Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Lake Formation: Cara kerjanya
AWS Lake Formation menyediakan model izin sistem manajemen basis data relasional (RDBMS) untuk memberikan atau mencabut akses ke sumber daya Katalog Data seperti database, tabel, dan kolom dengan data dasar di Amazon S3. Izin Lake Formation yang mudah dikelola menggantikan kebijakan bucket Amazon S3 yang kompleks dan kebijakan IAM terkait.
Di Lake Formation, Anda dapat menerapkan izin pada dua level:
+ Menegakkan izin tingkat metadata pada sumber daya Katalog Data seperti database dan tabel
+ Mengelola izin akses penyimpanan pada data dasar yang disimpan di Amazon S3 atas nama mesin terintegrasi
## Alur kerja manajemen izin Lake Formation
Lake Formation terintegrasi dengan mesin analitik untuk menanyakan penyimpanan data Amazon S3 dan objek metadata yang terdaftar di Lake Formation. Diagram berikut menggambarkan cara kerja manajemen izin di Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/lf-workflow.png)
**Izin Lake Formation mengelola langkah-langkah tingkat tinggi**
Sebelum Lake Formation dapat memberikan kontrol akses untuk data di danau data Anda, [*administrator danau data*](initial-lf-config.md#create-data-lake-admin) atau pengguna dengan izin administratif akan menyiapkan kebijakan pengguna tabel Katalog Data individual untuk mengizinkan atau menolak akses ke tabel Katalog Data menggunakan izin Lake Formation.
Kemudian, administrator data lake atau pengguna yang didelegasikan oleh administrator memberikan izin Lake Formation kepada pengguna di database dan tabel Katalog Data, dan mendaftarkan lokasi Amazon S3 tabel dengan Lake Formation.
1. **Dapatkan metadata** — Prinsipal (pengguna) mengirimkan kueri atau skrip ETL ke [mesin analitik terintegrasi](working-with-services.md) seperti Amazon Athena, Amazon EMR, atau AWS Glue Amazon Redshift Spectrum. Mesin analitik terintegrasi mengidentifikasi tabel yang diminta dan mengirimkan permintaan metadata ke Katalog Data.
1. **Periksa izin** — Katalog Data memeriksa izin pengguna dengan Lake Formation, dan jika pengguna diberi wewenang untuk mengakses tabel, mengembalikan metadata yang diizinkan dilihat pengguna ke mesin.
1. **Dapatkan kredensil** — Katalog Data memungkinkan mesin mengetahui apakah tabel dikelola oleh Lake Formation atau tidak. Jika data yang mendasarinya terdaftar di Lake Formation, mesin analitik meminta Lake Formation untuk menyediakan akses data dengan memberikan akses sementara.
1. **Dapatkan data** — Jika pengguna berwenang untuk mengakses tabel, Lake Formation menyediakan akses sementara ke mesin analitik terintegrasi. Menggunakan akses sementara, mesin analitik mengambil data dari Amazon S3, dan melakukan pemfilteran yang diperlukan seperti pemfilteran kolom, baris, atau sel. Ketika mesin selesai menjalankan pekerjaan, ia mengembalikan hasilnya kembali ke pengguna. Proses ini disebut [credential vending](using-cred-vending.md).
Jika tabel tidak dikelola oleh Lake Formation, panggilan kedua dari mesin analitik dilakukan langsung ke Amazon S3. Kebijakan bucket Amazon S3 terkait dan kebijakan pengguna IAM dievaluasi untuk akses data.
Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya tentang administrator, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Alur kerja manajemen izin Lake Formation](#lf-workflow)
+ [Izin metadata](metadata-permissions.md)
+ [Manajemen akses penyimpanan](storage-permissions.md)
+ [Berbagi data lintas akun di Lake Formation](cross-data-sharing-lf.md)
# Izin metadata
Lake Formation menyediakan otorisasi dan kontrol akses untuk Katalog Data. Ketika peran IAM membuat panggilan API Katalog Data dari sistem apa pun, Katalog Data memverifikasi izin data pengguna dan hanya mengembalikan metadata yang pengguna memiliki izin untuk mengakses. Misalnya, jika peran IAM hanya memiliki akses ke satu tabel dalam database, dan layanan atau pengguna dengan asumsi peran melakukan `GetTables` operasi, respons hanya akan berisi satu tabel, terlepas dari jumlah tabel dalam database.
