Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Berbagi data lake menggunakan kontrol akses berbutir halus Lake Formation
<a name="share-dl-fgac-tutorial"></a>

Tutorial ini memberikan step-by-step petunjuk tentang bagaimana Anda dapat dengan cepat dan mudah berbagi kumpulan data menggunakan Lake Formation saat mengelola beberapa Akun AWS dengan. AWS Organizations Anda menentukan izin granular untuk mengontrol akses ke data sensitif.

Prosedur berikut juga menunjukkan bagaimana administrator data lake Akun A dapat memberikan akses halus untuk Akun B, dan bagaimana pengguna di Akun B, yang bertindak sebagai pengelola data, dapat memberikan akses halus ke tabel bersama untuk pengguna lain di akun mereka. Pengurus data dalam setiap akun dapat secara independen mendelegasikan akses ke pengguna mereka sendiri, memberikan otonomi masing-masing tim atau lini bisnis (LOB).

Kasus penggunaan mengasumsikan Anda menggunakan AWS Organizations untuk mengelola Anda Akun AWS. Pengguna Akun A dalam satu unit organisasi (OU1) memberikan akses ke pengguna Akun B di OU2. Anda dapat menggunakan pendekatan yang sama ketika tidak menggunakan Organizations, seperti ketika Anda hanya memiliki beberapa akun. Diagram berikut menggambarkan kontrol akses berbutir halus dari dataset di danau data. Data lake tersedia di Akun A. Administrator data lake Akun A menyediakan akses halus untuk Akun B. Diagram juga menunjukkan bahwa pengguna Akun B menyediakan akses tingkat kolom dari tabel data lake Akun A ke pengguna lain di Akun B.

![\[AWS Organization structure with two OUs, showing data lake access and user permissions across accounts.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-fine-grained-access1.jpg)


**Topics**
+ [Audiens yang dituju](#tut-share-fine-grained-roles)
+ [Prasyarat](#tut-share-fine-grained-prereqs)
+ [Langkah 1: Berikan akses halus ke akun lain](#tut-fgac-another-account)
+ [Langkah 2: Berikan akses halus ke pengguna di akun yang sama](#tut-fgac-same-account)

## Audiens yang dituju
<a name="tut-share-fine-grained-roles"></a>



Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:


| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Pengguna yang memiliki kebijakan AWS terkelola:AdministratorAccess.  | 
| Administrator danau data |  Pengguna yang memiliki kebijakan AWS terkelola: `AWSLakeFormationDataAdmin` melekat pada peran.  | 
| Analis data | Pengguna yang memiliki kebijakan AWS terkelola: AmazonAthenaFullAccess terlampir. | 

## Prasyarat
<a name="tut-share-fine-grained-prereqs"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Anda memerlukan sumber daya berikut untuk tutorial ini:**
+ Dua unit organisasi:
  + OU1 — Berisi Akun A
  + OU2 — Berisi Akun B
+ Lokasi danau data Amazon S3 (bucket) di Akun A.
+ Pengguna administrator data lake di Akun A. Anda dapat membuat administrator danau data menggunakan konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) atau `PutDataLakeSettings` pengoperasian Lake Formation API.
+ Lake Formation dikonfigurasi di Akun A, dan lokasi danau data Amazon S3 terdaftar dengan Lake Formation di Akun A.
+ Dua pengguna di Akun B dengan kebijakan terkelola IAM berikut:
  +  testuser1 - memiliki kebijakan AWS `AWSLakeFormationDataAdmin` terkelola terlampir.
  +  testuser2 - Memiliki kebijakan AWS `AmazonAthenaFullAccess` terkelola terlampir.
+ Database testdb dalam database Lake Formation untuk Akun B.

## Langkah 1: Berikan akses halus ke akun lain
<a name="tut-fgac-another-account"></a>

Pelajari cara administrator data lake Akun A menyediakan akses halus untuk Akun B.

**Berikan akses halus ke akun lain**

1. Masuk ke Konsol Manajemen AWS [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)dalam Akun A sebagai administrator danau data.

1. Buka konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), dan pilih **Memulai**.

1. di panel navigasi, pilih **Databases**.

1. Pilih **Buat database**.

1. Di bagian Detail **database**, pilih **Database**.

1. Untuk **Nama**, masukkan nama (untuk tutorial ini, kita gunakan`sampledb01`).

1. Pastikan bahwa **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** tidak dipilih. Membiarkan ini tidak dipilih memungkinkan kita untuk mengontrol akses dari Lake Formation.

