Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses berbasis tag Lake Formation
Lake Formation tag-based access control (LF-TBAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut *LF-tag*. Anda dapat melampirkan LF-tag ke sumber daya Katalog Data, dan memberikan izin kepada prinsipal Lake Formation pada sumber daya tersebut menggunakan LF-tag ini. Lake Formation memungkinkan operasi pada sumber daya tersebut ketika prinsipal telah memberikan akses ke nilai tag yang cocok dengan nilai tag sumber daya.
LF-TBAC sangat membantu dalam lingkungan yang berkembang pesat dan membantu situasi di mana manajemen kebijakan menjadi rumit.
LF-TBAC adalah metode yang direkomendasikan untuk digunakan untuk memberikan izin Lake Formation ketika ada sejumlah besar objek Katalog Data termasuk katalog federasi, database, tabel, dan tampilan. Lake Formation mendukung kontrol akses berbasis tag untuk katalog federasi tabel Amazon S3, gudang Amazon Redshift data, dan sumber data federasi seperti, SQL Server, dan Snowflake. Amazon DynamoDB
**catatan**
Tag IAM tidak sama dengan LF-tag. Tag ini tidak dapat dipertukarkan. LF-tag digunakan untuk memberikan izin Lake Formation dan tag IAM digunakan untuk menentukan kebijakan IAM.
## Cara kerja kontrol akses berbasis tag Lake Formation
Setiap LF-tag adalah pasangan kunci-nilai, seperti atau. `department=sales` `classification=restricted` Sebuah kunci dapat memiliki beberapa nilai yang ditentukan, seperti`department=sales,marketing,engineering,finance`.
Untuk menggunakan metode LF-TBAC, administrator data lake dan insinyur data melakukan tugas-tugas berikut.
| Tugas | Detail tugas |
| --- | --- |
| 1. Tentukan properti dan hubungan LF-tag. | - |
| 2. Buat kreator LF-tag di Lake Formation. | [Menambahkan kreator LF-tag](TBAC-adding-tag-creator.md) |
| 3. Buat LF-Tag di Lake Formation. | [Membuat LF-tag](TBAC-creating-tags.md) |
| 4. Tetapkan LF-tag ke sumber daya Katalog Data. | [Menetapkan LF-tag ke sumber daya Katalog Data](TBAC-assigning-tags.md) |
| 5. Berikan izin kepada prinsipal lain untuk menetapkan LF-tag ke sumber daya, secara opsional dengan opsi hibah. | [Mengelola izin nilai LF-tag](TBAC-granting-tags.md) |
| 6. Berikan ekspresi LF-tag ke kepala sekolah, secara opsional dengan opsi hibah. | [Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md) |
| 7. (Disarankan) Setelah memverifikasi bahwa prinsipal memiliki akses ke sumber daya yang benar melalui metode LF-TBAC, cabut izin yang diberikan dengan menggunakan metode sumber daya bernama. | - |
Pertimbangkan kasus di mana Anda harus memberikan izin kepada tiga kepala sekolah pada tiga database dan tujuh tabel.
![\[Tiga tokoh pengguna berada di sebelah kiri, diatur secara vertikal. Di sebelah kanan ada tiga database berlabel A, B, dan C, disusun secara vertikal. Database A memiliki dua tabel berlabel A.1 dan A.2, database B memiliki label tabel B.1 dan B.2, dan Database C memiliki tiga tabel berlabel C.1, C.2, dan C.3. Tujuh belas panah menghubungkan pengguna ke database dan tabel, menunjukkan hibah pada database dan tabel kepada pengguna.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/TBAC_example_discreet.png)
Untuk mencapai izin yang ditunjukkan dalam diagram sebelumnya dengan menggunakan metode sumber daya bernama, Anda harus membuat 17 hibah, sebagai berikut (dalam kode semu).
```
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1
...
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2
GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2
...
GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
```
Sekarang pertimbangkan bagaimana Anda akan memberikan izin dengan menggunakan LF-TBAC. Diagram berikut menunjukkan bahwa Anda telah menetapkan LF-tag ke database dan tabel, dan telah memberikan izin pada LF-tag kepada prinsipal.