**Pengaturan default - izin `IAMAllowedPrincipal` grup**
AWS Lake Formation, secara default, menetapkan izin ke semua database dan tabel ke grup virtual bernama. `IAMAllowedPrincipal` Grup ini unik dan hanya terlihat di dalam Lake Formation. `IAMAllowedPrincipal`Grup ini mencakup semua kepala sekolah IAM yang memiliki akses ke sumber daya Katalog Data melalui kebijakan utama IAM dan kebijakan sumber daya. AWS Glue Jika izin ini ada pada database atau tabel, semua prinsipal akan diberikan akses ke database atau tabel.
Jika Anda ingin memberikan izin yang lebih terperinci pada database atau tabel, hapus `IAMAllowedPrincipal` izin dan, Lake Formation memberlakukan semua kebijakan lain yang terkait dengan database atau tabel tersebut. Misalnya, jika ada kebijakan yang memungkinkan Pengguna A mengakses Database A dengan `DESCRIBE` izin, dan `IAMAllowedPrincipal` ada dengan semua izin, Pengguna A akan terus melakukan semua tindakan lainnya, hingga `IAMAllowedPrincipal` izin dicabut.
Selain itu, secara default, `IAMAllowedPrincipal` grup memiliki izin pada semua database dan tabel baru saat dibuat. Ada dua konfigurasi yang mengontrol perilaku ini. Yang pertama adalah di akun dan tingkat Wilayah yang memungkinkan ini untuk database yang baru dibuat, dan yang kedua adalah di tingkat database. Untuk mengubah pengaturan default, lihat[Ubah model izin default atau gunakan mode akses hybrid](initial-lf-config.md#setup-change-cat-settings).
## Memberikan izin
Administrator data lake dapat memberikan izin Katalog Data kepada prinsipal sehingga prinsipal dapat membuat dan mengelola database dan tabel, serta dapat mengakses data yang mendasarinya.
**Izin basis data dan tingkat tabel**
Saat Anda memberikan izin dalam Lake Formation, pemberi harus menentukan prinsipal untuk memberikan izin, sumber daya untuk memberikan izin, dan tindakan yang harus diakses oleh penerima hibah. Untuk sebagian besar sumber daya dalam Lake Formation, daftar utama dan sumber daya untuk memberikan izin serupa, tetapi tindakan yang dapat dilakukan penerima hibah berbeda berdasarkan jenis sumber daya. Misalnya, `SELECT` izin tersedia untuk tabel untuk membaca tabel, tetapi `SELECT` izin tidak diizinkan pada database. `CREATE_TABLE`Izin diizinkan pada database, tetapi tidak pada tabel.
Anda dapat memberikan AWS Lake Formation izin menggunakan dua metode:
+ [Metode sumber daya bernama](granting-cat-perms-named-resource.md) - Memungkinkan Anda memilih nama database dan tabel sambil memberikan izin kepada pengguna.
+ [Kontrol akses berbasis LF-tag (LF-TBAC)](granting-catalog-perms-TBAC.md) — Pengguna membuat LF-tag, mengaitkannya dengan sumber daya Katalog Data, memberikan `Describe` izin pada LF-tag, mengaitkan izin ke pengguna individu, dan menulis kebijakan izin LF menggunakan LF-tag untuk pengguna yang berbeda. LF-Tag-basedKebijakan tersebut berlaku untuk semua sumber daya Katalog Data yang terkait dengan nilai LF-tag tersebut.
**catatan**
LF-tag unik untuk Lake Formation. Mereka hanya terlihat di Lake Formation dan tidak boleh bingung dengan tag AWS sumber daya.
LF-TBAC adalah fitur yang memungkinkan pengguna untuk mengelompokkan sumber daya ke dalam kategori LF-tag yang ditentukan pengguna dan menerapkan izin pada grup sumber daya tersebut. Oleh karena itu, ini adalah cara terbaik untuk menskalakan izin di sejumlah besar sumber daya Katalog Data.
Untuk informasi selengkapnya, lihat [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).
Saat Anda memberikan izin kepada kepala sekolah, Lake Formation mengevaluasi izin sebagai gabungan dari semua kebijakan untuk pengguna tersebut. Misalnya, jika Anda memiliki dua kebijakan pada tabel untuk prinsipal di mana satu kebijakan memberikan izin ke kolom col1, col2, dan col3 melalui metode sumber daya bernama, dan kebijakan lainnya memberikan izin ke tabel dan prinsipal yang sama ke col5, dan col6 melalui LF-tag, izin efektif akan menjadi gabungan izin yang akan menjadi col1, col2, col3, col5, dan col6. Ini juga termasuk filter data dan baris.
