Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama
<a name="share-dl-tbac-tutorial"></a>

Tutorial ini menunjukkan bagaimana Anda dapat mengkonfigurasi AWS Lake Formation untuk aman berbagi data yang disimpan dalam data lake dengan beberapa perusahaan, organisasi, atau unit bisnis, tanpa harus menyalin seluruh database. Ada dua opsi untuk berbagi database dan tabel Anda dengan yang lain Akun AWS dengan menggunakan kontrol akses lintas akun Lake Formation:
+ **Kontrol akses berbasis tag Lake Formation (disarankan)**

  Kontrol akses berbasis tag Lake Formation adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut *LF-tag*. Untuk detail selengkapnya, lihat [Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation](managing-dl-tutorial.md).
+ **Lake Formation bernama sumber daya**

  Metode sumber daya bernama Lake Formation adalah strategi otorisasi yang mendefinisikan izin untuk sumber daya. Sumber daya termasuk database, tabel, dan kolom. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation. Untuk detail selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).

  Sebaiknya gunakan sumber daya bernama jika administrator data lake lebih suka memberikan izin secara eksplisit ke sumber daya individu. Saat Anda menggunakan metode sumber daya bernama untuk memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal, Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya.

**Topics**
+ [Audiens yang dituju](#tut-share-tbac-roles)
+ [Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen](#tut-share-tbac-LF-settings)
+ [Langkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation template](#tut-tbac-share-provision-resources)
+ [Langkah 2: Prasyarat berbagi lintas akun Lake Formation](#cross-account-share-prerequisistes)
+ [Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag](#tut-share-tbac-method)
+ [Langkah 4: Menerapkan metode sumber daya bernama](#tut-named-resource-method)
+ [Langkah 5: Bersihkan AWS sumber daya](#share-tbac-clean-up-db)

## Audiens yang dituju
<a name="tut-share-tbac-roles"></a>



Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal berbagi tabel Katalog Data dari AWS Glue dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:


| Peran | Deskripsi | 
| --- | --- | 
| DataLakeAdminProducer | Pengguna IAM admin danau data memiliki akses sebagai berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 
| DataLakeAdminConsumer |  Pengguna IAM admin danau data memiliki akses sebagai berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html)  | 
| DataAnalyst |  DataAnalyst Pengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 

## Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen
<a name="tut-share-tbac-LF-settings"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen**
**catatan**  
 Dalam tutorial ini, akun yang memiliki tabel sumber disebut akun produser, dan akun yang membutuhkan akses ke tabel sumber disebut akun konsumen. 

Lake Formation menyediakan model manajemen izinnya sendiri. Untuk mempertahankan kompatibilitas mundur dengan model izin IAM, `Super` izin diberikan kepada grup `IAMAllowedPrincipals` pada semua AWS Glue Data Catalog sumber daya yang ada secara default. Selain itu, **Gunakan hanya pengaturan kontrol akses IAM** yang diaktifkan untuk sumber daya Katalog Data baru. Tutorial ini menggunakan kontrol akses berbutir halus menggunakan izin Lake Formation dan menggunakan kebijakan IAM untuk kontrol akses berbutir kasar. Lihat [Metode untuk kontrol akses berbutir halus](access-control-fine-grained.md) untuk detail. Oleh karena itu, sebelum Anda menggunakan AWS CloudFormation templat untuk pengaturan cepat, Anda perlu mengubah pengaturan Katalog Data Formasi Danau di akun produsen.
**penting**  
Pengaturan ini memengaruhi semua database dan tabel yang baru dibuat, jadi kami sangat menyarankan untuk menyelesaikan tutorial ini di akun non-produksi atau di akun baru. Juga, jika Anda menggunakan akun bersama (seperti akun pengembangan perusahaan Anda), pastikan itu tidak memengaruhi sumber daya orang lain. Jika Anda lebih suka mempertahankan pengaturan keamanan default, Anda harus menyelesaikan langkah ekstra saat berbagi sumber daya ke akun lain, di mana Anda mencabut izin **Super** default dari `IAMAllowedPrincipals` database atau tabel. Kami membahas detailnya nanti dalam tutorial ini. 

Untuk mengonfigurasi pengaturan Katalog Data Lake Formation di akun produsen, selesaikan langkah-langkah berikut:

1. Masuk ke Konsol Manajemen AWS menggunakan akun produser sebagai pengguna admin, atau sebagai pengguna dengan izin Lake Formation `PutDataLakeSettings` API.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Katalog Data**, pilih **Pengaturan**.

