Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kelola izin pengguna Lake Formation dan Athena
<a name="lf-athena-user-permissions"></a>

Lake Formation menjual kredensil untuk menanyakan penyimpanan data Amazon S3 atau katalog federasi yang terdaftar di Lake Formation. Jika sebelumnya Anda menggunakan kebijakan IAM untuk mengizinkan atau menolak izin membaca katalog atau lokasi data di Amazon S3, Anda dapat menggunakan izin Lake Formation sebagai gantinya. Namun, izin IAM lainnya masih diperlukan.

Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya tentang administrator, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

Bagian berikut meringkas izin yang diperlukan untuk menggunakan Athena untuk kueri data yang terdaftar di Lake Formation. Untuk informasi selengkapnya, lihat [Keamanan di AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/security.html) dalam *AWS Lake Formation Panduan Developer*.

**Topics**
+ [Izin berbasis identitas untuk Lake Formation dan Athena](#lf-athena-user-permissions-identity-based)
+ [Izin Amazon S3 untuk lokasi hasil kueri Athena](#lf-athena-user-permissions-query-results-locations)
+ [Keanggotaan workgroup Athena ke riwayat kueri](#lf-athena-user-permissions-workgroup-memberships-query-history)
+ [Izin Lake Formation untuk data](#lf-athena-user-permissions-data)
+ [Izin IAM untuk menulis ke lokasi Amazon S3](#lf-athena-user-permissions-s3-write)
+ [Izin untuk data terenkripsi, metadata, dan hasil kueri Athena](#lf-athena-user-permissions-encrypted)
+ [Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)](#lf-athena-user-permissions-s3-cross-account)

## Izin berbasis identitas untuk Lake Formation dan Athena
<a name="lf-athena-user-permissions-identity-based"></a>

Siapa pun yang menggunakan Athena untuk meminta data yang terdaftar dengan Lake Formation harus memiliki kebijakan izin IAM yang mengizinkan tindakan `lakeformation:GetDataAccess`. [AWS kebijakan terkelola: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) mengizinkan tindakan ini. Jika Anda menggunakan kebijakan inline, pastikan untuk memperbarui kebijakan izin untuk mengizinkan tindakan ini.

Di Lake Formation, *administrator danau data* memiliki izin untuk membuat objek metadata seperti database dan tabel, memberikan izin Lake Formation kepada pengguna lain, dan mendaftarkan lokasi Amazon S3 baru atau katalog data. Untuk mendaftarkan lokasi baru, izin untuk peran terkait layanan untuk Lake Formation diperlukan. *Untuk informasi selengkapnya, lihat [Membuat administrator data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) dan [izin peran terkait Layanan untuk Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/service-linked-roles.html#service-linked-role-permissions) di Panduan Pengembang AWS Lake Formation .*

Pengguna Lake Formation dapat menggunakan Athena untuk menanyakan database, tabel, kolom tabel, dan penyimpanan data Amazon S3 yang mendasari atau katalog berdasarkan izin Lake Formation yang diberikan kepadanya oleh administrator data lake. Pengguna tidak dapat membuat basis data atau tabel, atau mendaftarkan lokasi Amazon S3 baru dengan Lake Formation. Untuk informasi selengkapnya, lihat [Membuat pengguna data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/cloudtrail-tut-create-lf-user.html) di *Panduan AWS Lake Formation Pengembang*.

Di Athena, kebijakan izin berbasis identitas, termasuk untuk grup kerja Athena, masih mengontrol akses ke tindakan Athena untuk Amazon Web Services pengguna akun. Selain itu, akses gabungan mungkin disediakan melalui otentikasi berbasis SAML yang tersedia dengan driver Athena. Lihat informasi selengkapnya di [Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya](workgroups-manage-queries-control-costs.md), [Menggunakan kebijakan IAM untuk mengontrol akses workgroup](workgroups-iam-policy.md), dan [Aktifkan akses federasi ke Athena API](access-federation-saml.md).

Untuk informasi selengkapnya, lihat [Memberikan izin Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/lake-formation-permissions.html) di Panduan *AWS Lake Formation Pengembang*.

## Izin Amazon S3 untuk lokasi hasil kueri Athena
<a name="lf-athena-user-permissions-query-results-locations"></a>

Hasil kueri lokasi di Amazon S3 untuk Athena tidak dapat didaftarkan dengan Lake Formation. Izin Lake Formation tidak membatasi akses ke lokasi ini. Kecuali Anda membatasi akses, pengguna Athena dapat mengakses file hasil kueri dan metadata saat mereka tidak memiliki izin Lake Formation untuk data tersebut. Untuk menghindari hal ini, kami sarankan Anda menggunakan grup kerja untuk menentukan lokasi untuk hasil kueri dan menyelaraskan keanggotaan grup kerja dengan Lake Formation izin. Anda kemudian dapat menggunakan kebijakan izin IAM untuk membatasi akses ke lokasi hasil permintaan. Untuk informasi selengkapnya tentang string kueri, lihat [Bekerja dengan hasil kueri dan kueri terbaru](querying.md).

