Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memberikan izin data lake menggunakan metode LF-TBAC
<a name="granting-catalog-perms-TBAC"></a>

Anda dapat memberikan izin `DESCRIBE` dan `ASSOCIATE` Lake Formation pada LF-tag kepada prinsipal sehingga mereka dapat melihat LF-tag dan menetapkannya ke sumber daya Katalog Data (database, tabel, tampilan, dan kolom). Saat LF-tag ditetapkan ke sumber daya Katalog Data, Anda dapat menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk mengamankan sumber daya tersebut. Untuk informasi selengkapnya, lihat [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).

Pada awalnya, hanya administrator data lake yang dapat memberikan izin ini. Jika administrator data lake memberikan izin ini dengan opsi hibah, prinsipal lain dapat memberikannya. `ASSOCIATE`Izin `DESCRIBE` dan dijelaskan dalam[Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation](lf-tag-considerations.md).

Anda dapat memberikan `ASSOCIATE` izin `DESCRIBE` dan pada LF-tag ke akun eksternal. AWS Administrator data lake di akun tersebut kemudian dapat memberikan izin tersebut kepada prinsipal lain di akun tersebut. Prinsipal kepada siapa administrator data lake di akun eksternal memberikan `ASSOCIATE` izin kemudian dapat menetapkan LF-tag ke sumber daya Katalog Data yang Anda bagikan dengan akun mereka.

Saat memberikan ke akun eksternal, Anda harus menyertakan opsi hibah.

Anda dapat memberikan izin pada LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau (). AWS Command Line Interface AWS CLI

**catatan**  
Langkah-langkah berikut tidak diperlukan untuk katalog Tabel S3. Anda dapat menggunakan LF-tag untuk memberikan izin pada katalog Tabel S3 yang ada tanpa menghapus dan membuatnya kembali.

**Mengaktifkan dukungan LF-tag untuk katalog federasi yang ada yang menggunakan izin Lake Formation**

Ikuti langkah-langkah berikut, jika Anda memiliki katalog federasi yang menggunakan izin Lake Formation, seperti Amazon Redshift atau katalog yang dibuat sebelum dukungan LF-tag tersedia untuk Amazon DynamoDB katalog federasi. 

1. Hapus katalog yang ada — Panggil operasi `deleteCatalog` API untuk menghapus katalog federasi yang ada yang menggunakan izin Lake Formation.

1.  Buat katalog federasi baru — Buat katalog baru dan arahkan katalog baru ke namespace/datashare yang ada. 

   Gunakan nama baru untuk katalog — Proses ini memperbarui katalog federasi Anda yang sudah ada sebelumnya untuk mendukung fungsionalitas LF-tag. Jika Anda ingin menggunakan nama katalog yang sama, hubungi tim AWS dukungan untuk bantuan. 

**Topics**
+ [Memberikan izin Katalog Data](#granting-cat-perms-TBAC-console)

**Lihat juga**  
[Mengelola izin nilai LF-tag](TBAC-granting-tags.md)
[Mengelola LF-tag untuk kontrol akses metadata](managing-tags.md)
[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md)

## Memberikan izin Katalog Data
<a name="granting-cat-perms-TBAC-console"></a>

Gunakan konsol Lake Formation atau AWS CLI untuk memberikan izin Lake Formation pada database, tabel, tampilan, dan kolom Katalog Data menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC).

------
#### [ Console ]

Langkah-langkah berikut menjelaskan cara memberikan izin dengan menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) dan **halaman izin danau data Grant di konsol Lake** Formation. Halaman ini dibagi menjadi beberapa bagian berikut:
+  **Prinsipal** — Pengguna, peran, dan Akun AWS untuk memberikan izin untuk.
+  **LF-tag atau sumber daya katalog** — Database, tabel, atau tautan sumber daya untuk memberikan izin pada.
+  **Izin** — Izin Lake Formation untuk diberikan.

1. 