Dalam contoh ini, LF-tag mewakili area danau data yang berisi analitik untuk modul yang berbeda dari rangkaian aplikasi perencanaan sumber daya perusahaan (ERP). Anda dapat menggunakannya untuk mengontrol akses ke data analitik untuk berbagai modul. Semua LF-tag memiliki kunci `module` dan nilai yang mungkin`Sales`,`Orders`, dan. `Customers` Contoh LF-tag terlihat seperti ini:
```
module=Sales
```
Diagram hanya menunjukkan nilai LF-tag.
![\[Seperti diagram sebelumnya, tiga angka pengguna berada di sebelah kiri, disusun secara vertikal, dan di sebelah kanan ada tiga database berlabel A, B, dan C, disusun secara vertikal. Database A memiliki dua tabel berlabel A.1 dan A.2, database B memiliki label tabel B.1 dan B.2, dan Database C memiliki tiga tabel berlabel C.1, C.2, dan C.3. Tidak ada panah antara pengguna dan database dan tabel. Sebagai gantinya, berlabel “flag” di sebelah pengguna menunjukkan bahwa user1 telah diberikan Penjualan dan Pelanggan LF-tag, pengguna 2 telah diberikan Pesanan LF-tag, dan pengguna 3 telah diberikan Pelanggan LF-tag. Bendera di sebelah database dan tabel menunjukkan penetapan tag LF berikut ke database dan tabel: Database A: Penjualan. Tabel A1: Bendera redup menunjukkan bahwa Penjualan diwarisi dari Database A. Tabel A2: Pesanan, tetapi tanda redup menunjukkan bahwa Penjualan diwarisi dari Database A. Database B: Pesanan. Tabel B.1 dan B.2 mewarisi Pesanan, dan Tabel B.2 memiliki Pelanggan. Database C memiliki Pelanggan, dan Tabel C.1, C.2, dan C.3 mewarisi Pelanggan. Tabel C tidak memiliki tugas lain.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/TBAC_example_tags.png)
**Menandai tugas untuk sumber daya Katalog Data dan warisan**
Tabel mewarisi LF-tag dari database dan kolom mewarisi LF-tag dari tabel. Nilai yang diwariskan dapat diganti. Pada diagram sebelumnya, tag LF redup diwariskan.
Karena pewarisan, administrator data lake hanya perlu membuat lima penetapan LF-tag berikut ke sumber daya (dalam kode semu).
```
ASSIGN TAGS module=Sales TO database A
ASSIGN TAGS module=Orders TO table A.2
ASSIGN TAGS module=Orders TO database B
ASSIGN TAGS module=Customers TO table B.2
ASSIGN TAGS module=Customers TO database C
```
**Tag hibah untuk kepala sekolah**
Setelah menetapkan LF-tag ke database dan tabel, administrator data lake harus membuat hanya empat hibah LF-tag ke prinsipal, sebagai berikut (dalam pseudo-code).
```
GRANT TAGS module=Sales TO Principal 1
GRANT TAGS module=Customers TO Principal 1
GRANT TAGS module=Orders TO Principal 2
GRANT TAGS module=Customers TO Principal 3
```
Sekarang, prinsipal dengan `module=Sales` LF-tag dapat mengakses sumber daya Katalog Data dengan `module=Sales` LF-tag (misalnya, database A), prinsipal dengan `module=Customers` LF-tag dapat mengakses sumber daya dengan LF-tag, dan sebagainya. `module=Customers`
Perintah hibah sebelumnya tidak lengkap. Ini karena meskipun mereka menunjukkan melalui LF-tag sumber daya Katalog Data bahwa prinsipal memiliki izin, mereka tidak menunjukkan dengan tepat izin Lake Formation mana (seperti`SELECT`,`ALTER`) yang dimiliki prinsipal pada sumber daya tersebut. Oleh karena itu, perintah pseudo-code berikut adalah representasi yang lebih akurat tentang bagaimana izin Lake Formation diberikan pada sumber daya Katalog Data melalui LF-tag.
