Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Praktik, pertimbangan, dan batasan terbaik Lake Formation
<a name="lf-limitations"></a>

Gunakan bagian ini untuk dengan cepat menemukan praktik, pertimbangan, dan batasan terbaik di dalamnya AWS Lake Formation.

Lihat [Kuota layanan](https://docs.aws.amazon.com/general/latest/gr/lake-formation.html#limits_lake-formation) untuk jumlah maksimum sumber daya layanan atau operasi untuk Anda Akun AWS.

**Topics**
+ [Praktik dan pertimbangan terbaik berbagi data lintas akun](cross-account-notes.md)
+ [Batasan peran terkait layanan](service-linked-role-limitations.md)
+ [Keterbatasan akses data Lintas Wilayah](x-region-considerations.md)
+ [Katalog Data melihat pertimbangan dan batasan](views-notes.md)
+ [Batasan penyaringan data](data-filtering-notes.md)
+ [Pertimbangan dan batasan mode akses hibrida](notes-hybrid.md)
+ [Keterbatasan untuk membawa data gudang data Amazon Redshift ke dalam AWS Glue Data Catalog](notes-ns-catalog.md)
+ [Keterbatasan integrasi katalog Tabel S3](notes-s3-catalog.md)
+ [Metadata sarang menyimpan pertimbangan dan batasan berbagi data](notes-hms.md)
+ [Batasan berbagi data Amazon Redshift](notes-rs-datashare.md)
+ [Keterbatasan integrasi Pusat Identitas IAM](identity-center-lf-notes.md)
+ [Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation](lf-tag-considerations.md)
+ [Pertimbangan kontrol akses berbasis atribut, batasan, dan wilayah yang didukung](abac-considerations.md)

# Praktik dan pertimbangan terbaik berbagi data lintas akun
<a name="cross-account-notes"></a>

 Kemampuan lintas akun Lake Formation memungkinkan pengguna untuk berbagi data lake terdistribusi dengan aman di beberapa AWS organisasi Akun AWS, atau langsung dengan prinsipal IAM di akun lain yang menyediakan akses halus ke metadata Katalog Data dan data yang mendasarinya. 

Pertimbangkan praktik terbaik berikut saat menggunakan berbagi data lintas akun Lake Formation:
+ Tidak ada batasan jumlah hibah izin Lake Formation yang dapat Anda berikan kepada kepala sekolah di akun Anda sendiri. AWS Namun, Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) kapasitas untuk hibah lintas akun yang dapat dibuat akun Anda dengan metode sumber daya bernama. Untuk memaksimalkan AWS RAM kapasitas, ikuti praktik terbaik berikut untuk metode sumber daya bernama:
  +  Gunakan mode hibah lintas akun baru (**Versi 3** ke atas di bawah **pengaturan versi Cross account**) untuk berbagi sumber daya dengan eksternal Akun AWS. Untuk informasi selengkapnya, lihat [Memperbarui pengaturan versi berbagi data lintas akun](optimize-ram.md). 
  + Atur AWS akun ke dalam organisasi, dan berikan izin kepada organisasi atau unit organisasi. Hibah untuk organisasi atau unit organisasi dihitung sebagai satu hibah.

    Pemberian kepada organisasi atau unit organisasi juga menghilangkan kebutuhan untuk menerima AWS Resource Access Manager (AWS RAM) undangan pembagian sumber daya untuk hibah. Untuk informasi selengkapnya, lihat [Mengakses dan melihat tabel dan database Katalog Data bersama](viewing-shared-resources.md).
  + Alih-alih memberikan izin pada banyak tabel individual dalam database, gunakan wildcard khusus **Semua tabel** untuk memberikan izin pada semua tabel dalam database. Pemberian pada **Semua tabel** dihitung sebagai hibah tunggal. Untuk informasi selengkapnya, lihat [Memberikan izin pada sumber daya Katalog Data](granting-catalog-permissions.md).
**catatan**  
Untuk informasi selengkapnya tentang meminta batas yang lebih tinggi untuk jumlah pembagian sumber daya AWS RAM, lihat [kuota AWS layanan](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) di. *Referensi Umum AWS*
+ Anda harus membuat tautan sumber daya ke database bersama agar database tersebut muncul di editor kueri Amazon Redshift Spectrum Amazon Athena dan Amazon Redshift. Demikian pula, untuk dapat menanyakan tabel bersama menggunakan Athena dan Redshift Spectrum, Anda harus membuat tautan sumber daya ke tabel. Tautan sumber daya kemudian muncul di daftar tabel editor kueri.

  Alih-alih membuat tautan sumber daya untuk banyak tabel individual untuk kueri, Anda dapat menggunakan wildcard **Semua tabel** untuk memberikan izin pada semua tabel dalam database. Kemudian, saat Anda membuat tautan sumber daya untuk database tersebut dan memilih tautan sumber daya basis data di editor kueri, Anda akan memiliki akses ke semua tabel di database tersebut untuk kueri Anda. Untuk informasi selengkapnya, lihat [Membuat tautan sumber daya](creating-resource-links.md).
+ Saat Anda berbagi sumber daya secara langsung dengan prinsipal di akun lain, prinsipal IAM di akun penerima mungkin tidak memiliki izin untuk membuat tautan sumber daya agar dapat menanyakan tabel bersama menggunakan Athena dan Amazon Redshift Spectrum. Alih-alih membuat tautan sumber daya untuk setiap tabel yang dibagikan, administrator data lake dapat membuat database placeholder dan memberikan `CREATE_TABLE` izin ke grup. `ALLIAMPrincipal` Kemudian, semua prinsipal IAM di akun penerima dapat membuat tautan sumber daya di database placeholder dan mulai menanyakan tabel bersama. 