1. Pilih **Buat basis data**.

1. Pada halaman **Database**, pilih database `sampledb01` Anda.

1. Pada menu **Actions**, pilih **Grant**.

1. Di bagian **Hibah izin**, pilih **Akun eksternal**.

1. Untuk Akun AWS ID atau ID AWS organisasi, masukkan ID akun untuk Akun B di OU2.

1. Untuk **Tabel**, pilih tabel yang ingin Anda akses ke Akun B (untuk posting ini, kami menggunakan tabel`acc_a_area`). Secara opsional, Anda dapat memberikan akses ke kolom dalam tabel, yang kami lakukan di posting ini.

1. Untuk **Sertakan kolom** ¸ pilih kolom yang ingin diakses Akun B (untuk posting ini, kami memberikan izin untuk mengetik, nama, dan pengidentifikasi).

1. Untuk **Kolom**, pilih **Sertakan kolom**.

1. Untuk **izin Tabel**, pilih **Pilih**.

1. **Untuk **izin yang Dapat Diberikan, pilih Pilih**.** Izin yang dapat diberikan diperlukan agar pengguna admin di Akun B dapat memberikan izin kepada pengguna lain di Akun B.

1. Pilih**Izin**.

1. Di panel navigasi, pilih **Tabel**.

1. Anda dapat melihat satu koneksi aktif di Akun AWS dan AWS organisasi dengan bagian akses.

**Buat tautan sumber daya**

Layanan terintegrasi seperti Amazon Athena tidak dapat langsung mengakses database atau tabel di seluruh akun. Oleh karena itu, Anda perlu membuat tautan sumber daya sehingga Athena dapat mengakses tautan sumber daya di akun Anda ke database dan tabel di akun lain. Buat tautan sumber daya ke tabel (`acc_a_area`) sehingga pengguna Akun B dapat melakukan kueri datanya dengan Athena.

1. Masuk ke AWS konsol [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)di Akun B sebagai`testuser1`.

1. Pada konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, pilih **Tabel**. Anda akan melihat tabel yang telah disediakan akses oleh Akun A.

1. Pilih tabel `acc_a_area`.

1. Pada menu **Tindakan**, pilih **Buat tautan sumber daya**.

1. Untuk **nama link Resource**, masukkan nama (untuk tutorial ini,`acc_a_area_rl`).

1. Untuk **Database**, pilih database Anda (`testdb`).

1. Pilih **Buat**.

1. Di panel navigasi, pilih **Tabel**.

1. Pilih tabel `acc_b_area_rl`.

1. Pada menu **Tindakan**, pilih **Lihat data**.

   Anda diarahkan ke konsol Athena, di mana Anda akan melihat database dan tabel.

   Sekarang Anda dapat menjalankan kueri pada tabel untuk melihat nilai kolom yang aksesnya diberikan ke testuser1 dari Akun B.

## Langkah 2: Berikan akses halus ke pengguna di akun yang sama
<a name="tut-fgac-same-account"></a>

Bagian ini menunjukkan bagaimana pengguna di Akun B (`testuser1`), bertindak sebagai data steward, menyediakan akses halus ke pengguna lain di akun yang sama (`testuser2`) ke nama kolom dalam tabel bersama. `aac_b_area_rl`

**Berikan akses halus ke pengguna di akun yang sama**

1. Masuk ke AWS konsol [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)di Akun B sebagai`testuser1`.

1. Di konsol Lake Formation, di panel navigasi, pilih **Tabel**.

   Anda dapat memberikan izin pada tabel melalui tautan sumber dayanya. Untuk melakukannya, pada halaman **Tabel**, pilih tautan sumber daya`acc_b_area_rl`, dan pada menu **Tindakan**, pilih **Hibah sesuai target**.

1. Di bagian **Hibah izin**, pilih **Akun saya**.

1.  Untuk **pengguna dan peran IAM** ¸ pilih pengguna`testuser2`.

1. Untuk **Kolom**, pilih nama kolom.

1. Untuk **izin Tabel**, pilih **Pilih**.

1. Pilih**Izin**.

   Saat Anda membuat tautan sumber daya, hanya Anda yang dapat melihat dan mengaksesnya. Untuk mengizinkan pengguna lain di akun Anda mengakses tautan sumber daya, Anda perlu memberikan izin pada tautan sumber daya itu sendiri. Anda harus memberikan izin **DESCRIPTION** atau **DROP**. Pada **halaman Tabel**, pilih tabel Anda lagi dan pada menu **Tindakan**, pilih **Hibah**.

1. Di bagian **Hibah izin**, pilih **Akun saya**.

1. Untuk **pengguna dan peran IAM**, pilih pengguna`testuser2`.

1. Untuk **izin tautan Sumber daya** ¸ pilih **Jelaskan**.

1. Pilih**Izin**.

1. Masuk ke AWS konsol di Akun B sebagai`testuser2`.

   Pada konsol Athena ([https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)), Anda akan melihat database dan tabel. `acc_b_area_rl` Anda sekarang dapat menjalankan query pada tabel untuk melihat nilai kolom yang `testuser2` memiliki akses ke.