```
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Sales TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Orders TO Principal 2
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 3
```
**Menyatukannya - Menghasilkan izin pada sumber daya**
Mengingat LF-tag yang ditetapkan ke database dan tabel di diagram sebelumnya, dan LF-tag yang diberikan kepada prinsipal dalam diagram, tabel berikut mencantumkan izin Lake Formation yang dimiliki kepala sekolah pada database dan tabel.
| Principal | Izin Diberikan Melalui LF-tag |
| --- | --- |
| Prinsipal 1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/tag-based-access-control.html) |
| Kepala Sekolah 2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/tag-based-access-control.html) |
| Kepala Sekolah 3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/tag-based-access-control.html) |
**Intinya**
Dalam contoh sederhana ini, menggunakan lima operasi penugasan dan delapan operasi hibah, administrator data lake dapat menentukan 17 izin. Ketika ada puluhan database dan ratusan tabel, keuntungan dari metode LF-TBAC atas metode sumber daya bernama menjadi jelas. Dalam kasus hipotetis kebutuhan untuk memberikan setiap akses utama ke setiap sumber daya, dan di mana `n(P)` jumlah prinsipal dan `n(R)` jumlah sumber daya:
+ Dengan metode sumber daya bernama, jumlah hibah yang diperlukan adalah `n(P)` ✕`n(R)`.
+ Dengan metode LF-TBAC, menggunakan satu LF-tag, total jumlah hibah kepada kepala sekolah dan penugasan ke sumber daya adalah \$1. `n(P)` `n(R)`
**Lihat juga**
[Mengelola LF-tag untuk kontrol akses metadata](managing-tags.md)
[Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md)
**Topics**
+ [Cara kerja kontrol akses berbasis tag Lake Formation](#how-TBAC-works)
+ [Mengelola LF-tag untuk kontrol akses metadata](managing-tags.md)
+ [Mengelola ekspresi LF-tag untuk kontrol akses metadata](managing-tag-expressions.md)
+ [Mengelola izin nilai LF-tag](TBAC-granting-tags.md)
# Mengelola LF-tag untuk kontrol akses metadata
Untuk menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk mengamankan objek Katalog Data seperti katalog, database, tabel, tampilan, dan kolom, Anda membuat LF-tag, menetapkannya ke sumber daya, dan memberikan izin LF-tag kepada prinsipal.
Sebelum Anda dapat menetapkan LF-tag ke objek Katalog Data atau memberikan izin kepada prinsipal, Anda perlu menentukan LF-tag. Hanya administrator data lake atau prinsipal dengan izin pembuat LF-tag yang dapat membuat LF-tag.
**Pembuat LF-tag**
Pembuat LF-tag adalah kepala sekolah non-admin yang memiliki izin untuk membuat dan mengelola LF-tag. Administrator data lake dapat menambahkan pembuat LF-tag menggunakan konsol Lake Formation atau CLI. Pembuat LF-tag memiliki izin Lake Formation implisit untuk memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag dan izin nilai LF-tag ke prinsipal lain.
Dengan peran pembuat LF-tag, administrator data lake dapat mendelegasikan tugas manajemen tag seperti membuat dan memperbarui kunci dan nilai tag ke prinsipal non-admin. Administrator data lake juga dapat memberikan izin yang dapat diberikan kepada pembuat LF-tag. `Create LF-Tag` Kemudian, pembuat LF-tag dapat memberikan izin untuk membuat LF-tag ke prinsipal lain.
Anda dapat memberikan dua jenis izin pada LF-tag:
+ Izin LF-tag -`Create LF-Tag`,, `Alter` dan. `Drop` Izin ini diperlukan untuk membuat, memperbarui, dan menghapus LF-tag.
Administrator data lake dan pembuat LF-tag secara implisit memiliki izin ini pada LF-tag yang mereka buat dan dapat memberikan izin ini secara eksplisit kepada prinsipal untuk mengelola tag di data lake.
+ Izin pasangan nilai kunci LF-tag -,, dan. `Assign` `Describe` `Grant with LF-Tag expressions` Izin ini diperlukan untuk menetapkan LF-tag ke objek Katalog Data, dan untuk memberikan izin pada sumber daya kepada prinsipal menggunakan kontrol akses berbasis tag Lake Formation. Pembuat LF-tag secara implisit menerima izin ini saat membuat LF-tag.
Setelah menerima `Create LF-Tag` izin dan berhasil membuat LF-tag, pembuat LF-tag dapat menetapkan LF-tag ke sumber daya dan memberikan izin LF-tag (`Create LF-Tag`,, `Alter``Drop`, dan) kepada prinsipal non-administratif lainnya untuk mengelola tag di danau data. Anda dapat mengelola LF-tag menggunakan konsol Lake Formation, API, atau AWS Command Line Interface ()AWS CLI.
**catatan**
Administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin LF-tag kepada prinsipal.