1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk database baru** dan **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**

   Pilih **Simpan**.  
![\[Data catalog settings interface for AWS Lake Formation with permission options.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tbac-tut-settings.jpg)

   Selain itu, Anda dapat menghapus `CREATE_DATABASE` izin untuk **peran dan `IAMAllowedPrincipals` tugas Administratif**, **pembuat Database**. Hanya dengan begitu, Anda dapat mengatur siapa yang dapat membuat database baru melalui izin Lake Formation.

## Langkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation template
<a name="tut-tbac-share-provision-resources"></a>

 CloudFormation Template untuk akun produsen menghasilkan sumber daya berikut:
+ Bucket Amazon S3 untuk berfungsi sebagai data lake.
+ Fungsi Lambda (untuk sumber daya kustom yang didukung Lambda CloudFormation ). Kami menggunakan fungsi ini untuk menyalin file data sampel dari bucket Amazon S3 publik ke bucket Amazon S3 Anda.
+ Pengguna dan kebijakan IAM: DataLakeAdminProducer.
+ Pengaturan dan izin Lake Formation yang sesuai termasuk:
  + Mendefinisikan administrator danau data Lake Formation di akun produsen
  + Mendaftarkan bucket Amazon S3 sebagai lokasi danau data Lake Formation (akun produsen)
+  AWS Glue Data Catalog Database, tabel, dan partisi. Karena ada dua opsi untuk berbagi sumber daya Akun AWS, template ini membuat dua set database dan tabel terpisah.

 CloudFormation Template untuk akun konsumen menghasilkan sumber daya berikut:
+ Pengguna dan kebijakan IAM:
  + DataLakeAdminConsumer
  + DataAnalyst
+  AWS Glue Data Catalog Database. Database ini untuk membuat tautan sumber daya ke sumber daya bersama.

**Buat sumber daya Anda di akun produsen**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_producer.yaml).

1.  Pilih **Berikutnya**.

1. Untuk **nama Stack**, masukkan nama tumpukan, seperti`stack-producer`.

1.  Di bagian **Konfigurasi Pengguna**, masukkan nama pengguna dan kata sandi untuk `ProducerDatalakeAdminUserName` dan`ProducerDatalakeAdminUserPassword`. 

1. Untuk **DataLakeBucketName**, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

1. Untuk **DatabaseName**dan **TableName**, tinggalkan nilai default.

1. Pilih **Berikutnya**.

1. Di halaman berikutnya, pilih **Berikutnya**.

1.  Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1.  Pilih **Buat**.

   Pembuatan tumpukan bisa memakan waktu hingga satu menit.

**Buat sumber daya Anda di akun konsumen**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_consumer.yaml).

1.  Pilih **Berikutnya**.

1. Untuk **nama Stack**, masukkan nama tumpukan, seperti`stack-consumer`.

1.  Di bagian **Konfigurasi Pengguna**, masukkan nama pengguna dan kata sandi untuk `ConsumerDatalakeAdminUserName` dan`ConsumerDatalakeAdminUserPassword`. 

1. Untuk `DataAnalystUserName` dan`DataAnalystUserPassword`, masukkan nama pengguna dan kata sandi yang Anda inginkan untuk pengguna IAM analis data.

1. Untuk **DataLakeBucketName**, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

1. Untuk **DatabaseName**, tinggalkan nilai default.

1. Untuk`AthenaQueryResultS3BucketName`, masukkan nama bucket Amazon S3 yang menyimpan hasil kueri Amazon Athena. Jika Anda tidak memilikinya, [buat ember Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).

1. Pilih **Berikutnya**.

1. Di halaman berikutnya, pilih **Berikutnya**.

1.  Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1.  Pilih **Buat**.

   Pembuatan tumpukan dapat memakan waktu hingga satu menit.

**catatan**  
Setelah menyelesaikan tutorial, hapus tumpukan CloudFormation untuk menghindari biaya yang dikenakan. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.

## Langkah 2: Prasyarat berbagi lintas akun Lake Formation
<a name="cross-account-share-prerequisistes"></a>

Sebelum berbagi sumber daya dengan Lake Formation, ada prasyarat untuk metode kontrol akses berbasis tag dan metode sumber daya bernama.