## Keanggotaan workgroup Athena ke riwayat kueri
<a name="lf-athena-user-permissions-workgroup-memberships-query-history"></a>

Sejarah kueri Athena mengekspos daftar kueri disimpan dan string kueri lengkap. Kecuali Anda menggunakan grup kerja untuk memisahkan akses ke riwayat kueri, pengguna Athena yang tidak berwenang untuk meminta data di Lake Formation dapat melihat string kueri yang dijalankan pada data tersebut, termasuk nama kolom, kriteria pemilihan, dan sebagainya. Kami menyarankan Anda menggunakan grup kerja untuk memisahkan riwayat permintaan, dan menyelaraskan keanggotaan Athena grup kerja dengan izin Lake Formation untuk membatasi akses. Untuk informasi selengkapnya, lihat [Gunakan kelompok kerja untuk mengontrol akses kueri dan biaya](workgroups-manage-queries-control-costs.md).

## Izin Lake Formation untuk data
<a name="lf-athena-user-permissions-data"></a>

Selain izin dasar untuk menggunakan Lake Formation, pengguna Athena harus memiliki izin Lake Formation untuk mengakses sumber daya yang mereka kueri. Izin ini diberikan dan dikelola oleh administrator Lake Formation. Untuk informasi selengkapnya, lihat [Keamanan dan kontrol akses ke metadata dan data](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) di Panduan *AWS Lake Formation Pengembang*.

## Izin IAM untuk menulis ke lokasi Amazon S3
<a name="lf-athena-user-permissions-s3-write"></a>

Lake Formation izin untuk Amazon S3 tidak termasuk kemampuan untuk menulis ke Amazon S3. Buat Tabel Sebagai Laporan (CTAS) memerlukan akses menulis ke lokasi Amazon S3 tabel. Untuk menjalankan kueri CTAS pada data yang terdaftar dengan Lake Formation, pengguna Athena harus memiliki izin IAM untuk menulis ke tabel lokasi Amazon S3 selain izin Pembentukan Danau yang sesuai untuk membaca lokasi data. Untuk informasi selengkapnya, lihat [Buat tabel dari hasil kueri (CTAS)](ctas.md).

## Izin untuk data terenkripsi, metadata, dan hasil kueri Athena
<a name="lf-athena-user-permissions-encrypted"></a>

Data sumber yang mendasari di Amazon S3 dan metadata dalam katalog yang terdaftar di Lake Formation dapat dienkripsi. Tidak ada perubahan pada cara Athena menangani enkripsi hasil kueri saat menggunakan Athena untuk kueri data terdaftar dengan Lake Formation. Untuk informasi selengkapnya, lihat [Enkripsi hasil kueri Athena yang disimpan di Amazon S3](encrypting-query-results-stored-in-s3.md).
+ **Mengenkripsi data sumber** — Enkripsi data sumber lokasi data Amazon S3 didukung. Pengguna Athena yang mencari lokasi Amazon S3 terenkripsi yang terdaftar dengan Lake Formation memerlukan izin untuk mengenkripsi dan mendekripsi data. Untuk informasi lebih lanjut tentang persyaratan, lihat [Opsi enkripsi Amazon S3 yang didukung](encryption.md#encryption-options-S3-and-Athena) dan[Izin untuk data terenkripsi di Amazon S3](encryption.md#permissions-for-encrypting-and-decrypting-data). 
+ **Mengenkripsi metadata — Mengenkripsi metadata** di didukung. AWS Glue Data Catalog Bagi utama yang menggunakan Athena, kebijakan berbasis identitas harus mengizinkan`"kms:GenerateDataKey"`,`"kms:Decrypt"`, dan`"kms:Encrypt"`Tindakan untuk kunci yang digunakan untuk mengenkripsi metadata. Untuk informasi selengkapnya, lihat [Mengenkripsi Katalog Data Anda](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html) di *Panduan AWS Glue Pengembang* dan. [Konfigurasikan akses dari Athena ke metadata terenkripsi di AWS Glue Data Catalog](access-encrypted-data-glue-data-catalog.md)

## Izin berbasis sumber daya untuk bucket Amazon S3 di akun eksternal (opsional)
<a name="lf-athena-user-permissions-s3-cross-account"></a>

Untuk kueri lokasi data Amazon S3 di akun yang berbeda, berbasis sumber daya IAM kebijakan (bucket kebijakan) harus memungkinkan akses ke lokasi. Untuk informasi selengkapnya, lihat [Konfigurasikan akses lintas akun di Athena ke bucket Amazon S3](cross-account-permissions.md).

Untuk informasi tentang mengakses katalog di akun lain, lihat. [Opsi A: Konfigurasikan akses Katalog Data lintas akun di Athena](lf-athena-limitations-cross-account.md#lf-athena-limitations-cross-account-glue)