   Lihat contoh perintah CLI untuk memberikan izin masuk. `ALLIAMPrincipals` [Memberikan izin database menggunakan metode sumber daya bernama](granting-database-permissions.md) 
+ Ketika izin lintas akun diberikan langsung kepada prinsipal, hanya penerima hibah yang dapat melihat izin ini. Administrator data lake di AWS akun penerima tidak dapat melihat hibah langsung ini.
+ Athena dan Redshift Spectrum mendukung kontrol akses tingkat kolom, tetapi hanya untuk inklusi, bukan pengecualian. Kontrol akses tingkat kolom tidak didukung dalam pekerjaan AWS Glue ETL.
+ Ketika sumber daya dibagikan dengan AWS akun Anda, Anda dapat memberikan izin pada sumber daya hanya kepada pengguna di akun Anda. Anda tidak dapat memberikan izin pada sumber daya ke AWS akun lain, ke organisasi (bahkan organisasi Anda sendiri), atau ke `IAMAllowedPrincipals` grup.
+ Anda tidak dapat memberikan `DROP` atau `Super` pada database ke akun eksternal.
+ Cabut izin lintas akun sebelum Anda menghapus database atau tabel. Jika tidak, Anda harus menghapus pembagian sumber daya yatim piatu di. AWS Resource Access Manager

**Lihat juga**  
[Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation](lf-tag-considerations.md)
[`CREATE_TABLE`](lf-permissions-reference.md#perm-create-table)dalam [Referensi izin Lake Formation](lf-permissions-reference.md) untuk lebih banyak aturan dan batasan akses lintas akun.

# Batasan peran terkait layanan
<a name="service-linked-role-limitations"></a>

 Peran terkait layanan adalah jenis peran IAM khusus yang ditautkan langsung ke. AWS Lake Formation Peran ini memiliki izin yang telah ditentukan sebelumnya yang memungkinkan Lake Formation melakukan tindakan atas nama Anda di seluruh AWS layanan. 

Batasan berikut berlaku saat menggunakan peran terkait layanan (SLR) untuk mendaftarkan lokasi data dengan Lake Formation.
+ Anda tidak dapat mengubah kebijakan peran terkait layanan setelah dibuat.
+ Peran terkait layanan tidak mendukung pembagian sumber daya katalog terenkripsi di seluruh akun. Sumber daya terenkripsi memerlukan izin AWS KMS kunci tertentu. Peran terkait layanan memiliki izin yang telah ditentukan sebelumnya yang tidak menyertakan kemampuan untuk bekerja dengan sumber daya katalog terenkripsi di seluruh akun.
+ Saat mendaftarkan beberapa lokasi Amazon S3, menggunakan peran terkait layanan dapat menyebabkan Anda melampaui batas kebijakan IAM dengan cepat. Ini terjadi karena dengan peran terkait layanan, AWS tulis kebijakan untuk Anda, dan itu bertambah sebagai satu blok besar yang mencakup semua pendaftaran Anda. Anda dapat menulis kebijakan yang dikelola pelanggan dengan lebih efisien, mendistribusikan izin di beberapa kebijakan, atau menggunakan peran berbeda untuk Wilayah yang berbeda. 
+ Amazon EMR di EC2 tidak dapat mengakses data yang Anda daftarkan lokasi data dengan peran terkait layanan.
+ Operasi peran terkait layanan melewati kebijakan kontrol AWS layanan Anda.
+ Saat Anda mendaftarkan lokasi data dengan peran terkait layanan, lokasi tersebut akan memperbarui kebijakan IAM dengan konsistensi pada akhirnya. Untuk informasi selengkapnya, lihat dokumentasi IAM [Pemecahan Masalah di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html#troubleshoot_general_eventual-consistency).
+  Anda tidak dapat mengatur `SET_CONTEXT = TRUE` pengaturan danau data Lake Formation saat menggunakan peran terkait layanan, dan Anda menggunakan Pusat Identitas IAM. Alasannya adalah bahwa peran terkait layanan memiliki kebijakan kepercayaan yang tidak dapat diubah yang tidak sesuai dengan propagasi identitas tepercaya yang diperlukan untuk `SetContext` audit dengan kepala sekolah IAM Identity Center. 

# Keterbatasan akses data Lintas Wilayah
<a name="x-region-considerations"></a>

 Lake Formation mendukung kueri tabel Katalog Data di seluruh Wilayah AWS. Anda dapat mengakses data di Wilayah dari Wilayah lain menggunakan Amazon Athena, Amazon EMR, dan AWS Glue ETL dengan membuat tautan sumber daya di Wilayah lain yang menunjuk ke database dan tabel sumber. Dengan akses tabel lintas wilayah, Anda dapat mengakses data di seluruh Wilayah tanpa menyalin data dasar atau metadata ke dalam Katalog Data. 

Batasan berikut berlaku untuk akses tabel lintas wilayah.
+ Lake Formation tidak mendukung kueri tabel Katalog Data dari Wilayah lain menggunakan Amazon Redshift Spectrum.
+ Di konsol Lake Formation, tampilan database dan tabel tidak menampilkan nama database/tabel Wilayah sumber.
+ Untuk melihat daftar tabel di bawah database bersama dari Wilayah lain, Anda harus terlebih dahulu membuat tautan sumber daya ke database bersama, lalu pilih tautan sumber daya, dan pilih **Lihat tabel**.
+ Lake Formation tidak mendukung panggilan tautan sumber daya Lintas wilayah yang dilakukan oleh pengguna SAFL.
+ Fitur Lintas wilayah Lake Formation tidak melibatkan biaya tambahan untuk transfer data.

# Katalog Data melihat pertimbangan dan batasan
<a name="views-notes"></a>

 Pertimbangan dan batasan berikut berlaku untuk tampilan Katalog Data. 
+ Anda tidak dapat membuat tampilan Katalog Data dari konsol Lake Formation. Anda dapat membuat tampilan menggunakan AWS CLI atau SDK. 
+ Anda dapat membuat tampilan Katalog Data dari 10 tabel. Ini adalah batas yang sulit. Tabel referensi yang mendasari untuk tampilan dapat menjadi milik database yang sama atau database yang berbeda dalam AWS akun yang sama.
+ Untuk pertimbangan dan batasan tambahan khusus untuk membuat tampilan Katalog Data menggunakan Redshift, lihat bagian [Pertimbangan dan batasan tampilan Katalog Data di](https://docs.aws.amazon.com/redshift/latest/dg/data-catalog-views-overview.html#data-catalog-views-considerations) Panduan Pengembang Basis Data Amazon Redshift. Untuk Athena, lihat bagian [Pertimbangan dan batasan tampilan Katalog Data](https://docs.aws.amazon.com/athena/latest/ug/views-glue.html#views-glue-limitations) di Panduan Pengguna Amazon Athena. 
+ Anda dapat membuat tampilan Katalog Data pada tabel yang terdaftar dengan Lake Formation dalam mode akses hybrid dan mode Lake Formation.

