Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pertimbangan dan batasan untuk menanyakan data yang terdaftar di Lake Formation
<a name="lf-athena-limitations"></a>

Pertimbangkan hal berikut saat menggunakan Athena untuk kueri data yang terdaftar di Lake Formation. Untuk informasi tambahan, lihat [Masalah yang diketahui AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html) di *Panduan AWS Lake Formation Pengembang*.

**Topics**
+ [Metadata kolom terlihat oleh pengguna tanpa izin data ke kolom dalam beberapa keadaan](#lf-athena-limitations-column-metadata)
+ [Bekerja dengan izin Lake Formation untuk tampilan](#lf-athena-limitations-permissions-to-views)
+ [Dukungan Iceberg DDL](#lf-athena-limitations-iceberg-ddl-operations)
+ [Kontrol akses halus Formasi Danau dan kelompok kerja Athena](#lf-athena-limitations-fine-grained-access-control)
+ [Lokasi hasil kueri Athena di Amazon S3 tidak terdaftar di Lake Formation](#lf-athena-limitations-query-results-location)
+ [Gunakan workgroup Athena untuk membatasi akses ke riwayat kueri](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [CSE-KMS Amazon S3 yang terdaftar di Lake Formation tidak dapat ditanyakan di Athena](#lf-athena-limitations-cse-kms)
+ [Lokasi data yang dipartisi yang terdaftar dengan Lake Formation harus dalam subdirektori tabel](#lf-athena-limitations-partioned-data-locations)
+ [Buat tabel sebagai kueri pilih (CTAS) memerlukan izin tulis Amazon S3](#lf-athena-limitations-ctas-queries)
+ [Izin DESCRIBE diperlukan pada database default](#lf-athena-limitations-describe-default)

## Metadata kolom terlihat oleh pengguna yang tidak sah dalam beberapa keadaan dengan Avro dan kustom SerDe
<a name="lf-athena-limitations-column-metadata"></a>

Otorisasi level kolom Lake Formation mencegah pengguna mengakses data dalam kolom yang pengguna tidak memiliki izin Lake Formation. Namun, dalam situasi tertentu, pengguna dapat mengakses metadata yang menjelaskan semua kolom dalam tabel, termasuk kolom yang mereka tidak memiliki izin untuk data.

Hal ini terjadi ketika metadata kolom disimpan dalam properti tabel untuk tabel menggunakan format penyimpanan Apache Avro atau menggunakan kustom Serializer/Deserializer (SerDe) di mana skema tabel didefinisikan dalam properti tabel bersama dengan definisi. SerDe Saat menggunakan Athena dengan Lake Formation, sebaiknya Anda meninjau isi properti tabel yang Anda daftarkan dengan Lake Formation dan, jika memungkinkan, batasi informasi yang tersimpan di properti tabel untuk mencegah metadata sensitif terlihat oleh pengguna.

## Memahami Lake Formation dan pemandangan
<a name="lf-athena-limitations-permissions-to-views"></a>

Untuk data yang terdaftar di Lake Formation, pengguna Athena dapat membuat`VIEW`hanya jika mereka memiliki izin Lake Formation ke tabel, kolom, dan sumber lokasi data Amazon S3 tempat`VIEW`didasarkan. Setelah`VIEW`dibuat di Athena, izin Lake Formation dapat diterapkan ke`VIEW`. Izin level kolom tidak tersedia untuk`VIEW`. Pengguna yang memiliki izin Lake Formation ke`VIEW`tetapi tidak memiliki izin ke tabel dan kolom tempat tampilan didasarkan tidak dapat menggunakan`VIEW`untuk kueri data. Namun, pengguna dengan campuran izin ini dapat menggunakan pernyataan seperti`DESCRIBE VIEW`,`SHOW CREATE VIEW`, dan`SHOW COLUMNS`Untuk melihat`VIEW`Metadata. Untuk alasan ini, pastikan untuk menyelaraskan izin Lake Formation untuk setiap`VIEW`dengan izin tabel yang mendasari. Filter sel yang didefinisikan pada tabel tidak berlaku `VIEW` untuk tabel itu. Nama tautan sumber daya harus memiliki nama yang sama dengan sumber daya di akun asal. Ada batasan tambahan saat bekerja dengan tampilan dalam pengaturan lintas akun. Untuk informasi selengkapnya tentang menyiapkan izin untuk tampilan bersama di seluruh akun, lihat[Konfigurasikan akses Katalog Data lintas akun](lf-athena-limitations-cross-account.md).

## Dukungan Iceberg DDL
<a name="lf-athena-limitations-iceberg-ddl-operations"></a>

Athena saat ini tidak mendukung operasi DDL pada tabel Gunung Es yang lokasinya terdaftar di Lake Formation. Mencoba menjalankan kueri DDL pada salah satu tabel Iceberg ini dapat mengembalikan kesalahan akses Amazon S3 yang ditolak atau gagal dengan batas waktu kueri. Operasi DDL pada tabel Iceberg mengharuskan pengguna untuk memiliki akses langsung Amazon S3 ke lokasi tabel Iceberg.