Untuk praktik dan pertimbangan terbaik, lihat [Praktik dan pertimbangan terbaik kontrol akses berbasis tag Lake Formation](lf-tag-considerations.md)
**Topics**
+ [Menambahkan kreator LF-tag](TBAC-adding-tag-creator.md)
+ [Membuat LF-tag](TBAC-creating-tags.md)
+ [Memperbarui LF-tag](TBAC-updating-tags.md)
+ [Menghapus LF-tag](TBAC-deleting-tags.md)
+ [Daftar LF-tag](TBAC-listing-tags.md)
+ [Menetapkan LF-tag ke sumber daya Katalog Data](TBAC-assigning-tags.md)
+ [Melihat LF-tag yang ditetapkan ke sumber daya](TBAC-view-resource-tags.md)
+ [Melihat sumber daya yang ditetapkan LF-tag](TBAC-view-tag-resources.md)
+ [Siklus hidup LF-tag](#lf-tag-life-cycle)
+ [Perbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis atribut IAM](#TBAC-comparison-ABAC)
**Lihat juga**
[Mengelola izin nilai LF-tag](TBAC-granting-tags.md)
[Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md)
[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md)
# Menambahkan kreator LF-tag
Secara default, administrator data lake dapat membuat, memperbarui, dan menghapus LF-tag, menetapkan tag ke objek Katalog Data, dan memberikan izin tag ke prinsipal. Jika Anda ingin mendelegasikan operasi pembuatan dan pengelolaan tag ke kepala sekolah non-admin, administrator data lake dapat membuat peran pembuat LF-tag dan memberikan izin Lake Formation ke peran tersebut. `Create LF-Tag` Dengan `Create LF-Tag` izin yang dapat diberikan, pembuat LF-tag dapat mendelegasikan tugas pembuatan dan pemeliharaan tag ke kepala sekolah non-administratif lainnya.
Agar administrator data lake menetapkan LF-tag ke sumber daya Katalog Data, mereka diharuskan memberikan izin asosiasi pada LF-tag yang tidak dibuat oleh mereka.
**catatan**
Hibah izin lintas akun hanya dapat mencakup `Describe` dan `Associate` izin. Anda tidak dapat memberikan`Create LF-Tag`,`Drop`,`Alter`, dan `Grant with LFTag expressions` izin kepada kepala sekolah di akun lain.
**Topics**
+ [Izin IAM diperlukan untuk membuat LF-tag](#tag-creator-permissions)
+ [Tambahkan pembuat LF-tag](#add-lf-tag-creator)
**Lihat juga**
[Mengelola izin nilai LF-tag](TBAC-granting-tags.md)
[Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md)
[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md)
## Izin IAM diperlukan untuk membuat LF-tag
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal Lake Formation membuat LF-tag. Tambahkan pernyataan berikut ke kebijakan izin untuk prinsipal yang perlu menjadi pembuat LF-tag.
**catatan**
Meskipun administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan LF-tag kepada prinsipal, administrator data lake juga memerlukan izin IAM berikut.
Untuk informasi selengkapnya, lihat [Referensi personas Lake Formation dan izin IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
```
Prinsipal yang menetapkan LF-tag ke sumber daya dan memberikan LF-tag ke kepala sekolah harus memiliki izin yang sama, kecuali untuk,, dan izin. `CreateLFTag` `UpdateLFTag` `DeleteLFTag`
## Tambahkan pembuat LF-tag
Pembuat LF-tag dapat membuat LF-tag, memperbarui kunci dan nilai tag, menghapus tag, mengaitkan tag ke sumber daya Katalog Data, dan memberikan izin pada sumber daya Katalog Data kepada prinsipal menggunakan metode LF-TBAC. Pembuat LF-tag juga dapat memberikan izin ini kepada kepala sekolah.
Anda dapat membuat peran pembuat LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ console ]
**Untuk menambahkan pembuat LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator datalake.
1. Di panel navigasi, di bawah **Izin, pilih **LF-tag** dan izin**.
**Pada halaman **LF-tag dan izin**, pilih bagian **pembuat LF-tag dan pilih Tambahkan pembuat LF-tag**.**
![\[LF-Tag creator details form with Pengguna IAM selection and permission options.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/add-lf-tag-creator.png)
1. Pada halaman **Add LF-tag creator**, pilih peran IAM atau pengguna yang memiliki izin yang diperlukan untuk membuat LF-tag.