  Saat menggunakan tampilan Katalog Data dengan mode akses hibrida Lake Formation, disarankan untuk memastikan bahwa prinsipal yang menggunakan tampilan dipilih untuk izin Lake Formation untuk tabel dasar yang direferensikan dalam tampilan tanpa memberikan akses. Ini memastikan bahwa tabel dasar tidak akan diungkapkan kepada konsumen melalui izin AWS Glue IAM.
+ Tidak ada batasan pada versi berbagi lintas akun untuk berbagi tampilan.
+ Tampilan mendapatkan versi seperti tabel Katalog Data, saat Anda menggunakan `ALTER VIEW` pernyataan untuk dialek tampilan yang sudah dibuat. Anda tidak dapat memutar kembali ke tampilan sebelumnya karena versi tampilan berubah dengan perubahan data yang mendasarinya. Anda dapat menghapus versi tampilan dan itu akan default ke versi terbaru berikutnya yang tersedia. Saat Anda mengubah versi tampilan, pastikan data Anda sinkron dengan skema versi tampilan yang dipilih.
+ Tidak ada Katalog Data baru APIs yang diperkenalkan. Yang ada`CreateTable`,`UpdateTable`, `DeleteTable` dan `GetTable` APIs diperbarui.
+ Amazon Redshift selalu membuat tampilan dengan kolom varchar dari tabel dengan string. Anda harus melemparkan kolom string ke varchar dengan panjang eksplisit saat menambahkan dialek dari mesin lain.
+ Pemberian izin data lake ke `All tables` dalam database akan mengakibatkan penerima hibah memiliki izin pada semua tabel dan tampilan dalam database.
+ Anda tidak dapat membuat tampilan:
  + Itu referensi pandangan lain.
  + Ketika tabel referensi adalah tautan sumber daya.
  + Ketika tabel referensi ada di akun lain.
  + Dari metastores Hive eksternal.
+ Peran penentu lintas akun tidak didukung untuk tampilan Dialek Spektrum Redshift.
+ Tautan sumber daya untuk dialek Athena di editor kueri Athena tidak didukung. Untuk menggunakan peran penentu lintas akun untuk dialek Athena, tambahkan akun yang menghosting tabel dasar sebagai Sumber Data di Athena.

# Batasan penyaringan data
<a name="data-filtering-notes"></a>

Saat Anda memberikan izin Lake Formation pada tabel Katalog Data, Anda dapat menyertakan spesifikasi pemfilteran data untuk membatasi akses ke data tertentu dalam hasil kueri dan mesin yang terintegrasi dengan Lake Formation. Lake Formation menggunakan pemfilteran data untuk mencapai keamanan tingkat kolom, keamanan tingkat baris, dan keamanan tingkat sel. Anda dapat menentukan dan menerapkan filter data pada kolom bersarang jika data sumber Anda berisi struktur bersarang.

## Catatan dan batasan untuk penyaringan tingkat kolom
<a name="column-filtering-notes"></a>

Ada tiga cara untuk menentukan pemfilteran kolom:
+ Dengan menggunakan filter data
+ Dengan menggunakan penyaringan kolom sederhana atau penyaringan kolom bersarang.
+ Dengan menggunakan TAGs.

Pemfilteran kolom sederhana hanya menentukan daftar kolom untuk menyertakan atau mengecualikan. Baik konsol Lake Formation, API, dan AWS CLI mendukung pemfilteran kolom sederhana. Sebagai contoh, lihat [Grant with Simple Column Filtering](granting-table-permissions.md#simple-column-filter-example).

Catatan dan batasan berikut berlaku untuk pemfilteran kolom:
+ AWS Glue 5.0 atau lebih tinggi mendukung kontrol akses berbutir halus melalui Lake Formation hanya untuk tabel Apache Hive dan Apache Iceberg.
+ Untuk memberikan `SELECT` opsi hibah dan pemfilteran kolom, Anda harus menggunakan daftar sertakan, bukan daftar pengecualian. Tanpa opsi hibah, Anda dapat menggunakan daftar sertakan atau kecualikan.
+ Untuk memberikan `SELECT` pada tabel dengan pemfilteran kolom, Anda harus diberikan `SELECT` di atas meja dengan opsi hibah dan tanpa batasan baris. Anda harus memiliki akses ke semua baris. 
+ Jika Anda memberikan opsi `SELECT` hibah dan pemfilteran kolom ke prinsipal di akun Anda, prinsipal tersebut harus menentukan pemfilteran kolom untuk kolom yang sama atau subset dari kolom yang diberikan saat memberikan kepada prinsipal lain. Jika Anda memberikan `SELECT` opsi hibah dan pemfilteran kolom ke akun eksternal, administrator data lake di akun eksternal dapat memberikan `SELECT` semua kolom ke prinsipal lain di akun mereka. Namun, bahkan dengan `SELECT` pada semua kolom, prinsipal itu hanya akan memiliki visibilitas pada kolom yang diberikan ke akun eksternal.
+ Anda tidak dapat menerapkan pemfilteran kolom pada tombol partisi.
+ Prinsipal dengan `SELECT` izin pada subset kolom dalam tabel tidak dapat diberikan`ALTER`,, `DROP``DELETE`, atau `INSERT` izin pada tabel itu. Untuk kepala sekolah dengan`ALTER`,, `DROP``DELETE`, atau `INSERT` izin di atas meja, jika Anda memberikan `SELECT` izin dengan pemfilteran kolom, itu tidak berpengaruh.

Catatan dan batasan berikut berlaku untuk pemfilteran kolom bersarang:
+  Anda dapat menyertakan atau mengecualikan lima tingkat bidang bersarang dalam filter data.  
**Example**  

  Col1.Col1\$11.Col1\$11\$11.Col1\$11\$11\$11\$11.col1\$11\$11\$11
+  Anda tidak dapat menerapkan pemfilteran kolom pada bidang bersarang dalam kolom partisi. 
+  Jika skema tabel Anda berisi nama kolom tingkat atas (“pelanggan”.” address”) yang memiliki pola representasi bidang bersarang yang sama dalam filter data (kolom bersarang dengan nama kolom tingkat atas `customer` dan nama bidang bersarang `address` ditentukan seperti `"customer"."address"` dalam filter data), Anda tidak dapat secara eksplisit menentukan akses ke kolom tingkat atas atau bidang bersarang karena keduanya direpresentasikan menggunakan pola yang sama dalam daftar. inclusion/exclusion Ini ambigu, dan Lake Formation tidak dapat diselesaikan jika Anda menentukan kolom tingkat atas atau bidang bersarang.
+ Jika kolom tingkat atas atau bidang bersarang berisi tanda kutip ganda dalam nama, Anda harus menyertakan kutipan ganda kedua saat Anda menentukan akses ke bidang bersarang dalam daftar sertakan dan kecualikan filter sel data.   
**Example**  