## Kontrol akses halus Formasi Danau dan kelompok kerja Athena
<a name="lf-athena-limitations-fine-grained-access-control"></a>

Pengguna di workgroup Athena yang sama dapat melihat data yang telah dikonfigurasi oleh kontrol akses berbutir halus Lake Formation agar dapat diakses oleh workgroup. *Untuk informasi selengkapnya tentang penggunaan kontrol akses berbutir halus di Lake Formation, lihat [Mengelola kontrol akses berbutir halus menggunakan AWS Lake Formation](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/) di Blog Big Data.AWS * 

## Lokasi hasil kueri Athena di Amazon S3 tidak terdaftar di Lake Formation
<a name="lf-athena-limitations-query-results-location"></a>

Hasil kueri lokasi di Amazon S3 untuk Athena tidak dapat didaftarkan dengan Lake Formation. Izin Lake Formation tidak membatasi akses ke lokasi ini. Kecuali Anda membatasi akses, pengguna Athena dapat mengakses file hasil kueri dan metadata saat mereka tidak memiliki izin Lake Formation untuk data tersebut. Untuk menghindari hal ini, kami sarankan Anda menggunakan grup kerja untuk menentukan lokasi untuk hasil kueri dan menyelaraskan keanggotaan grup kerja dengan Lake Formation izin. Anda kemudian dapat menggunakan kebijakan izin IAM untuk membatasi akses ke lokasi hasil permintaan. Untuk informasi selengkapnya tentang string kueri, lihat [Bekerja dengan hasil kueri dan kueri terbaru](querying.md).

## Gunakan workgroup Athena untuk membatasi akses ke riwayat kueri
<a name="lf-athena-limitations-use-workgroups-to-limit-access-to-query-history"></a>

Sejarah kueri Athena mengekspos daftar kueri disimpan dan string kueri lengkap. Kecuali Anda menggunakan grup kerja untuk memisahkan akses ke riwayat kueri, pengguna Athena yang tidak berwenang untuk meminta data di Lake Formation dapat melihat string kueri yang dijalankan pada data tersebut, termasuk nama kolom, kriteria pemilihan, dan sebagainya. Kami menyarankan Anda menggunakan grup kerja untuk memisahkan riwayat permintaan, dan menyelaraskan keanggotaan Athena grup kerja dengan izin Lake Formation untuk membatasi akses. Untuk informasi selengkapnya, lihat [Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya](workgroups-manage-queries-control-costs.md).

## Kueri tabel terenkripsi CSE\$1KMS terdaftar dengan Lake Formation
<a name="lf-athena-limitations-cse-kms"></a>

Tabel Open Table Format (OTF) seperti Apache Iceberg yang memiliki karakteristik berikut tidak dapat ditanyakan dengan Athena:
+ Tabel didasarkan pada lokasi data Amazon S3 yang terdaftar di Lake Formation.
+ Objek di Amazon S3 dienkripsi menggunakan enkripsi sisi klien (CSE).
+ Enkripsi menggunakan kunci yang AWS KMS dikelola pelanggan ()`CSE_KMS`.

Untuk menanyakan tabel non-OTF yang dienkripsi dengan `CSE_KMS` kunci), tambahkan blok berikut ke kebijakan AWS KMS kunci yang Anda gunakan untuk enkripsi CSE. *<KMS\$1KEY\$1ARN>*adalah ARN dari AWS KMS kunci yang mengenkripsi data. *<IAM-ROLE-ARN>*adalah ARN dari peran IAM yang mendaftarkan lokasi Amazon S3 di Lake Formation.

```
{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "kms:Decrypt",
    "Resource": "<KMS-KEY-ARN>",
    "Condition": {
        "ArnLike": {
            "aws:PrincipalArn": "<IAM-ROLE-ARN>"
        }
    }
}
```

## Lokasi data yang dipartisi yang terdaftar dengan Lake Formation harus dalam subdirektori tabel
<a name="lf-athena-limitations-partioned-data-locations"></a>

tabel dipartisi terdaftar dengan Lake Formation harus memiliki data dipartisi dalam direktori yang subdirektori dari tabel di Amazon S3. Misalnya, tabel dengan lokasi`s3://amzn-s3-demo-bucket/mytable`dan partisi`s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`,`s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12`, dan sebagainya dapat didaftarkan dengan Lake Formation dan bertanya menggunakan Athena. Di sisi lain, tabel dengan lokasi`s3://amzn-s3-demo-bucket/mytable`dan partisi yang terletak di`s3://amzn-s3-demo-bucket/dt=2019-07-11`,`s3://amzn-s3-demo-bucket/dt=2019-07-12`, dan sebagainya, tidak dapat didaftarkan di Lake Formation. Karena partisi tersebut bukan subdirektori dari`s3://amzn-s3-demo-bucket/mytable`, mereka juga tidak dapat dibaca dari Athena.

## Buat tabel sebagai kueri pilih (CTAS) memerlukan izin tulis Amazon S3
<a name="lf-athena-limitations-ctas-queries"></a>

Buat Tabel Sebagai Laporan (CTAS) memerlukan akses menulis ke lokasi Amazon S3 tabel. Untuk menjalankan kueri CTAS pada data yang terdaftar dengan Lake Formation, pengguna Athena harus memiliki izin IAM untuk menulis ke tabel lokasi Amazon S3 selain izin Pembentukan Danau yang sesuai untuk membaca lokasi data. Untuk informasi selengkapnya, lihat [Buat tabel dari hasil kueri (CTAS)](ctas.md).

## Izin DESCRIBE diperlukan pada database default
<a name="lf-athena-limitations-describe-default"></a>

`DESCRIBE`Izin Lake Formation diperlukan pada `default` database sehingga Lake Formation dapat melihatnya. Contoh AWS CLI perintah berikut memberikan `DESCRIBE` izin pada `default` database untuk pengguna `datalake_user1` dalam AWS akun`111122223333`.

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```

Untuk informasi selengkapnya, lihat [DESKRIPSIKAN](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe) di *Panduan AWS Lake Formation Pengembang*.