Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola akses ke tabel atau database dengan Lake Formation
<a name="grant-permissions-tables"></a>

Jika bucket tabel Anda terintegrasi dengan layanan AWS analitik menggunakan Lake Formation, maka Lake Formation mengelola akses ke tabel Anda dan mengharuskan setiap kepala sekolah IAM (pengguna atau peran) diberi wewenang untuk melakukan tindakan mereka. Lake Formation menggunakan model izinnya sendiri (izin Lake Formation) yang memungkinkan kontrol akses berbutir halus untuk sumber daya Katalog Data. 

Untuk informasi selengkapnya, lihat [Ikhtisar izin Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/lf-permissions-overview.html) di *Panduan AWS Lake Formation Pengembang*.

Ada dua jenis izin utama di AWS Lake Formation: 

1. Izin akses metadata mengontrol kemampuan untuk membuat, membaca, memperbarui, dan menghapus database dan tabel metadata di Katalog Data.

1. Izin akses data yang mendasari mengontrol kemampuan untuk membaca dan menulis data ke lokasi Amazon S3 yang mendasari yang ditunjuk oleh sumber daya Katalog Data.

Lake Formation menggunakan kombinasi model izinnya sendiri dan model izin IAM untuk mengontrol akses ke sumber daya Katalog Data dan data yang mendasarinya:
+ Agar permintaan mengakses sumber daya Katalog Data atau data dasar agar berhasil, permintaan harus lulus pemeriksaan izin oleh IAM dan Lake Formation.
+ Izin IAM mengontrol akses ke Lake Formation dan AWS Glue APIs dan resource, sedangkan izin Lake Formation mengontrol akses ke sumber daya Katalog Data, lokasi Amazon S3, dan data yang mendasarinya.

Izin Lake Formation hanya berlaku di Wilayah di mana mereka diberikan, dan kepala sekolah harus diberi wewenang oleh administrator danau data atau kepala sekolah lain dengan izin yang diperlukan untuk diberikan izin Lake Formation. 

**catatan**  
Jika Anda adalah pengguna yang melakukan integrasi bucket tabel, Anda sudah memiliki izin Lake Formation ke tabel Anda. Jika Anda satu-satunya kepala sekolah yang akan mengakses tabel Anda, Anda dapat melewati langkah ini. Anda hanya perlu memberikan izin Lake Formation di tabel Anda ke prinsipal IAM lainnya. Hal ini memungkinkan prinsipal lain untuk mengakses tabel saat menjalankan query. Untuk informasi selengkapnya, lihat [Memberikan izin Lake Formation di atas meja atau database](#grant-lf-table). 

## Memberikan izin Lake Formation di atas meja atau database
<a name="grant-lf-table"></a>

Anda dapat memberikan izin utama Lake Formation pada tabel atau database dalam ember meja, baik melalui konsol Lake Formation atau. AWS CLI

**catatan**  
Saat Anda memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal atau langsung ke kepala IAM di akun lain, Lake Formation menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya. Jika akun penerima hibah berada di organisasi yang sama dengan akun pemberi hibah, sumber daya bersama segera tersedia untuk penerima hibah. Jika akun penerima hibah tidak berada di organisasi yang sama, AWS RAM kirimkan undangan ke akun penerima hibah untuk menerima atau menolak hibah sumber daya. Kemudian, untuk membuat sumber daya bersama tersedia, administrator data lake di akun penerima hibah harus menggunakan AWS RAM konsol atau AWS CLI untuk menerima undangan. Untuk informasi selengkapnya tentang berbagi data lintas akun, lihat Berbagi [data lintas akun di Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) di Panduan *AWS Lake Formation Pengembang*.

------
#### [ Console ]

1. Buka AWS Lake Formation konsol di[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), dan masuk sebagai administrator danau data. Untuk informasi selengkapnya tentang cara membuat administrator data lake, lihat [Membuat administrator data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#create-data-lake-admin) di *Panduan AWS Lake Formation Pengembang*.

1. **Di panel navigasi, pilih **Izin data**, lalu pilih Hibah.** 

1. Pada halaman **Izin Hibah**, di bawah **Prinsipal**, lakukan salah satu hal berikut:
   + Untuk Amazon Athena atau Amazon Redshift, **pilih pengguna dan peran IAM, dan pilih** prinsipal IAM yang Anda gunakan untuk kueri.
   + Untuk Amazon Data Firehose, pilih **pengguna dan peran IAM, lalu pilih peran** layanan yang Anda buat untuk streaming ke tabel.
   + Untuk Cepat, pilih **pengguna dan grup SAFL**, lalu masukkan Nama Sumber Daya Amazon (ARN) pengguna admin Cepat Anda.
   + Untuk akses AWS GlueIceberg REST endpoint, pilih **pengguna dan peran IAM lalu pilih peran** IAM yang Anda buat untuk klien Anda. Untuk informasi selengkapnya, lihat [Buat peran IAM untuk klien Anda](s3-tables-integrating-glue-endpoint.md#glue-endpoint-create-iam-role)

1. Di bawah **LF-tag atau sumber katalog, pilih Sumber daya Katalog** **Data Bernama**.

1. Untuk **Katalog**, pilih subkatalog yang Anda buat saat mengintegrasikan bucket tabel, misalnya,. `account-id:s3tablescatalog/amzn-s3-demo-bucket`

1. Untuk **Database**, pilih namespace bucket tabel S3 yang Anda buat.

1. (Opsional) Untuk **Tabel**, pilih tabel S3 yang Anda buat di bucket tabel Anda. 
**catatan**  
Jika Anda membuat tabel baru di editor kueri Athena, jangan pilih tabel. 

1. Lakukan salah satu tindakan berikut:
   + Jika Anda menentukan tabel di langkah sebelumnya, untuk **izin Tabel**, pilih **Super**.
   + Jika Anda tidak menentukan tabel pada langkah sebelumnya, buka **izin Database**. Untuk berbagi data lintas akun, Anda tidak dapat memilih **Super** untuk memberikan semua izin kepada prinsipal lainnya di database Anda. **Sebagai gantinya, pilih lebih banyak izin berbutir halus, seperti Deskripsikan.**

1. Pilih**Izin**.

------
#### [ CLI ]

1. Pastikan Anda menjalankan AWS CLI perintah berikut sebagai administrator data lake. Untuk informasi selengkapnya, lihat [Membuat administrator data lake](https://docs.aws.amazon.com//lake-formation/latest/dg/initial-lf-config.html#create-data-lake-admin) di *Panduan AWS Lake Formation Pengembang*.

1. Jalankan perintah berikut untuk memberikan izin Lake Formation pada tabel di bucket tabel S3 ke prinsipal IAM untuk mengakses tabel. Untuk menggunakan contoh ini, ganti *`user input placeholders`*dengan informasi Anda sendiri. 

   ```
   aws lakeformation grant-permissions \
   --region us-east-1 \
   --cli-input-json \
   '{
       "Principal": {
           "DataLakePrincipalIdentifier": "user or role ARN, for example, arn:aws:iam::account-id:role/example-role"
       },
       "Resource": {
           "Table": {
               "CatalogId": "account-id:s3tablescatalog/amzn-s3-demo-bucket",
               "DatabaseName": "S3 table bucket namespace, for example, test_namespace",
               "Name": "S3 table bucket table name, for example test_table"
           }
       },
       "Permissions": [
           "ALL"
       ]
   }'
   ```

------