  Contoh nama kolom bersarang dengan tanda kutip ganda - `a.b.double"quote`  
**Example**  

  Contoh representasi kolom bersarang dalam filter data - ` "a"."b"."double""quote"`

## Batasan penyaringan tingkat sel
<a name="cell-filtering-notes.title"></a>

Ingatlah catatan dan batasan berikut untuk pemfilteran tingkat baris dan tingkat sel.
+  Keamanan tingkat sel tidak didukung pada kolom bersarang, tampilan, dan tautan sumber daya. 
+ Semua ekspresi yang didukung pada kolom tingkat atas juga didukung pada kolom bersarang. Namun, bidang bersarang di bawah kolom partisi **TIDAK** boleh direferensikan saat mendefinisikan ekspresi tingkat baris bersarang.
+  Keamanan tingkat sel tersedia di semua wilayah saat menggunakan mesin Athena versi 3 atau Amazon Redshift Spectrum. Untuk layanan lain, keamanan tingkat sel hanya tersedia di wilayah yang disebutkan di. [Wilayah yang Didukung](supported-regions.md) 
+  Pernyataan `SELECT INTO` tidak didukung.
+ Tipe`array`, dan `map` data tidak didukung dalam ekspresi filter baris. Tipe `struct` data didukung. 
+ Tidak ada batasan untuk jumlah filter data yang dapat didefinisikan pada tabel, tetapi ada batas 100 filter data untuk satu prinsipal pada tabel.
+ Untuk menerapkan filter data dengan ekspresi filter baris, Anda harus memiliki `SELECT` opsi hibah pada semua kolom tabel. Pembatasan ini tidak berlaku untuk administrator di akun eksternal saat hibah dibuat ke akun eksternal.
+ Jika kepala sekolah adalah anggota grup dan prinsipal dan grup diberikan izin pada subset baris, izin baris efektif prinsipal adalah gabungan izin prinsipal dan izin grup.
+ Nama kolom berikut dibatasi dalam tabel untuk pemfilteran tingkat baris dan tingkat sel:
  + ctid
  + oid
  + xmin
  + cmin
  + xmax
  + cmax
  + Tableoid
  + insertxid
  + deletexid
  + importoid
  + redcatuniqueid
+ Jika Anda menerapkan ekspresi filter semua baris pada tabel bersamaan dengan ekspresi filter lainnya dengan predikat, ekspresi semua baris akan menang atas semua ekspresi filter lainnya.
+ Ketika izin pada subset baris diberikan ke AWS akun eksternal dan administrator data lake dari akun eksternal memberikan izin tersebut kepada prinsipal di akun tersebut, predikat filter efektif prinsipal adalah persimpangan predikat akun dan predikat apa pun yang langsung diberikan kepada prinsipal. 

  Misalnya, jika akun memiliki izin baris dengan predikat `dept='hr'` dan prinsipal diberikan izin secara terpisah untuk`country='us'`, prinsipal hanya memiliki akses ke baris dengan `dept='hr'` dan. `country='us'`

Untuk informasi selengkapnya tentang penyaringan tingkat sel, lihat. [Pemfilteran data dan keamanan tingkat sel di Lake Formation](data-filtering.md)

Untuk pertimbangan dan batasan saat menanyakan tabel menggunakan Amazon Redshift Spectrum dengan kebijakan keamanan tingkat baris, lihat [Pertimbangan dan batasan menggunakan kebijakan RLS di](https://docs.aws.amazon.com/redshift/latest/dg/t_rls_usage.html) Panduan Pengembang Database Amazon Redshift.

# Pertimbangan dan batasan mode akses hibrida
<a name="notes-hybrid"></a>

Mode akses hibrida memberikan fleksibilitas untuk mengaktifkan izin Lake Formation secara selektif untuk database dan tabel di situs Anda. AWS Glue Data Catalog
 Dengan mode akses Hybrid, Anda sekarang memiliki jalur tambahan yang memungkinkan Anda mengatur izin Lake Formation untuk kumpulan pengguna tertentu tanpa mengganggu kebijakan izin pengguna atau beban kerja lain yang ada.

Pertimbangan dan batasan berikut berlaku untuk mode akses hybrid.

**Batasan**
+ **Memperbarui pendaftaran lokasi Amazon S3** — Anda tidak dapat mengedit parameter lokasi yang terdaftar di Lake Formation menggunakan peran terkait layanan.
+ **Opsi ikut serta saat menggunakan LF-tag** — Bila Anda dapat memberikan izin Lake Formation menggunakan LF-tag, Anda dapat memilih prinsipal untuk menerapkan izin Lake Formation sebagai langkah berturut-turut dengan memilih database dan tabel yang memiliki LF-tag terlampir.
+ **Akses mode akses hibrid** — Akses ke mode akses hibrida di Lake Formation terbatas pada pengguna dengan administrator danau data atau izin administrator hanya-baca. 
+ **Memilih prinsipal** — Saat ini, hanya peran administrator data lake yang dapat memilih prinsipal untuk sumber daya. 
+ **Memilih semua tabel dalam database** — Dalam hibah lintas akun, saat Anda memberikan izin, dan memilih semua tabel dalam database, Anda juga harus memilih dalam database agar izin berfungsi.

**Pertimbangan-pertimbangan**
+ **Memperbarui lokasi Amazon S3 yang terdaftar dengan Lake Formation ke mode akses hybrid** — Kami tidak menyarankan mengonversi lokasi data Amazon S3 yang sudah terdaftar dengan Lake Formation ke mode akses hybrid meskipun dapat dilakukan. 
+  **Perilaku API saat lokasi data terdaftar dalam mode akses hibrid** 
  + CreateTable — Lokasi dianggap terdaftar di Lake Formation terlepas dari flag mode akses hybrid dan status opt in. Dengan demikian, pengguna memerlukan izin lokasi data untuk membuat tabel.
  + CreatePartition/BatchCreatePartitions/UpdatePartitions(saat lokasi partisi diperbarui untuk menunjuk ke lokasi yang terdaftar dengan hybrid) - Lokasi Amazon S3 dianggap terdaftar di Lake Formation terlepas dari bendera mode akses hibrida dan status pilih. Dengan demikian, pengguna memerlukan izin lokasi data untuk membuat atau memperbarui database.
  + CreateDatabase/UpdateDatabase (ketika lokasi database diperbarui untuk menunjuk ke lokasi yang terdaftar dalam mode akses hibrida) — Lokasi dianggap terdaftar di Lake Formation terlepas dari flag mode akses hybrid dan status opt in. Dengan demikian, pengguna memerlukan izin lokasi data untuk membuat atau memperbarui database. 
  + UpdateTable (ketika lokasi tabel diperbarui untuk menunjuk ke lokasi yang terdaftar dalam mode akses hibrida) — Lokasi dianggap terdaftar di Lake Formation terlepas dari bendera mode akses hibrida dan status pilih. Dengan demikian, pengguna memerlukan izin lokasi data untuk memperbarui tabel. Jika lokasi tabel tidak diperbarui atau menunjuk ke lokasi yang tidak terdaftar di Lake Formation, pengguna tidak memerlukan izin lokasi data untuk memperbarui tabel.