**Buka halaman izin danau data Grant.**

   Buka AWS Lake Formation konsol di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), dan masuk sebagai administrator danau data atau sebagai pengguna yang telah diberikan izin Lake Formation pada sumber daya Katalog Data melalui LF-TBAC dengan opsi hibah.

   Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**. Kemudian pilih **Grant**.

1. 

**Tentukan prinsipal.**

    Di bagian **Prinsipal**, pilih jenis utama dan kemudian tentukan prinsipal untuk memberikan izin.  
![Bagian Prinsipal berisi empat ubin yang diberi nama dalam teks berikut. Setiap ubin berisi tombol opsi dan teks. Ubin IAM Identity Center dipilih, dan daftar dropdown pengguna dan grup berada di bawah ubin.](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**Pengguna dan peran IAM**  
Pilih satu atau beberapa pengguna atau peran dari daftar **pengguna dan peran IAM**.  
**Pusat Identitas IAM **  
Pilih satu atau beberapa pengguna atau dari daftar **Pengguna dan grup**.  
**Pengguna dan grup SALL**  
Untuk **pengguna dan grup SAMB dan Cepat**, masukkan satu atau beberapa Nama Sumber Daya Amazon (ARNs) untuk pengguna atau grup yang digabungkan melalui SAMB, atau ARNs untuk pengguna atau grup Cepat. Tekan Enter setelah setiap ARN.  
Untuk informasi tentang cara membangun ARNs, lihat[Lake Formation memberikan dan mencabut perintah AWS CLI](lf-permissions-reference.md#perm-command-format).  
Integrasi Lake Formation dengan Quick didukung hanya untuk Quick Enterprise Edition.  
**Akun eksternal**  
Untuk **Akun AWS, AWS organisasi**, atau **kepala IAM** masukkan satu atau lebih yang valid Akun AWS IDs, organisasi IDs, unit organisasi IDs, atau ARN untuk pengguna atau peran IAM. Tekan **Enter** setelah setiap ID.  
ID organisasi terdiri dari “o-” diikuti oleh 10 hingga 32 huruf kecil atau digit.  
ID unit organisasi dimulai dengan “ou-” diikuti oleh 4 hingga 32 huruf kecil atau digit (ID dari root yang berisi OU). String ini diikuti oleh tanda hubung “-” kedua dan 8 hingga 32 huruf kecil atau digit tambahan.

1. 

**Tentukan LF-tag.**

   Pastikan bahwa opsi **Resources yang cocok dengan LF-tag dipilih**. **Pilih **pasangan nilai kunci LF-tag** atau Ekspresi LF-tag Tersimpan.**

   1. Jika Anda memilih opsi **pasangan nilai kunci LF-tag, pilih kunci** dan nilainya.

      Jika Anda memilih lebih dari satu nilai, Anda membuat ekspresi LF-tag dengan operator`OR`. Ini berarti bahwa jika salah satu nilai LF-tag cocok dengan LF-tag yang ditetapkan ke sumber daya Katalog Data, Anda diberikan izin pada sumber daya.  
![Bagian LF-tag atau sumber daya katalog berisi dua ubin yang disusun secara horizontal, di mana setiap ubin berisi tombol opsi dan teks deskriptif. Pilihannya adalah Sumber daya yang dicocokkan dengan LF-tag (disarankan), dan sumber daya katalog data bernama. Sumber daya yang cocok dengan LF-tag dipilih. Di bawah ubin adalah bidang Kunci dan bidang Nilai yang disusun secara horizontal. Bidang Kunci berisi “modul” dan bidang Nilai adalah daftar dropdown yang berisi tiga entri: Pesanan, Penjualan, dan Pelanggan. Setiap entri memiliki kotak centang yang terkait. Kotak centang untuk Pelanggan dipilih. Di sebelah kanan kedua bidang ini adalah tombol Hapus. Di bagian bawah adalah tombol Tambahkan LF-tag, yang menunjukkan bahwa Anda dapat menambahkan baris lain yang berisi bidang Kunci dan Nilai dan tombol Hapus.](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)

   1. (Opsional) Pilih **Tambah pasangan nilai kunci LF-tag** lagi untuk menentukan LF-tag lainnya.