**Izin lokasi data**
Izin lokasi data memberi pengguna non-administratif kemampuan untuk membuat database dan tabel di lokasi Amazon S3 tertentu. Jika pengguna mencoba membuat database atau tabel di lokasi yang tidak memiliki izin untuk dibuat, tugas pembuatan gagal. Ini untuk mencegah pengguna membuat tabel di lokasi sewenang-wenang di dalam data lake dan memberikan kontrol atas di mana pengguna tersebut dapat membaca dan menulis data. Ada izin implisit saat membuat tabel di lokasi Amazon S3 dalam database tempat ia dibuat. Untuk informasi selengkapnya, lihat [Memberikan izin lokasi data](granting-location-permissions.md).
**Buat izin tabel dan basis data**
Pengguna non-administratif secara default tidak memiliki izin untuk membuat database atau tabel dalam database. Pembuatan basis data dikontrol di tingkat akun menggunakan pengaturan Lake Formation sehingga hanya kepala sekolah yang berwenang yang dapat membuat database. Untuk informasi selengkapnya, lihat [Membuat basis data](creating-database.md). Untuk membuat tabel, prinsipal memerlukan `CREATE_TABLE` izin pada database tempat tabel sedang dibuat. Untuk informasi selengkapnya, lihat [Membuat tabelAWS Glue Data Catalog Pemandangan bangunan](creating-tables.md).
**Izin implisit dan eksplisit**
Lake Formation memberikan izin implisit tergantung pada persona dan tindakan yang dilakukan persona. Misalnya, administrator data lake secara otomatis mendapatkan `DESCRIBE` izin ke semua sumber daya dalam Katalog Data, izin lokasi data ke semua lokasi, izin untuk membuat database dan tabel di semua lokasi, serta `Grant` izin pada sumber daya apa pun. `Revoke` Pembuat database secara otomatis mendapatkan semua izin database pada database yang mereka buat, dan pembuat tabel mendapatkan semua izin pada tabel yang mereka buat. Untuk informasi selengkapnya, lihat [Izin Formasi Danau Implisit](implicit-permissions.md).
**Izin yang dapat diberikan**
Administrator data lake memiliki kemampuan untuk mendelegasikan pengelolaan izin kepada pengguna non-administratif dengan memberikan izin yang dapat diberikan. Ketika prinsipal diberikan izin yang dapat diberikan pada sumber daya dan serangkaian izin, prinsipal tersebut memperoleh kemampuan untuk memberikan izin kepada prinsipal lain pada sumber daya tersebut.
# Manajemen akses penyimpanan
Lake Formation menggunakan fungsionalitas [penjual kredenal](using-cred-vending.md) untuk menyediakan akses sementara ke data Amazon S3. Credential vending, atau token vending adalah pola umum yang memberikan kredensi sementara kepada pengguna, layanan, atau entitas lain untuk tujuan pemberian akses jangka pendek ke sumber daya.
Lake Formation memanfaatkan pola ini untuk menyediakan akses jangka pendek ke layanan AWS analitik seperti Athena untuk mengakses data atas nama kepala panggilan. Saat memberikan izin, pengguna tidak perlu memperbarui kebijakan bucket Amazon S3 atau kebijakan IAM mereka, dan mereka tidak memerlukan akses langsung ke Amazon S3.
Diagram berikut menunjukkan bagaimana Lake Formation menyediakan akses sementara ke lokasi terdaftar:
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Seorang prinsipal (pengguna) memasukkan kueri atau permintaan data untuk tabel melalui layanan terintegrasi tepercaya seperti Athena, Amazon EMR, Redshift Spectrum, atau. AWS Glue
1. Layanan terintegrasi memeriksa otorisasi dari Lake Formation untuk tabel dan kolom yang diminta dan membuat penentuan otorisasi. Jika pengguna tidak berwenang, Lake Formation menolak akses ke data dan kueri gagal.
1. Setelah otorisasi berhasil dan otorisasi penyimpanan diaktifkan untuk tabel dan pengguna, layanan terintegrasi mengambil kredensi sementara dari Lake Formation untuk mengakses data.