# Keterbatasan untuk membawa data gudang data Amazon Redshift ke dalam AWS Glue Data Catalog
<a name="notes-ns-catalog"></a>

Anda dapat membuat katalog, dan mengelola akses ke data analitik di gudang data Amazon Redshift menggunakan. AWS Glue Data Catalog Batasan berikut berlaku:
+ Berbagi lintas akun tidak didukung di tingkat katalog federasi. Namun, Anda dapat berbagi database dan tabel individual dari dalam katalog federasi di seluruh Akun AWS s.
+  Anda harus memiliki **pengaturan versi Cross account** versi 4 atau lebih tinggi untuk berbagi database atau tabel dalam katalog federasi di seluruh Akun AWS s. 
+  Katalog Data hanya mendukung pembuatan katalog tingkat atas.
+  Anda hanya dapat memperbarui deskripsi katalog di Redshift Managed Storage (RMS).
+ Menyiapkan izin pada katalog federasi serta database dan tabel dalam katalog federasi ke grup tidak didukung. `IAMAllowedPrincipals` 
+ Operasi Data Definition Language (DDL) pada katalog dari mesin seperti Athena, Amazon EMR Spark, atau lainnya, termasuk pengaturan konfigurasi katalog, tidak didukung.
+  Melakukan operasi DDL pada tabel RMS menggunakan Athena tidak didukung. 
+ Membuat tampilan terwujud tidak didukung, apakah itu melalui Athena, Apache Spark, AWS Glue Data Catalog the, atau konsumen Amazon Redshift.
+  Athena tidak mendukung pengalaman multi-katalog. Itu hanya dapat terhubung ke satu katalog tertentu pada satu waktu. Athena tidak dapat mengakses atau melakukan kueri di beberapa katalog secara bersamaan.
+ Operasi penandaan dan percabangan pada tabel Iceberg melalui Athena dan Amazon Redshift tidak didukung.
+ Perjalanan Waktu pada tabel RMS tidak didukung.
+ Katalog multi-level dengan tabel data lake tidak didukung. Semua data yang disimpan di Amazon S3 untuk digunakan dengan tabel data lake harus berada dalam default AWS Glue Data Catalog, dan tidak dapat diatur ke dalam katalog multi-level.
+ Di Amazon Redshift, datashares tidak ditambahkan ke namespace terdaftar. Cluster dan ruang nama adalah sinonim, setelah Anda mempublikasikan cluster ke, Anda tidak dapat menambahkan AWS Glue Data Catalog data baru.
+ Amazon EMR di EC2 tidak mendukung penggabungan di seluruh tabel RMS dan tabel Amazon S3. Hanya EMR Serverless yang mendukung kemampuan ini.
+ Skema dan tabel eksternal tidak didukung. 
+ Tabel RMS hanya dapat diakses dari titik akhir ekstensi di AWS Glue Iceberg REST Catalog.
+ Tabel sarang tidak dapat diakses dari mesin pihak ketiga yang terhubung ke Katalog AWS Glue Iceberg REST. 
+ Tingkat isolasi read\$1commit pada tabel RMS melalui Spark akan didukung. 
+ Nama database Redshift diperlakukan sebagai case-insensitive di AWS Glue Data Catalog, dibatasi hingga 128 karakter, dan dapat alfanumerik dengan tanda hubung (-) dan garis bawah (\$1). 
+ Nama katalog tidak peka huruf besar/kecil, dibatasi hingga 50 karakter, dan dapat berupa alfanumerik dengan tanda hubung (-) dan garis bawah (\$1). 
+ Amazon Redshift tidak mendukung penggunaan perintah GRANT dan REVOKE gaya Lake Formation SQL untuk mengelola izin akses pada tabel yang dipublikasikan ke. AWS Glue Data Catalog
+ Keamanan tingkat baris dan kebijakan masking data dinamis yang dilampirkan ke produsen (sumber) klaster Amazon Redshift tidak akan diberlakukan. Sebagai gantinya, izin akses yang ditentukan dalam Lake Formation akan diberlakukan pada data bersama. 
+ Melakukan operasi Data Definition Language (DDL) dan Data Manipulation Language (DHTML) pada tautan tabel tidak didukung. 
+ Jika kata kunci yang dicadangkan tidak lolos dengan benar, itu akan mengakibatkan kegagalan atau kesalahan.
+ Enkripsi data dalam skenario multi-katalog tidak didukung.

# Keterbatasan integrasi katalog Tabel S3
<a name="notes-s3-catalog"></a>

 Tabel Amazon S3 terintegrasi dengan AWS Glue Data Catalog (Katalog Data) dan mendaftarkan katalog sebagai lokasi data Lake Formation. Anda dapat mengatur pendaftaran ini dari konsol Lake Formation atau dengan menggunakan layanan ini APIs.

**catatan**  
Jika Anda memiliki kebijakan berbasis sumber daya IAM atau S3 Tables yang membatasi pengguna IAM dan peran IAM berdasarkan tag utama, Anda harus melampirkan tag utama yang sama ke peran IAM yang digunakan Lake Formation untuk mengakses data S3 Anda (misalnya,) dan memberikan peran ini izin yang diperlukan. LakeFormationDataAccessRole Ini diperlukan agar kebijakan kontrol akses berbasis tag Anda berfungsi dengan benar dengan integrasi analitik Tabel S3 Anda.