1. Aktifkan kotak centang `Create LF-Tag` izin.
1. (Opsional) Untuk mengaktifkan prinsipal yang dipilih untuk memberikan `Create LF-Tag` izin kepada kepala sekolah, pilih Izin yang dapat diberikan. `Create LF-Tag`
1. Pilih **Tambahkan**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTag"
],
"PermissionsWithGrantOption": [
"CreateLFTag"
]
}
```
------
Berikut ini adalah izin yang tersedia untuk peran pembuat LF-tag:
| Izin | Deskripsi |
| --- | --- |
| Drop | Seorang kepala sekolah dengan izin ini pada LF-tag dapat menghapus LF-tag dari danau data. Prinsipal mendapat Describe izin implisit pada semua nilai tag dari sumber daya LF-tag. |
| Alter | Prinsipal dengan izin ini pada LF-tag dapat menambah atau menghapus nilai tag dari LF-tag. Prinsipal mendapat Alter izin implisit pada semua nilai tag LF-tag. |
| Describe | Prinsipal dengan izin ini pada LF-tag dapat melihat LF-tag dan nilainya ketika mereka menetapkan LF-tag ke sumber daya atau memberikan izin pada LF-tag. Anda dapat memberikan Describe pada semua nilai kunci atau pada nilai tertentu. |
| Associate | Prinsipal dengan izin ini pada LF-tag dapat menetapkan LF-tag ke sumber daya Katalog Data. Memberikan hibah Associate implisit. Describe |
| Grant with LF-Tag expression | Prinsipal dengan izin ini pada LF-tag dapat memberikan izin pada sumber daya Katalog Data menggunakan kunci dan nilai LF-tag. Memberikan hibah Grant with LF-Tag expression implisit. Describe |
Izin ini dapat diberikan. Seorang kepala sekolah yang telah diberikan izin ini dengan opsi hibah dapat memberikannya kepada prinsipal lain.
# Membuat LF-tag
Semua LF-tag harus didefinisikan dalam Lake Formation sebelum dapat digunakan. LF-tag terdiri dari kunci dan satu atau lebih nilai yang mungkin untuk kunci.
Setelah administrator data lake menyiapkan izin IAM yang diperlukan dan izin Lake Formation untuk peran pembuat LF-tag, prinsipal dapat membuat LF-tag. Pembuat LF-tag mendapat izin implisit untuk memperbarui atau menghapus nilai tag apa pun dari LF-tag dan menghapus LF-tag.
Anda dapat membuat LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk membuat LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai prinsipal dengan izin pembuat LF-tag atau sebagai administrator danau data.
1. **Di panel navigasi, di bawah Izin, **LF-tag dan **izin**, pilih LF-tag**.**
Halaman **LF-tag muncul**.
![\[Halaman ini memiliki tabel 4 kolom dengan judul kolom Key, Values, ID akun Pemilik, dan izin LF-tag. Tabel memiliki 2 baris. Di atas tabel terdapat 4 tombol yang disusun secara horizontal: Hapus (redup), Edit (redup), Hibah izin (redup) dan Tambahkan tag. Halaman ini juga memiliki bidang pencarian dengan teks placeholder “Temukan tag”. Di sebelah kanan bidang pencarian adalah pemilih halaman, menunjukkan nilai “1" antara tombol kiri dan kanan, dan ikon Pengaturan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/policy-tags-page-2.png)
1. Pilih **Tambahkan LF-Tag**.
1. Dalam **Tambahkan LF-tag** kotak dialog, masukkan kunci dan satu atau lebih nilai.
Setiap kunci harus memiliki setidaknya satu nilai. Untuk memasukkan beberapa nilai, masukkan daftar yang dibatasi koma lalu tekan **Enter, atau masukkan** satu nilai pada satu waktu dan pilih **Tambah** setelah masing-masing. Jumlah maksimum nilai yang diizinkan adalah 1000.
1. Pilih **Tambahkan tanda**.
------
#### [ AWS CLI ]
**Untuk membuat LF-tag**
+ Masukkan `create-lf-tag` perintah.
Contoh berikut membuat LF-tag dengan kunci `module` dan nilai-nilai `Customers` dan. `Orders`
```
aws lakeformation create-lf-tag --tag-key module --tag-values Customers Orders
```
------
Sebagai pembuat tag, prinsipal mendapat `Alter` izin pada LF-tag ini dan dapat memperbarui atau menghapus nilai tag apa pun dari LF-tag ini. Prinsipal pembuat LF-tag juga dapat memberikan `Alter` izin kepada prinsipal lain untuk memperbarui dan menghapus nilai tag pada LF-tag ini.
