsRequest().withDataLakeSettings(dataLakeSettings));
}
```

------

# Anwendungsintegration für vollständigen Tabellenzugriff
<a name="full-table-credential-vending"></a>

Gehen Sie wie folgt vor, damit Abfrage-Engines von Drittanbietern auf Daten zugreifen können, ohne dass das IAM-Sitzungs-Tag überprüft wird: 

------
#### [ Console ]

1. Melden Sie sich bei der Lake Formation Formation-Konsole unter an [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Erweitern Sie in der linken Navigationsleiste die Option **Administration** und wählen Sie **Anwendungsintegrationseinstellungen** aus.

1. Wählen Sie auf der Seite mit den **Einstellungen für die Anwendungsintegration** die Option **Externen Engines den Zugriff auf Daten an Amazon S3 S3-Standorten mit vollständigem Tabellenzugriff erlauben**. 

   Wenn Sie diese Option aktivieren, gibt Lake Formation Anmeldeinformationen ohne Überprüfung des IAM-Sitzungstags direkt an die abfragende Anwendung zurück. 

![\[Der Screenshot zeigt die Einstellungsseite für die Anwendungsintegration. Lake Formation Die Option Externen Engines den Zugriff auf Daten an Amazon S3 S3-Standorten mit vollständigem Tabellenzugriff erlauben ist ausgewählt.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cred-vending-external-full-table.png)


------
#### [ AWS CLI ]

Verwenden Sie den `put-data-lake-settings` CLI-Befehl, um den `AllowFullTableExternalDataAccess` Parameter festzulegen.

```
aws lakeformation put-data-lake-settings —cli-input-json file://put-data-lake-settings.json —region ap-northeast-1 
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111111111111:user/lakeAdmin"
            }
        ],
        "AllowFullTableExternalDataAccess": true
    }
}
```

------