**Prasyarat berbagi data lintas akun kontrol akses berbasis tag lengkap**
+ Untuk informasi selengkapnya tentang persyaratan berbagi data lintas akun, lihat [Prasyarat](cross-account-prereqs.md) bagian di bagian berbagi data lintas akun.

  Untuk membagikan sumber daya Katalog Data dengan versi 3 atau lebih tinggi dari **setelan versi Cross account**, pemberi harus memiliki izin IAM yang ditentukan dalam kebijakan AWS `AWSLakeFormationCrossAccountManager` terkelola di akun Anda. 

  Jika Anda menggunakan versi 1 atau versi 2 dari **setelan versi Cross account**, sebelum Anda dapat menggunakan metode kontrol akses berbasis tag untuk memberikan akses lintas akun ke sumber daya, Anda harus menambahkan objek `JSON` izin berikut ke kebijakan sumber daya Katalog Data di akun produsen. Ini memberikan izin akun konsumen untuk mengakses Katalog Data ketika `glue:EvaluatedByLakeFormationTags` benar. Selain itu, kondisi ini menjadi benar untuk sumber daya yang Anda berikan izin menggunakan tag izin Lake Formation ke akun konsumen. Kebijakan ini diperlukan Akun AWS untuk setiap yang Anda berikan izin.

  Kebijakan berikut harus berada dalam `Statement` elemen. Kami membahas kebijakan IAM lengkap di bagian selanjutnya.

  ```
  {
      "Effect": "Allow",
      "Action": [
          "glue:*"
      ],
      "Principal": {
          "AWS": [
              "consumer-account-id"
          ]
      },
      "Resource": [
          "arn:aws:glue:region:account-id:table/*",
          "arn:aws:glue:region:account-id:database/*",
          "arn:aws:glue:region:account-id:catalog"
      ],
      "Condition": {
          "Bool": {
              "glue:EvaluatedByLakeFormationTags": true
          }
      }
  }
  ```

**Prasyarat berbagi lintas akun metode sumber daya bernama lengkap**

1. Jika tidak ada kebijakan sumber daya Katalog Data di akun Anda, hibah lintas akun Lake Formation yang Anda lakukan seperti biasa. Namun, jika kebijakan sumber daya Katalog Data ada, Anda harus menambahkan pernyataan berikut untuk mengizinkan hibah lintas akun Anda berhasil jika dibuat dengan metode sumber daya bernama. Jika Anda berencana untuk hanya menggunakan metode sumber daya bernama, atau hanya metode kontrol akses berbasis tag, Anda dapat melewati langkah ini. Dalam tutorial ini, kita mengevaluasi kedua metode, dan kita perlu menambahkan kebijakan berikut.

   Kebijakan berikut harus berada dalam `Statement` elemen. Kami membahas kebijakan IAM lengkap di bagian selanjutnya.

   ```
   {
             "Effect": "Allow",
             "Action": [
             "glue:ShareResource"
             ],
             "Principal": {
               "Service":"ram.amazonaws.com"
             },
             "Resource": [
                 "arn:aws:glue:region:account-id:table/*/*",
                 "arn:aws:glue:region:account-id:database/*",
                 "arn:aws:glue:region:account-id:catalog"
             ]
   }
   ```

1. Selanjutnya, tambahkan kebijakan AWS Glue Data Catalog sumber daya menggunakan AWS Command Line Interface (AWS CLI).

   Jika Anda memberikan izin lintas akun dengan menggunakan metode kontrol akses berbasis tag dan metode sumber daya bernama, Anda harus menetapkan `EnableHybrid` argumen ke 'true' saat menambahkan kebijakan sebelumnya. Karena opsi ini saat ini tidak didukung di konsol, dan Anda harus menggunakan `glue:PutResourcePolicy` API dan AWS CLI.

   Pertama, buat dokumen kebijakan (seperti policy.json) dan tambahkan dua kebijakan sebelumnya. Ganti *consumer-account-id* dengan Akun AWS penerima hibah, *region* dengan Wilayah Katalog Data yang berisi database dan tabel tempat Anda memberikan izin, dan *account-id* dengan ID produsen. *account ID* Akun AWS 

   Masukkan AWS CLI perintah berikut. Ganti *glue-resource-policy* dengan nilai yang benar (seperti file: //policy.json).