# Memperbarui LF-tag
Anda memperbarui LF-tag yang Anda memiliki `Alter` izin dengan menambahkan atau menghapus nilai kunci yang diizinkan. Anda tidak dapat mengubah kunci LF-Tag. Untuk mengubah kunci, hapus LF-tag dan tambahkan satu dengan kunci yang diperlukan. Selain `Alter` izin, Anda juga memerlukan izin `lakeformation:UpdateLFTag` IAM untuk memperbarui nilai.
Saat Anda menghapus nilai LF-tag, tidak ada pemeriksaan yang dilakukan untuk keberadaan nilai LF-tag pada sumber daya Katalog Data apa pun. Jika nilai LF-tag yang dihapus dikaitkan dengan sumber daya, nilai tersebut tidak lagi terlihat untuk sumber daya, dan prinsip apa pun yang diberikan izin pada pasangan nilai kunci tersebut tidak lagi memiliki izin.
Sebelum menghapus nilai LF-tag, Anda dapat secara opsional menggunakan [`remove-lf-tags-from-resource`perintah perintah](TBAC-assigning-tags.md#remove-tag-command) untuk menghapus LF-tag dari sumber daya Katalog Data yang memiliki nilai yang ingin Anda hapus, lalu tag ulang sumber daya dengan nilai yang ingin Anda simpan.
Hanya administrator data lake, pembuat LF-tag, dan prinsipal yang memiliki `Alter` izin pada LF-tag yang dapat memperbarui LF-tag.
Anda dapat memperbarui LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk memperbarui LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator data lake, pembuat LF-tag, atau kepala sekolah dengan `Alter` izin pada LF-tag.
1. **Di panel navigasi, di bawah Izin, **LF-tag dan **izin**, pilih LF-tag**.**
1. **Pada halaman **LF-tag**, pilih LF-tag, lalu pilih Edit.**
1. Dalam kotak dialog **Edit LF-Tag**, tambahkan atau hapus nilai LF-tag.
Untuk menambahkan beberapa nilai, di bidang **Nilai**, masukkan daftar yang dibatasi koma dan tekan **Enter, atau masukkan** satu nilai pada satu waktu atau pilih **Tambah** setelah masing-masing.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk memperbarui LF-tag ()AWS CLI**
+ Masukkan `update-lf-tag` perintah. Berikan salah satu atau kedua argumen berikut:
+ `--tag-values-to-add`
+ `--tag-values-to-delete`
**Example**
Contoh berikut menggantikan nilai `vp` dengan nilai `vice-president` untuk kunci LF-tag. `level`
```
aws lakeformation update-lf-tag --tag-key level --tag-values-to-add vice-president
--tag-values-to-delete vp
```
------
# Menghapus LF-tag
Anda dapat menghapus LF-tag yang tidak lagi digunakan. Tidak ada pemeriksaan yang dilakukan untuk keberadaan LF-tag pada sumber daya Katalog Data. Jika tag LF yang dihapus dikaitkan dengan sumber daya, itu tidak lagi terlihat untuk sumber daya, dan prinsip apa pun yang diberikan izin pada tag LF tersebut tidak lagi memiliki izin.
Sebelum menghapus LF-tag, Anda dapat secara opsional menggunakan [`remove-lf-tags-from-resource`](TBAC-assigning-tags.md#remove-tag-command)perintah untuk menghapus LF-tag dari semua sumber daya.
Hanya administrator data lake, pembuat LF-tag, atau prinsipal yang memiliki `Drop` izin pada LF-tag yang dapat menghapus LF-tag. Selain `Drop` izin, kepala sekolah juga memerlukan izin `lakeformation:DeleteLFTag` IAM untuk menghapus LF-tag.
Anda dapat menghapus LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk menghapus LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator danau data.
1. **Di panel navigasi, di bawah Izin, **LF-tag dan **izin**, pilih LF-tag**.**
1. **Pada halaman **LF-tag**, pilih LF-tag, lalu pilih Hapus.**
1. Di **lingkungan Delete tag?** **kotak dialog, untuk mengkonfirmasi penghapusan, masukkan nilai kunci LF-tag di bidang yang ditunjuk dan kemudian pilih Hapus.**
------
#### [ AWS CLI ]
**Untuk menghapus LF-tag ()AWS CLI**
+ Masukkan `delete-lf-tag` perintah. Berikan kunci LF-tag untuk dihapus.