      Jika Anda menentukan lebih dari satu LF-tag, Anda membuat ekspresi LF-tag dengan operator. `AND` Prinsipal diberikan izin pada sumber daya Katalog Data hanya jika sumber daya diberi tag LF yang cocok untuk setiap LF-tag dalam ekspresi LF-tag.

   1. Pilih **Simpan sebagai opsi ekspresi baru** untuk menggunakan kembali ekspresi.

      Anda `Create LF-Tag expression` perlu menyimpan ekspresi.

      Untuk informasi selengkapnya tentang ekspresi LF-tag, lihat. [Mengelola ekspresi LF-tag untuk kontrol akses metadata](managing-tag-expressions.md)

1. 

**Tentukan izin.**

   Tentukan izin yang ingin Anda berikan kepada prinsipal tentang pencocokan sumber daya Katalog Data. Sumber daya yang cocok adalah sumber daya yang diberi tag LF yang cocok dengan salah satu ekspresi LF-tag yang diberikan kepada prinsipal. 

   Anda dapat menentukan izin yang akan diberikan pada database yang cocok, tabel yang cocok, dan tampilan yang cocok.  
![Dua bagian halaman ditampilkan. Bagian izin Database berisi kotak centang untuk izin database dan izin yang dapat diberikan. Di bawah bagian Database, bagian izin Tabel menunjukkan kotak centang untuk izin tabel dan izin yang dapat diberikan.](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)

   Di bawah **Izin database**, pilih izin database yang akan diberikan kepada prinsipal pada database yang cocok.

   Di bawah **Izin tabel**, pilih tabel atau izin tampilan yang akan diberikan kepada prinsipal pada tabel dan tampilan yang cocok.

   Anda juga dapat memilih`Select`,`Describe`, dan `Drop` izin dari izin **Tabel** untuk diterapkan pada tampilan.

1. Pilih**Izin**.

------
#### [ AWS CLI ]

Anda dapat menggunakan metode AWS Command Line Interface (AWS CLI) dan Lake Formation tag-based access control (LF-TBAC) untuk memberikan izin Lake Formation pada database, tabel, dan kolom Data Catalog.

**Memberikan izin data lake menggunakan AWS CLI dan metode LF-TBAC**
+ Gunakan perintah `grant-permissions`.  
**Example**  

  Contoh berikut memberikan ekspresi LF-tag "`module=*`" (semua nilai kunci LF-tag) kepada pengguna. `module` `datalake_user1` Pengguna tersebut akan memiliki `CREATE_TABLE` izin pada semua database yang cocok — database yang telah diberi tag LF dengan kunci, dengan nilai apa pun. `module`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 
  ```  
**Example**  

  Contoh berikutnya memberikan ekspresi LF-tag `(level=director) AND (region=west OR region=south)` "kepada pengguna. `datalake_user1` Pengguna tersebut akan memiliki`SELECT`,`ALTER`, dan `DROP` izin dengan opsi hibah pada tabel yang cocok—tabel yang telah ditetapkan keduanya `level=director` dan (`region=west`atau). `region=south`

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
  ```  
**Example**  

  Contoh berikutnya memberikan ekspresi LF-tag "`module=orders`" ke akun 1234-5678-9012. AWS Administrator data lake di akun itu kemudian dapat memberikan ekspresi "`module=orders`" kepada kepala sekolah di akun mereka. Prinsipal tersebut kemudian akan memiliki `CREATE_TABLE` izin untuk mencocokkan basis data yang dimiliki oleh akun 1111-2222-3333 dan dibagikan dengan akun 1234-5678-9012 dengan menggunakan metode sumber daya bernama atau metode LF-TBAC.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
  ```

------