   ```
   aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE
   ```

   Untuk informasi lebih lanjut, lihat [put-resource-policy.](https://docs.aws.amazon.com/cli/latest/reference/glue/put-resource-policy.html)

## Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag
<a name="tut-share-tbac-method"></a>

Di bagian ini, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

1.  Tentukan LF-tag.

1.  Tetapkan LF-tag ke sumber daya target.

1. Berikan izin LF-tag ke akun konsumen.

1. Berikan izin data ke akun konsumen.

1. Secara opsional, cabut izin untuk `IAMAllowedPrincipals` pada database, tabel, dan kolom.

1. Buat tautan sumber daya ke tabel bersama.

1.  Buat LF-tag dan tetapkan ke database target.

1.  Berikan izin data LF-tag ke akun konsumen.

**Mendefinisikan LF-tag**
**catatan**  
Jika Anda masuk ke akun produser Anda, keluar sebelum menyelesaikan langkah-langkah berikut.

1. Masuk ke akun produser sebagai administrator danau data di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Gunakan nomor akun produsen, nama pengguna IAM (defaultnya adalah`DatalakeAdminProducer`), dan kata sandi yang Anda tentukan selama pembuatan CloudFormation tumpukan. 

1. Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, di bawah **Izin, pilih **LF-tag** dan Izin**.

1. Pilih **Tambahkan LF-Tag**.

**Tetapkan LF-tag ke sumber daya target**

Tetapkan LF-tag ke sumber daya target dan berikan izin data ke akun lain

Sebagai administrator data lake, Anda dapat melampirkan tag ke sumber daya. Jika Anda berencana untuk menggunakan peran terpisah, Anda mungkin harus memberikan izin menjelaskan dan melampirkan ke peran terpisah.

1. Di panel navigasi, di bawah **Katalog Data**, pilih **Database**.

1. Pilih database target `(lakeformation_tutorial_cross_account_database_tbac)` dan pada menu **Tindakan**, pilih **Edit LF-tag**.

   Untuk tutorial ini, Anda menetapkan LF-tag ke database, tetapi Anda juga dapat menetapkan LF-tag ke tabel dan kolom.

1. Pilih **Tetapkan LF-Tag baru**.

1. Tambahkan kunci `Confidentiality` dan nilai`public`.

1.  Pilih **Simpan**.

**Berikan izin **LF-tag** ke akun konsumen**

Masih di akun produsen, berikan izin ke akun konsumen untuk mengakses LF-tag.

1. Di panel navigasi, di bawah **Izin, pilih **LF-tag** dan izin**.

1. **Pilih tab **LF-tag**, dan pilih **kunci** dan **nilai** LF-tag yang sedang dibagikan dengan akun konsumen (**kunci** `Confidentiality` dan nilai).** `public`

1. Pilih **Berikan izin**.

1. Untuk **jenis Izin, pilih izin** pasangan nilai **kunci LF-tag**.

1. **Untuk **Prinsipal, pilih Akun** eksternal.**

1. Masukkan **Akun AWS ID** target.

   Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, Anda harus memasukkan Akun AWS ID secara manual.

1. Di bawah **Izin**, pilih **Jelaskan**.

   Ini adalah izin yang diberikan ke akun konsumen. Izin yang dapat diberikan adalah izin yang dapat diberikan oleh akun konsumen kepada prinsipal lain.

1. Pilih**Izin**.

   Pada titik ini, administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui konsol Lake Formation akun konsumen, di bawah Izin, **LF-tag**, dan **izin**.

**Berikan izin data ke akun konsumen**

Kami sekarang akan menyediakan akses data ke akun konsumen dengan menentukan ekspresi LF-tag dan memberikan akses akun konsumen ke tabel atau database apa pun yang cocok dengan ekspresi..

1. **Di panel navigasi, di bawah Izin, **Izin** **danau data, pilih Hibah**.**

1. Untuk **Prinsipal**, pilih **Akun eksternal**, dan masukkan ID target. Akun AWS 

1. **Untuk **LF-tag atau sumber katalog**, pilih **kunci** dan **nilai** **LF-tag** yang sedang dibagikan dengan akun konsumen (**kunci** `Confidentiality` dan nilai).** `public`

1. **Untuk **Izin**, di bawah **Sumber daya yang cocok dengan LF-tag (disarankan) pilih Tambahkan LF-tag**.**

1. Pilih **kunci** dan **nilai** tag yang dibagikan dengan akun konsumen (kunci `Confidentiality` dan nilai`public`).

1. Untuk **izin Database**, pilih **Jelaskan** di bawah **Izin database** untuk memberikan izin akses di tingkat database.

1. Administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui akun konsumen di konsol Lake Formation di, di bawah **Izin [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)**, **peran dan tugas Administratif**, **LF-tag**.

1. Pilih **Jelaskan di bawah Izin** **yang dapat diberikan sehingga akun konsumen dapat memberikan izin** tingkat database kepada penggunanya.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih **Pilih** dan **Jelaskan di bawah Izin** **yang dapat diberikan**.

1. Pilih**Izin**.

**Mencabut izin untuk `IAMAllowedPrincipals` database, tabel, dan kolom (Opsional).**

Di awal tutorial ini, Anda mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Jika Anda mengubah pengaturan Katalog Data Lake Formation, Anda dapat melewati langkah ini.

Pada langkah ini, kita perlu mencabut izin **Super** default dari `IAMAllowedPrincipals` database atau tabel. Lihat [Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation](upgrade-glue-lake-formation.md#upgrade-glue-lake-formation-step4) untuk detail.

Sebelum mencabut izin`IAMAllowedPrincipals`, pastikan bahwa Anda memberikan kepala sekolah IAM yang ada dengan izin yang diperlukan melalui Lake Formation. Ini termasuk tiga langkah:

1. Tambahkan izin IAM ke pengguna IAM target atau peran dengan `GetDataAccess` tindakan Lake Formation (dengan kebijakan IAM).

1.  Berikan pengguna atau peran IAM target dengan izin data Lake Formation (ubah, pilih, dan sebagainya).

1. Kemudian, cabut izin untuk. `IAMAllowedPrincipals` Jika tidak, setelah mencabut izin untuk`IAMAllowedPrincipals`, prinsipal IAM yang ada mungkin tidak lagi dapat mengakses database target atau Katalog Data.

   Pencabutan izin **Super** untuk `IAMAllowedPrincipals` diperlukan saat Anda ingin menerapkan model izin Lake Formation (bukan model kebijakan IAM) untuk mengelola akses pengguna dalam satu akun atau di antara beberapa akun menggunakan model izin Lake Formation. Anda tidak perlu mencabut izin `IAMAllowedPrincipals` untuk tabel lain di mana Anda ingin mempertahankan model kebijakan IAM tradisional.

   Pada titik ini, administrator danau data akun konsumen harus dapat menemukan database dan tabel yang dibagikan melalui akun konsumen di konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), di bawah **Data Catalog, database**. Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:

   1. Tag kebijakan dan nilai yang benar ditetapkan ke database dan tabel target.

   1. Izin tag dan izin data yang benar ditetapkan ke akun konsumen.

   1. Cabut izin super default dari `IAMAllowedPrincipals` database atau tabel.

**Buat tautan sumber daya ke tabel bersama**

Ketika sumber daya dibagi antar akun, dan sumber daya bersama tidak dimasukkan ke dalam Katalog Data akun konsumen. Untuk membuatnya tersedia, dan menanyakan data dasar tabel bersama menggunakan layanan seperti Athena, kita perlu membuat tautan sumber daya ke tabel bersama. Tautan sumber daya adalah objek Katalog Data yang merupakan tautan ke database atau tabel lokal atau bersama. Lihat perinciannya di [Membuat tautan sumber daya](creating-resource-links.md). Dengan membuat tautan sumber daya, Anda dapat:
+ Tetapkan nama yang berbeda ke database atau tabel yang sejajar dengan kebijakan penamaan sumber daya Katalog Data Anda.
+ Gunakan layanan seperti Athena dan Redshift Spectrum untuk menanyakan database atau tabel bersama.

Untuk membuat tautan sumber daya, selesaikan langkah-langkah berikut:

1. Jika Anda masuk ke akun konsumen Anda, keluar.

1. Masuk sebagai administrator danau data akun konsumen. Gunakan ID akun konsumen, nama pengguna IAM (default DatalakeAdminConsumer) dan kata sandi yang Anda tentukan selama pembuatan CloudFormation tumpukan.

1. Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, di bawah **Katalog Data, Database, pilih database** bersama. `lakeformation_tutorial_cross_account_database_tbac`

   Jika Anda tidak melihat database, kunjungi kembali langkah-langkah sebelumnya untuk melihat apakah semuanya sudah dikonfigurasi dengan benar.