 Batasan berikut berlaku untuk mengintegrasikan katalog Tabel S3 dengan Katalog Data dan Lake Formation: 
+ AWS Glue dan Lake Formation tidak mendukung nama kolom huruf campuran, dan mengonversi semua nama kolom menjadi huruf kecil. Anda harus memverifikasi bahwa nama kolom tabel unik saat dikonversi ke huruf kecil. Gunakan `customer_id` sebagai pengganti`customerId`. Penggunaan nama kolom kasus campuran hanya didukung selama rilis pratinjau.
+  CreateCatalog API tidak dapat membuat bucket tabel di Amazon S3.
+  SearchTables API tidak dapat mencari Tabel S3.

# Metadata sarang menyimpan pertimbangan dan batasan berbagi data
<a name="notes-hms"></a>

Dengan federasi AWS Glue Data Catalog metadata (federasi Katalog Data), Anda dapat menghubungkan Katalog Data ke metastor eksternal yang menyimpan metadata untuk data Amazon S3 Anda, dan mengelola izin akses data dengan aman menggunakan. AWS Lake Formation

Pertimbangan dan batasan berikut berlaku untuk database federasi yang dibuat dari database Hive:

**Pertimbangan-pertimbangan**
+ **AWS SAM dukungan aplikasi** - Anda bertanggung jawab atas ketersediaan sumber daya aplikasi yang AWS SAM menyebarkan (Amazon API Gateway dan fungsi Lambda). Pastikan koneksi antara metastore AWS Glue Data Catalog dan Hive berfungsi saat pengguna menjalankan kueri.
+ **Persyaratan versi hive metastore** - Anda dapat membuat database federasi hanya menggunakan Apache Hive versi 3 dan di atasnya.
+ **Persyaratan database yang dipetakan** — Setiap database Hive harus dipetakan ke database baru di Lake Formation. 
+ **Dukungan federasi tingkat database** - Anda dapat terhubung ke Hive metastore hanya di tingkat database. 
+ **Izin pada database federasi** — Izin yang diterapkan pada database federasi atau tabel di bawah database federasi tetap ada bahkan ketika tabel sumber atau database dihapus. Saat database sumber atau tabel dibuat ulang, Anda tidak perlu memberikan izin kembali. Ketika tabel federasi dengan izin Lake Formation dihapus di sumber, izin Lake Formation masih terlihat, dan Anda dapat mencabutnya jika diperlukan.

  Jika pengguna menghapus database federasi, semua izin yang sesuai akan hilang. Membuat ulang database yang sama dengan nama yang sama, tidak akan memulihkan izin Lake Formation. Pengguna harus mengatur izin baru lagi.
+ **IAMAllowedIzin grup utama** pada database federasi — Berdasarkan, Lake `DataLakeSettings` Formation dapat menetapkan izin ke semua database dan tabel ke grup virtual bernama. `IAMAllowedPrincipal` `IAMAllowedPrincipal`Ini mengacu pada semua kepala sekolah IAM yang memiliki akses ke sumber daya Katalog Data melalui kebijakan utama IAM dan kebijakan sumber daya. AWS Glue Jika izin ini ada pada database atau tabel, semua prinsipal diberikan akses ke database atau tabel.

   Namun, Lake Formation tidak mengizinkan `IAMAllowedPrincipal` izin pada tabel di bawah database federasi. Saat Anda membuat database federasi, pastikan Anda meneruskan `CreateTableDefaultPermissions` parameter sebagai daftar kosong. 

  Untuk informasi selengkapnya, lihat [Mengubah pengaturan default untuk data lake](change-settings.md).
+ **Menggabungkan tabel dalam kueri** — Anda dapat bergabung dengan tabel metastore Hive dengan tabel asli Katalog Data untuk menjalankan kueri. 

**Batasan**
+  **Batasan sinkronisasi metadata antara metastore AWS Glue Data Catalog dan Hive — Setelah membuat koneksi metastore** Hive, Anda perlu membuat database federasi untuk menyinkronkan metadata di metastore Hive dengan. AWS Glue Data Catalog Tabel di bawah database federasi disinkronkan saat runtime saat pengguna menjalankan kueri.
+  **Batasan membuat tabel baru di bawah database federasi** — Anda tidak akan dapat membuat tabel baru di bawah database federasi. 
+ **Batasan izin data** - Dukungan untuk izin pada tampilan tabel metastore Hive tidak tersedia.

# Batasan berbagi data Amazon Redshift
<a name="notes-rs-datashare"></a>

AWS Lake Formation memungkinkan Anda mengelola data dengan aman di datashare dari Amazon Redshift. Amazon Redshift adalah layanan gudang data skala petabyte yang dikelola sepenuhnya di Cloud. AWS Menggunakan kemampuan berbagi data, Amazon Redshift membantu Anda berbagi data. Akun AWS Untuk informasi selengkapnya tentang berbagi data Amazon Redshift, lihat [Ikhtisar berbagi data di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/data_sharing_intro.html). 

 Catatan dan batasan berikut berlaku untuk database federasi yang dibuat dari datashares Amazon Redshift: 
+ **Persyaratan database yang dipetakan** — Setiap datashare Amazon Redshift harus dipetakan ke database baru di Lake Formation. Hal ini diperlukan untuk mempertahankan nama tabel yang unik ketika representasi objek datashare diratakan dalam database Data Catalog. 
+ **Batasan membuat tabel baru di bawah database federasi** — Anda tidak akan dapat membuat tabel baru di bawah database federasi. 
+ **Izin pada database federasi** — Izin yang diterapkan pada database federasi atau tabel di bawah database federasi tetap ada bahkan ketika tabel sumber atau database dihapus. Ketika database sumber atau tabel dibuat ulang, Anda tidak perlu memberikan kembali izin. Ketika tabel federasi dengan izin Lake Formation dihapus di sumber, izin Lake Formation akan tetap terlihat dan Anda dapat mencabutnya jika diperlukan.

  Jika pengguna menghapus database federasi, semua izin yang sesuai akan hilang. Membuat ulang database yang sama dengan nama yang sama, tidak akan memulihkan izin Lake Formation. Pengguna harus mengatur izin baru lagi.
+ **IAMAllowedIzin grup utama pada database federasi** — Berdasarkan, Lake `DataLakeSettings` Formation dapat menetapkan izin ke semua database dan tabel ke grup virtual bernama. `IAMAllowedPrincipal` `IAMAllowedPrincipal`Ini mengacu pada semua kepala sekolah IAM yang memiliki akses ke sumber daya Katalog Data melalui kebijakan utama IAM dan kebijakan sumber daya. AWS Glue Jika izin ini ada pada database atau tabel, semua prinsipal diberikan akses ke database atau tabel.