1. Layanan terintegrasi menggunakan kredensil sementara dari Lake Formation untuk meminta objek dari Amazon S3.
1. Amazon S3 menyediakan objek Amazon S3 ke layanan terintegrasi. Objek Amazon S3 berisi semua data dari tabel.
1. Layanan terintegrasi melakukan penegakan kebijakan Lake Formation yang diperlukan, seperti tingkat kolom, level baris dan/atau penyaringan level sel. Layanan terintegrasi memproses kueri dan mengembalikan hasilnya kembali ke pengguna.
**Aktifkan penegakan izin tingkat penyimpanan untuk tabel Katalog Data**
Secara default, penegakan tingkat penyimpanan tidak diaktifkan untuk tabel dalam Katalog Data. Untuk mengaktifkan penegakan tingkat penyimpanan, Anda harus mendaftarkan lokasi Amazon S3 dari data sumber Anda dengan Lake Formation dan memberikan peran IAM. Izin tingkat penyimpanan akan diaktifkan untuk semua tabel dengan jalur lokasi tabel atau awalan lokasi Amazon S3 yang sama.
Ketika layanan terintegrasi meminta akses ke lokasi data atas nama pengguna, layanan Lake Formation mengambil peran ini dan mengembalikan kredensialnya ke layanan yang diminta dengan izin tercakup ke sumber daya sehingga akses data dapat dibuat. Peran IAM terdaftar harus memiliki semua akses yang diperlukan ke lokasi AWS KMS Amazon S3 termasuk kunci.
Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi Amazon S3](register-location.md).
**AWS Layanan yang didukung**
AWS layanan analitik seperti Athena, Redshift Spectrum, Amazon AWS Glue EMR,, Amazon Quick, dan Amazon SageMaker AI berintegrasi dengan AWS Lake Formation menggunakan operasi API penjual kredenal Lake Formation. Untuk melihat daftar lengkap AWS layanan yang terintegrasi dengan Lake Formation, dan tingkat granularitas dan format tabel yang mereka dukung, lihat. [Bekerja dengan AWS layanan lain](working-with-services.md)
# Berbagi data lintas akun di Lake Formation
Dengan Lake Formation, Anda dapat berbagi sumber daya Katalog Data (database dan tabel) dalam AWS akun dan di seluruh akun dalam pengaturan sederhana menggunakan metode sumber daya bernama atau LF-tag. Anda dapat membagikan seluruh database atau memilih tabel dari database ke kepala IAM (peran dan pengguna IAM) di akun, ke akun lain AWS di tingkat akun, atau langsung ke prinsipal IAM di akun lain.
Anda juga dapat membagikan tabel Katalog Data dengan filter data untuk membatasi akses ke detail pada detail tingkat baris dan tingkat sel. Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) untuk memfasilitasi pemberian izin antar akun. Saat sumber daya dibagi antara dua akun, AWS RAM kirim undangan ke akun penerima. Saat pengguna menerima undangan AWS RAM berbagi, AWS RAM berikan izin yang diperlukan ke Lake Formation agar sumber daya Katalog Data tersedia serta penegakan tingkat penyimpanan yang diaktifkan. Untuk informasi selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).
Ketika administrator data lake dari akun penerima menerima AWS RAM pembagian, sumber daya bersama tersedia di akun penerima. Administrator data lake memberikan izin Lake Formation lebih lanjut pada sumber daya bersama ke prinsipal IAM tambahan di akun penerima, jika administrator memiliki `GRANTABLE` izin pada sumber daya bersama.
Namun, kepala sekolah tidak dapat menanyakan sumber daya bersama menggunakan Athena atau Redshift Spectrum tanpa tautan sumber daya. Tautan sumber daya adalah entitas dalam Katalog Data dan mirip dengan konsep Linux-Symlink.
Administrator data lake dari akun penerima membuat tautan sumber daya pada sumber daya bersama. Administrator memberikan `Describe` izin pada tautan sumber daya dengan izin yang diperlukan pada sumber daya bersama asli kepada pengguna tambahan. Pengguna di akun penerima kemudian dapat menggunakan tautan sumber daya untuk menanyakan sumber daya bersama menggunakan Athena dan Redshift Spectrum. Untuk informasi selengkapnya tentang tautan sumber daya, lihat[Membuat tautan sumber daya](creating-resource-links.md).