**Example**
Contoh berikut menghapus LF-tag dengan kunci. `region`
```
aws lakeformation delete-lf-tag --tag-key region
```
------
# Daftar LF-tag
Anda dapat membuat daftar LF-tag yang Anda miliki `Describe` atau `Associate` izin. Nilai yang tercantum dengan setiap kunci LF-tag adalah nilai yang Anda memiliki izin.
Pembuat LF-tag memiliki izin implisit untuk melihat LF-tag yang telah mereka buat.
Administrator data lake dapat melihat semua LF-tag yang didefinisikan dalam AWS akun lokal dan semua LF-tag yang `Associate` izinnya `Describe` telah diberikan ke akun lokal dari akun eksternal. Administrator data lake dapat melihat semua nilai untuk semua LF-tag.
Anda dapat mencantumkan LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk daftar LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pembuat LF-tag, sebagai administrator data lake, atau sebagai prinsipal yang telah diberikan izin pada LF-tag dan yang memiliki izin IAM. `lakeformation:ListLFTags`
1. **Di panel navigasi, di bawah Izin, **LF-tag dan **izin**, pilih LF-tag**.**
Halaman **LF-tag muncul**.
![\[Halaman ini memiliki tabel 3 kolom dengan judul kolom Kunci, Nilai, dan ID akun Pemilik. Tabel memiliki 2 baris. Di atas tabel terdapat 4 tombol yang disusun secara horizontal: Reload page, Delete (dimmed), Edit (dimmed), dan Add tag. Halaman ini juga memiliki bidang pencarian dengan teks placeholder “Temukan tag”. Di sebelah kanan bidang pencarian adalah pemilih halaman, menunjukkan nilai “1" antara tombol kiri dan kanan, dan ikon Pengaturan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/policy-tags-page-2.png)
Periksa kolom **ID akun Pemilik** untuk menentukan tag LF yang dibagikan dengan akun Anda dari akun eksternal.
------
#### [ AWS CLI ]
**Untuk daftar LF-tag ()AWS CLI**
+ Jalankan perintah berikut sebagai administrator data lake atau sebagai prinsipal yang telah diberikan izin pada LF-tag dan yang memiliki izin IAM. `lakeformation:ListLFTags`
```
aws lakeformation list-lf-tags
```
Output Anda serupa dengan yang berikut ini.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
]
}
```
Untuk juga melihat LF-tag yang diberikan dari akun eksternal, sertakan opsi perintah. `--resource-share-type ALL`
```
aws lakeformation list-lf-tags --resource-share-type ALL
```
Output Anda serupa dengan yang berikut ini. Perhatikan `NextToken` kuncinya, yang menunjukkan bahwa ada lebih banyak daftar.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
],
"NextToken": "eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ=="
}
```
Ulangi perintah, dan tambahkan `--next-token` argumen untuk melihat LF-tag lokal yang tersisa dan LF-tag yang diberikan dari akun eksternal. LF-tag dari akun eksternal selalu ada di halaman terpisah.
```
aws lakeformation list-lf-tags --resource-share-type ALL
--next-token eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ==
```
```
{
"LFTags": [
{
"CatalogId": "123456789012",
"TagKey": "region",
"TagValues": [
"central",
"south"
]
}
]
}
```
------
#### [ API ]
Anda dapat menggunakan Formasi Danau yang SDKs tersedia untuk mencantumkan tag yang diizinkan oleh pemohon untuk dilihat.
```
import boto3
client = boto3.client('lakeformation')
...
response = client.list_lf_tags(
CatalogId='string',
ResourceShareType='ALL',
MaxResults=50'
)
```
Perintah ini mengembalikan `dict` objek dengan struktur berikut:
```
{
'LFTags': [
{
'CatalogId': 'string',
'TagKey': 'string',
'TagValues': [
'string',
]
},
],
'NextToken': 'string'
}
```
------
Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat [Referensi personas Lake Formation dan izin IAM](permissions-reference.md).