1. Pilih **Lihat Tabel**.

1. Pilih tabel bersama`amazon_reviews_table_tbac`.

1. Pada menu **Tindakan**, pilih **Buat tautan sumber daya**.

1. Untuk **nama link Resource**, masukkan nama (untuk tutorial ini,`amazon_reviews_table_tbac_resource_link`).

1. Di bawah **Database**, pilih database tempat tautan sumber daya dibuat (untuk posting ini, tumpukan CloudFormation n membuat database`lakeformation_tutorial_cross_account_database_consumer`).

1. Pilih **Buat**.

   Tautan sumber daya muncul di bawah **Katalog data**, **Tabel**.

**Buat LF-tag dan tetapkan ke database target**

Tag Lake Formation berada di Katalog Data yang sama dengan sumber daya. Ini berarti bahwa tag yang dibuat di akun produsen tidak tersedia untuk digunakan saat memberikan akses ke tautan sumber daya di akun konsumen. Anda perlu membuat satu set tag LF terpisah di akun konsumen untuk menggunakan kontrol akses berbasis tag LF saat membagikan tautan sumber daya di akun konsumen.

1. Tentukan LF-tag di akun konsumen. Untuk tutorial ini, kita menggunakan kunci `Division` dan nilai`sales`,`marketing`, dan`analyst`.

1. Tetapkan kunci `Division` dan nilai LF-tag `analyst` ke database`lakeformation_tutorial_cross_account_database_consumer`, tempat tautan sumber daya dibuat.

**Berikan izin data LF-tag kepada konsumen**

Sebagai langkah terakhir, berikan izin data LF-tag kepada konsumen.

1. **Di panel navigasi, di bawah Izin, **Izin** **danau data, pilih Hibah**.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1.  Untuk **tag LF atau sumber katalog, pilih Sumber daya** yang **cocok dengan LF-tag** (disarankan).

1. Pilih Divisi **kunci** dan analis **nilai**.

1. Untuk **izin Database**, pilih **Jelaskan di bawah Izin** **database**.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih**Izin**.

1. Ulangi langkah-langkah ini untuk pengguna`DataAnalyst`, di mana kunci LF-tag `Confidentiality` dan nilainya. `public`

   Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena di. [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:
   + Tautan sumber daya dibuat untuk tabel bersama
   + Anda memberi pengguna akses ke LF-tag yang dibagikan oleh akun produsen
   + Anda memberi pengguna akses ke LF-tag yang terkait dengan tautan sumber daya dan database tempat tautan sumber daya dibuat
   + Periksa apakah Anda menetapkan LF-tag yang benar ke tautan sumber daya, dan ke database tempat tautan sumber daya dibuat

## Langkah 4: Menerapkan metode sumber daya bernama
<a name="tut-named-resource-method"></a>

Untuk menggunakan metode sumber daya bernama, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

1. Secara opsional, cabut izin untuk `IAMAllowedPrincipals` pada database, tabel, dan kolom.

1. Berikan izin data ke akun konsumen.

1. Terima pembagian sumber daya dari AWS Resource Access Manager.

1. Buat tautan sumber daya untuk tabel bersama.

1. Berikan izin data untuk tabel bersama kepada konsumen.

1. Berikan izin data untuk tautan sumber daya ke konsumen.

**Mencabut izin untuk `IAMAllowedPrincipals` database, tabel, dan kolom (Opsional)**
+ Di awal tutorial ini, kami mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Untuk petunjuk, lihat langkah opsional di bagian sebelumnya.

**Berikan izin data ke akun konsumen**

1. 
**catatan**  
Jika Anda masuk ke akun produser sebagai pengguna lain, keluar terlebih dahulu.

   Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan administrator danau data akun produser menggunakan Akun AWS ID, nama pengguna IAM (default adalah`DatalakeAdminProducer`), dan kata sandi yang ditentukan selama pembuatan CloudFormation tumpukan.

1. **Pada halaman **Izin**, di bawah **Izin Danau data pilih Hibah**.**

1. Di bawah **Prinsipal**, pilih **Akun eksternal**, dan masukkan satu atau lebih Akun AWS IDs atau organisasi. AWS IDs Untuk informasi lebih lanjut, lihat: [AWS Organizations](https://aws.amazon.com/organizations/).

   Organizations yang menjadi milik akun produsen dan Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, masukkan ID akun atau ID organisasi secara manual.

1. Untuk **tag LF atau sumber daya katalog, pilih**. `Named data catalog resources`

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_named_resource`.

