Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation Anda dapat membuat, memelihara, dan menetapkan LF-tag untuk mengontrol akses ke database, tabel, dan kolom Katalog Data. Pertimbangkan praktik terbaik berikut saat menggunakan kontrol akses berbasis tag Lake Formation: + Semua LF-tag harus ditentukan sebelumnya sebelum dapat ditetapkan ke sumber daya Katalog Data atau diberikan kepada prinsipal. Administrator data lake dapat mendelegasikan tugas manajemen tag dengan membuat *pembuat LF-tag* dengan izin IAM yang diperlukan. Insinyur dan analis data memutuskan karakteristik dan hubungan untuk LF-tag. Pembuat LF-tag kemudian membuat dan memelihara LF-tag di Lake Formation. + Anda dapat menetapkan beberapa LF-tag ke sumber daya Katalog Data. Hanya satu nilai untuk kunci tertentu yang dapat ditetapkan ke sumber daya tertentu. Misalnya, Anda dapat menetapkan`module=Orders`,, `region=West``division=Consumer`, dan seterusnya ke database, tabel, atau kolom. Anda tidak dapat menetapkan`module=Orders,Customers`. + Anda tidak dapat menetapkan LF-tag ke sumber daya saat membuat sumber daya. Anda hanya dapat menambahkan LF-tag ke sumber daya yang ada. + Anda dapat memberikan ekspresi LF-tag, bukan hanya tag LF tunggal, ke prinsipal. Ekspresi LF-tag terlihat seperti berikut (dalam pseudo-code). ``` module=sales AND division=(consumer OR commercial) ``` Prinsipal yang diberikan ekspresi LF-tag ini hanya dapat mengakses sumber daya Katalog Data (database, tabel, dan kolom) yang ditetapkan `module=sales` *dan* salah satu atau. `division=consumer` `division=commercial` Jika Anda ingin kepala sekolah dapat mengakses sumber daya yang memiliki `module=sales` *atau*`division=commercial`, jangan sertakan keduanya dalam hibah yang sama. Buat dua hibah, satu untuk `module=sales` dan satu untuk`division=commercial`. Ekspresi LF-tag paling sederhana hanya terdiri dari satu LF-tag, seperti. `module=sales` + Prinsipal yang diberikan izin pada LF-tag dengan beberapa nilai dapat mengakses sumber daya Katalog Data dengan salah satu dari nilai tersebut. Misalnya, jika pengguna diberikan LF-tag dengan key= `module` dan values=`orders,customers`, pengguna memiliki akses ke sumber daya yang ditetapkan salah satu atau. `module=orders` `module=customers` + Anda harus memiliki `Grant with LF-Tag expressions` izin untuk memberikan izin data pada sumber daya Katalog Data dengan menggunakan metode LF-TBAC. Administrator data lake dan pembuat LF-tag secara implisit menerima izin ini. Prinsipal yang memiliki `Grant with LFTag expressions` izin dapat memberikan izin data pada sumber daya menggunakan: + metode sumber daya bernama + metode LF-TBAC, tetapi hanya menggunakan ekspresi LF-tag yang sama Misalnya, asumsikan bahwa administrator data lake membuat hibah berikut (dalam kode semu). ``` GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION ``` Dalam hal ini, `user1` dapat memberikan `SELECT` pada tabel untuk prinsipal lain dengan menggunakan metode LF-TBAC, tetapi hanya dengan ekspresi LF-tag lengkap. `module=customers, region=west,south` + Jika prinsipal diberikan izin pada sumber daya dengan metode LF-TBAC dan metode sumber daya bernama, izin yang dimiliki prinsipal pada sumber daya adalah gabungan izin yang diberikan oleh kedua metode. + Lake Formation mendukung pemberian `DESCRIBE` dan penggunaan LF-tag `ASSOCIATE` di seluruh akun, dan pemberian izin pada sumber daya Katalog Data di seluruh akun menggunakan metode LF-TBAC. Dalam kedua kasus, kepala sekolah adalah ID AWS akun. **catatan** Lake Formation mendukung hibah lintas akun untuk organisasi dan unit organisasi menggunakan metode LF-TBAC. Untuk menggunakan kemampuan ini, Anda perlu memperbarui **pengaturan versi akun Cross** ke **Versi 3**. Untuk informasi selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md). + Sumber daya Katalog Data yang dibuat dalam satu akun hanya dapat ditandai menggunakan tag LF yang dibuat di akun yang sama. LF-tag yang dibuat dalam satu akun tidak dapat dikaitkan dengan sumber daya bersama dari akun lain. + Menggunakan kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk memberikan akses lintas akun ke sumber daya Katalog Data memerlukan penambahan kebijakan sumber daya Katalog Data untuk akun Anda. AWS Untuk informasi selengkapnya, lihat [Prasyarat](cross-account-prereqs.md). + Kunci LF-tag dan nilai LF-tag tidak boleh melebihi 50 karakter panjangnya. + Jumlah maksimum LF-tag yang dapat ditetapkan ke sumber daya Katalog Data adalah 50. + Batasan berikut adalah batas lunak: + Jumlah maksimum LF-tag yang dapat dibuat adalah 1000. + Jumlah maksimum nilai yang dapat didefinisikan untuk LF-tag adalah 1000. + Kunci dan nilai tag dikonversi ke semua huruf kecil saat disimpan. + Hanya satu nilai untuk LF-tag yang dapat ditetapkan ke sumber daya tertentu. + Jika beberapa LF-tag diberikan kepada prinsipal dengan satu hibah, prinsipal hanya dapat mengakses sumber daya Katalog Data yang memiliki semua LF-tag. + Jika evaluasi ekspresi LF-tag menghasilkan akses ke hanya subset kolom tabel, tetapi izin Lake Formation yang diberikan saat ada kecocokan adalah salah satu izin yang memerlukan akses kolom penuh, yaitu,,, atau `Alter` `Drop` `Insert``Delete`, maka tidak ada izin tersebut yang diberikan. Sebaliknya, hanya `Describe` diberikan. Jika izin yang diberikan adalah `All` (`Super`), maka hanya `Select` dan `Describe` diberikan. + Wildcard tidak digunakan dengan LF-tag. Untuk menetapkan LF-tag ke semua kolom tabel, Anda menetapkan LF-tag ke tabel, dan semua kolom dalam tabel mewarisi LF-tag. Untuk menetapkan LF-tag ke semua tabel dalam database, Anda menetapkan LF-tag ke database, dan semua tabel dalam database mewarisi LF-tag tersebut. + Anda dapat membuat hingga 1000 ekspresi LF-tag di akun. + Anda dapat menggunakan hingga 50 ekspresi LF-tag untuk memberikan izin kepada prinsipal pada sumber daya Katalog Data. + Saat memberikan atau mencabut izin pada ekspresi tag LF sebaris, ukuran ekspresi LF-tag tidak dapat melebihi 900 byte. Untuk memberikan izin pada ekspresi LF-tag yang lebih besar, gunakan ekspresi LF-tag yang disimpan. Untuk informasi selengkapnya, lihat [Membuat ekspresi LF-tag](TBAC-creating-tag-expressions.md). + Untuk menambahkan LF-tag ke katalog federasi Redshift yang ada yang dibuat sebelum rilis ketersediaan umum dukungan LF-tag untuk katalog federasi, Anda perlu menghubungi tim dukungan untuk mendapatkan bantuan. AWS