  Namun, Lake Formation tidak mengizinkan `IAMAllowedPrincipal` izin pada tabel di bawah database federasi. Saat Anda membuat database federasi, pastikan Anda meneruskan `CreateTableDefaultPermissions` parameter sebagai daftar kosong. 

  Untuk informasi selengkapnya, lihat [Mengubah pengaturan default untuk data lake](change-settings.md).
+ **Pemfilteran data** — Di Lake Formation, Anda dapat memberikan izin pada tabel di bawah database federasi dengan pemfilteran tingkat kolom dan tingkat baris. Namun, Anda tidak dapat menggabungkan penyaringan tingkat kolom dan tingkat baris untuk membatasi akses pada perincian tingkat sel pada tabel di bawah database federasi.
+ **Pengidentifikasi sensitivitas huruf** besar — Objek data Amazon Redshift yang dikelola oleh Lake Formation, akan mendukung nama tabel dan nama kolom hanya dalam huruf kecil. Jangan aktifkan pengenal sensitivitas huruf kecil untuk database, tabel, dan kolom di rangkaian data Amazon Redshift, jika mereka akan dibagikan dan dikelola menggunakan Lake Formation. 
+ **Dukungan kueri** — Anda dapat menanyakan rangkaian data Amazon Redshift yang dikelola oleh Lake Formation dengan Amazon Redshift. Athena tidak mendukung kueri datashares Amazon Redshift yang dikelola oleh Lake Formation.

 Untuk informasi selengkapnya tentang batasan saat bekerja dengan rangkaian data di Amazon Redshift, lihat [Batasan untuk berbagi data di Panduan Pengembang Database](https://docs.aws.amazon.com/redshift/latest/dg/datashare-overview.html#limitations-datashare) Amazon Redshift.

# Keterbatasan integrasi Pusat Identitas IAM
<a name="identity-center-lf-notes"></a>

Dengan AWS IAM Identity Center, Anda dapat terhubung ke penyedia identitas (IdPs) dan mengelola akses secara terpusat untuk pengguna dan grup di seluruh layanan AWS analitik. Anda dapat mengonfigurasi AWS Lake Formation sebagai aplikasi yang diaktifkan di Pusat Identitas IAM, dan administrator data lake dapat memberikan izin halus kepada pengguna dan grup yang berwenang pada sumber daya. AWS Glue Data Catalog 

Batasan berikut berlaku untuk integrasi Lake Formation dengan IAM Identity Center:
+ Anda tidak dapat menetapkan pengguna dan grup Pusat Identitas IAM sebagai administrator data lake atau administrator hanya-baca di Lake Formation.

  Pengguna dan grup IAM Identity Center dapat menanyakan sumber daya Katalog Data terenkripsi jika Anda menggunakan peran IAM yang AWS Glue dapat diambil atas nama Anda untuk mengenkripsi dan mendekripsi Katalog Data. AWS kunci terkelola tidak mendukung propagasi identitas tepercaya.
+ Pengguna dan grup IAM Identity Center hanya dapat menjalankan operasi API yang tercantum dalam `AWSIAMIdentityCenterAllowListForIdentityContext` kebijakan yang disediakan oleh IAM Identity Center.
+  Lake Formation mengizinkan peran IAM dari akun eksternal untuk bertindak sebagai peran operator atas nama pengguna dan grup Pusat Identitas IAM untuk mengakses sumber daya Katalog Data, tetapi izin hanya dapat diberikan pada sumber daya Katalog Data dalam akun yang dimiliki. Jika Anda mencoba memberikan izin kepada pengguna Pusat Identitas IAM dan grup pada sumber daya Katalog Data di akun eksternal, Lake Formation akan menampilkan kesalahan berikut - “Hibah lintas akun tidak didukung untuk prinsipal.” 
+ Saat menggunakan Lake Formation dengan IAM Identity Center, konfigurasi penetapan aplikasi diatur `false` secara default. Jika Anda memodifikasi konfigurasi ini secara langsung melalui [IAM Identity Center API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_PutApplicationAssignmentConfiguration.html), Anda kemudian harus mengelola semua penetapan aplikasi secara manual menggunakan API. Lake Formation tidak secara otomatis menyinkronkan atau mengelola perubahan penugasan yang dibuat di luar alur kerja standarnya, yang dapat memengaruhi pola akses dan alur otorisasi dalam lingkungan data lake Anda. 

# Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation
<a name="lf-tag-considerations"></a>

Anda dapat membuat, memelihara, dan menetapkan LF-tag untuk mengontrol akses ke database, tabel, dan kolom Katalog Data.

Pertimbangkan praktik terbaik berikut saat menggunakan kontrol akses berbasis tag Lake Formation:
+ Semua LF-tag harus ditentukan sebelumnya sebelum dapat ditetapkan ke sumber daya Katalog Data atau diberikan kepada prinsipal.

  Administrator data lake dapat mendelegasikan tugas manajemen tag dengan membuat *pembuat LF-tag* dengan izin IAM yang diperlukan. Insinyur dan analis data memutuskan karakteristik dan hubungan untuk LF-tag. Pembuat LF-tag kemudian membuat dan memelihara LF-tag di Lake Formation.
+ Anda dapat menetapkan beberapa LF-tag ke sumber daya Katalog Data. Hanya satu nilai untuk kunci tertentu yang dapat ditetapkan ke sumber daya tertentu.

  Misalnya, Anda dapat menetapkan`module=Orders`,, `region=West``division=Consumer`, dan seterusnya ke database, tabel, atau kolom. Anda tidak dapat menetapkan`module=Orders,Customers`.
+ Anda tidak dapat menetapkan LF-tag ke sumber daya saat membuat sumber daya. Anda hanya dapat menambahkan LF-tag ke sumber daya yang ada.
+ Anda dapat memberikan ekspresi LF-tag, bukan hanya tag LF tunggal, ke prinsipal.

  Ekspresi LF-tag terlihat seperti berikut (dalam pseudo-code).

  ```
  module=sales AND division=(consumer OR commercial)
  ```

  Prinsipal yang diberikan ekspresi LF-tag ini hanya dapat mengakses sumber daya Katalog Data (database, tabel, dan kolom) yang ditetapkan `module=sales` *dan* salah satu atau. `division=consumer` `division=commercial` Jika Anda ingin kepala sekolah dapat mengakses sumber daya yang memiliki `module=sales` *atau*`division=commercial`, jangan sertakan keduanya dalam hibah yang sama. Buat dua hibah, satu untuk `module=sales` dan satu untuk`division=commercial`.