1. Pilih **Tambahkan LF-Tag**.

1. Di bawah **Tabel**, pilih **Semua tabel**.

1. Untuk **izin kolom Tabel** ¸ **pilih** Pilih, dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih **Pilih** dan **Jelaskan**, di bawah Izin yang **Dapat Diberikan**.

1. Secara opsional, untuk **izin Data**, pilih **Akses berbasis kolom sederhana** jika manajemen izin tingkat kolom diperlukan. 

1. Pilih**Izin**.

Jika Anda belum mencabut izin`IAMAllowedPrincipals`, Anda mendapatkan kesalahan gagal **izin Hibah**. Pada titik ini, Anda akan melihat tabel target yang AWS RAM dibagikan melalui akun konsumen di bawah **Izin, Izin data**.

**Terima pembagian sumber daya dari AWS RAM**
**catatan**  
Langkah ini diperlukan hanya untuk berbagi Akun AWS berbasis, bukan untuk berbagi berbasis organisasi.

1. Masuk ke AWS konsol saat [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)menggunakan administrator danau data akun konsumen menggunakan nama pengguna IAM (default adalah DatalakeAdminConsumer) dan kata sandi yang ditentukan selama pembuatan CloudFormation tumpukan.

1. Di AWS RAM konsol, di panel navigasi, di bawah **Berbagi dengan saya, Sumber daya berbagi, pilih sumber daya** Lake Formation bersama. **Status** harus **Tertunda**.

1. Pilih **Action** dan **Grant**.

1. Konfirmasikan detail sumber daya, dan pilih **Terima pembagian sumber daya**.

   Pada titik ini, administrator danau data akun konsumen harus dapat menemukan sumber daya bersama di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) di bawah **Katalog Data**, **Database**.

**Buat tautan sumber daya untuk tabel bersama**
+ Ikuti petunjuk di [Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag](#tut-share-tbac-method) (langkah 6) untuk membuat tautan sumber daya untuk tabel bersama. Beri nama tautan sumber daya`amazon_reviews_table_named_resource_resource_link`. Buat tautan sumber daya dalam database`lakeformation_tutorial_cross_account_database_consumer`.

**Berikan izin data untuk tabel bersama kepada konsumen**

Untuk memberikan izin data untuk tabel bersama kepada konsumen, selesaikan langkah-langkah berikut:

1. **Di Lake Formationconsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah Izin, **izin** **danau data, pilih** Hibah.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1. Untuk **LF-tag atau sumber katalog, pilih Sumber daya** **katalog data bernama**.

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_named_resource`. Jika Anda tidak melihat database pada daftar drop-down, pilih **Muat lebih banyak**. 

1.  Di bawah **Tabel**, pilih tabel`amazon_reviews_table_named_resource`.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih**Izin**.

**Berikan izin data untuk tautan sumber daya ke konsumen**

Selain memberikan izin pengguna data lake untuk mengakses tabel bersama, Anda juga perlu memberikan izin pengguna data lake untuk mengakses tautan sumber daya.

1. **Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah **Izin, izin** **danau data**, pilih Hibah.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1. Untuk **LF-tag atau sumber katalog, pilih Sumber daya** **katalog data bernama**.

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_consumer`. Jika Anda tidak melihat database pada daftar drop-down, pilih **Muat lebih banyak**. 

1.  Di bawah **Tabel**, pilih tabel`amazon_reviews_table_named_resource_resource_link`.

1. Untuk **izin tautan Sumber daya**, pilih **Jelaskan di bawah Izin** **tautan sumber daya**.

1. Pilih**Izin**.

   Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena.

   Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:
   + Tautan sumber daya dibuat untuk tabel bersama
   + Anda memberi pengguna akses ke tabel yang dibagikan oleh akun produsen
   + Anda memberi pengguna akses ke tautan sumber daya dan database tempat tautan sumber daya dibuat

## Langkah 5: Bersihkan AWS sumber daya
<a name="share-tbac-clean-up-db"></a>

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

1. Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan akun produser dan hapus atau ubah yang berikut ini:
   + AWS Resource Access Manager berbagi sumber daya
   + Tag Lake Formation
   + CloudFormation tumpukan
   + Pengaturan Lake Formation
   + AWS Glue Data Catalog

1. Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan akun konsumen dan hapus atau ubah yang berikut ini:
   + Tag Lake Formation
   + CloudFormation tumpukan