  Ekspresi LF-tag paling sederhana hanya terdiri dari satu LF-tag, seperti. `module=sales`
+ Prinsipal yang diberikan izin pada LF-tag dengan beberapa nilai dapat mengakses sumber daya Katalog Data dengan salah satu dari nilai tersebut. Misalnya, jika pengguna diberikan LF-tag dengan key= `module` dan values=`orders,customers`, pengguna memiliki akses ke sumber daya yang ditetapkan salah satu atau. `module=orders` `module=customers`
+ Anda harus memiliki `Grant with LF-Tag expressions` izin untuk memberikan izin data pada sumber daya Katalog Data dengan menggunakan metode LF-TBAC. Administrator data lake dan pembuat LF-tag secara implisit menerima izin ini. Prinsipal yang memiliki `Grant with LFTag expressions` izin dapat memberikan izin data pada sumber daya menggunakan:
  + metode sumber daya bernama
  + metode LF-TBAC, tetapi hanya menggunakan ekspresi LF-tag yang sama

    Misalnya, asumsikan bahwa administrator data lake membuat hibah berikut (dalam kode semu).

    ```
    GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION
    ```

    Dalam hal ini, `user1` dapat memberikan `SELECT` pada tabel untuk prinsipal lain dengan menggunakan metode LF-TBAC, tetapi hanya dengan ekspresi LF-tag lengkap. `module=customers, region=west,south`
+ Jika prinsipal diberikan izin pada sumber daya dengan metode LF-TBAC dan metode sumber daya bernama, izin yang dimiliki prinsipal pada sumber daya adalah gabungan izin yang diberikan oleh kedua metode.
+ Lake Formation mendukung pemberian `DESCRIBE` dan penggunaan LF-tag `ASSOCIATE` di seluruh akun, dan pemberian izin pada sumber daya Katalog Data di seluruh akun menggunakan metode LF-TBAC. Dalam kedua kasus, kepala sekolah adalah ID AWS akun.
**catatan**  
Lake Formation mendukung hibah lintas akun untuk organisasi dan unit organisasi menggunakan metode LF-TBAC. Untuk menggunakan kemampuan ini, Anda perlu memperbarui **pengaturan versi akun Cross** ke **Versi 3**.

  Untuk informasi selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).
+ Sumber daya Katalog Data yang dibuat dalam satu akun hanya dapat ditandai menggunakan tag LF yang dibuat di akun yang sama. LF-tag yang dibuat dalam satu akun tidak dapat dikaitkan dengan sumber daya bersama dari akun lain.
+ Menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk memberikan akses lintas akun ke sumber daya Katalog Data memerlukan penambahan kebijakan sumber daya Katalog Data untuk akun Anda. AWS Untuk informasi selengkapnya, lihat [Prasyarat](cross-account-prereqs.md).
+ Kunci LF-tag dan nilai LF-tag tidak boleh melebihi 50 karakter panjangnya.
+ Jumlah maksimum LF-tag yang dapat ditetapkan ke sumber daya Katalog Data adalah 50.
+ Batasan berikut adalah batas lunak:
  + Jumlah maksimum LF-tag yang dapat dibuat adalah 1000.
  + Jumlah maksimum nilai yang dapat didefinisikan untuk LF-tag adalah 1000.
+ Kunci dan nilai tag dikonversi ke semua huruf kecil saat disimpan.
+ Hanya satu nilai untuk LF-tag yang dapat ditetapkan ke sumber daya tertentu.
+ Jika beberapa LF-tag diberikan kepada prinsipal dengan satu hibah, prinsipal hanya dapat mengakses sumber daya Katalog Data yang memiliki semua LF-tag.
+ Jika evaluasi ekspresi LF-tag menghasilkan akses ke hanya subset kolom tabel, tetapi izin Lake Formation yang diberikan saat ada kecocokan adalah salah satu izin yang memerlukan akses kolom penuh, yaitu,,, atau `Alter` `Drop` `Insert``Delete`, maka tidak ada izin tersebut yang diberikan. Sebaliknya, hanya `Describe` diberikan. Jika izin yang diberikan adalah `All` (`Super`), maka hanya `Select` dan `Describe` diberikan.
+ Wildcard tidak digunakan dengan LF-tag. Untuk menetapkan LF-tag ke semua kolom tabel, Anda menetapkan LF-tag ke tabel, dan semua kolom dalam tabel mewarisi LF-tag. Untuk menetapkan LF-tag ke semua tabel dalam database, Anda menetapkan LF-tag ke database, dan semua tabel dalam database mewarisi LF-tag tersebut.
+  Anda dapat membuat hingga 1000 ekspresi LF-tag di akun.
+  Anda dapat menggunakan hingga 50 ekspresi LF-tag untuk memberikan izin kepada prinsipal pada sumber daya Katalog Data. 
+  Saat memberikan atau mencabut izin pada ekspresi tag LF sebaris, ukuran ekspresi LF-tag tidak dapat melebihi 900 byte. Untuk memberikan izin pada ekspresi LF-tag yang lebih besar, gunakan ekspresi LF-tag yang disimpan. Untuk informasi selengkapnya, lihat [Membuat ekspresi LF-tag](TBAC-creating-tag-expressions.md). 
+ Untuk menambahkan LF-tag ke katalog federasi Redshift yang ada yang dibuat sebelum rilis ketersediaan umum dukungan LF-tag untuk katalog federasi, Anda perlu menghubungi tim dukungan untuk mendapatkan bantuan. AWS 

# Pertimbangan kontrol akses berbasis atribut, batasan, dan wilayah yang didukung
<a name="abac-considerations"></a>

Pertimbangan dan batasan berikut berlaku untuk Attribute based access control (ABAC).
+ ABAC tidak mendukung pemberian akses menggunakan kebijakan LF-tag.
+ Izin yang dapat diberikan tidak tersedia dengan ABAC.
+ ABAC tidak mendukung pemberian izin kepada pengguna IAM Identity Center.
+ Saat menggunakan hibah ABAC pada tabel di Lake Formation, Lake Formation tidak memberikan `DESCRIBE` izin ke database atau katalog induk. Ini berbeda dari skenario non-ABAC, di mana Lake Formation memberikan `DESCRIBE` izin implisit ke sumber daya induk.
+ Semua prinsipal dengan kunci `AmazonDataZoneProject` tag selalu diperlakukan sebagai ikut serta dalam Lake Formation untuk semua sumber daya Katalog Data.
+ ABAC hanya mendukung atribut string.