# Menetapkan LF-tag ke sumber daya Katalog Data
Anda dapat menetapkan LF-tag ke sumber daya Katalog Data (database, tabel, dan kolom) untuk mengontrol akses ke sumber daya tersebut. Hanya prinsipal yang diberikan tag LF yang cocok (dan prinsipal yang diberikan akses dengan metode sumber daya bernama) yang dapat mengakses sumber daya.
Jika tabel mewarisi LF-tag dari database atau kolom mewarisi LF-tag dari tabel, Anda dapat mengganti nilai yang diwariskan dengan menetapkan nilai baru ke kunci LF-tag.
Jumlah maksimum LF-tag yang dapat Anda tetapkan ke sumber daya adalah 50.
**Topics**
+ [Persyaratan untuk mengelola tag yang ditetapkan ke sumber daya](#manage-tags-reqs)
+ [Tetapkan LF-tag ke kolom tabel](#assign-tag-column)
+ [Tetapkan LF-tag ke sumber daya Katalog Data](#assign-tag-catalog-resource)
+ [Memperbarui LF-tag untuk sumber daya](#update-tags)
+ [Menghapus LF-tag dari sumber daya](#remove-tag)
## Persyaratan untuk mengelola tag yang ditetapkan ke sumber daya
Untuk menetapkan LF-tag ke sumber daya Katalog Data, Anda harus:
+ Miliki `ASSOCIATE` izin Lake Formation pada LF-tag.
+ Memiliki `lakeformation:AddLFTagsToResource` izin IAM.
+ Memiliki lem: GetDatabase izin pada database Glue.
+ Jadilah pemilik sumber daya (pembuat), dapatkan izin `Super` Lake Formation pada sumber daya dengan `GRANT` opsi, atau miliki izin berikut dengan `GRANT` opsi:
+ Untuk database di AWS akun yang sama:`DESCRIBE`,, `CREATE_TABLE``ALTER`, dan `DROP`
+ Untuk database di akun eksternal:`DESCRIBE`, dan `CREATE_TABLE` `ALTER`
+ Untuk tabel (dan kolom):`DESCRIBE`,`ALTER`,`DROP`,`INSERT`,`SELECT`, dan `DELETE`
Selain itu, LF-tag dan sumber daya yang ditugaskan harus berada di akun yang sama AWS .
Untuk menghapus LF-tag dari sumber daya Katalog Data, Anda harus memenuhi persyaratan ini, dan juga memiliki izin `lakeformation:RemoveLFTagsFromResource` IAM.
## Tetapkan LF-tag ke kolom tabel
**Untuk menetapkan LF-tag ke kolom tabel (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pengguna yang memenuhi persyaratan yang tercantum di atas.
1. Di panel navigasi, pilih **Tabel**.
1. Pilih nama tabel (bukan tombol opsi di sebelah nama tabel).
1. Pada halaman detail tabel, di bagian **Skema**, pilih **Edit skema**.
1. Pada halaman **Edit skema**, pilih satu atau beberapa kolom, lalu pilih **Edit LF-tag**.
**catatan**
Jika Anda bermaksud menambah atau menghapus kolom dan menyimpan versi baru, lakukan itu terlebih dahulu. Kemudian edit LF-tag.
Kotak dialog **Edit LF-tag** muncul, dan menampilkan tag LF apa pun yang diwarisi dari tabel.
![\[Gambar adalah tangkapan layar dari jendela dialog Edit LF-tag. Bagian atas jendela menunjukkan dua kunci yang diwariskan. Kunci yang diwariskan pertama memiliki kunci “level” dan nilai “direktur (diwariskan)”. Kunci yang diwariskan kedua memiliki kunci “modul” dan nilai “Pesanan (diwarisi)”. Di bawah bidang tersebut adalah tombol “Tetapkan tag LF baru”. Di bawah dan di sebelah kanan adalah tombol Batal dan Simpan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2a.png)
1. (Opsional) Untuk daftar **Nilai** di samping bidang **kunci yang diwariskan**, pilih nilai untuk mengganti nilai yang diwariskan.
1. (Opsional) Pilih **Tetapkan LF-tag baru**. Kemudian untuk **kunci yang Ditugaskan**, pilih kunci, dan untuk **Nilai**, pilih nilai untuk kunci tersebut.
![\[Gambar adalah tangkapan layar dari jendela dialog Edit LF-tag. Bagian atas jendela menunjukkan dua kunci yang diwariskan. Kunci yang diwariskan pertama memiliki kunci “level” dan nilai “direktur (diwariskan)”. Kunci yang diwariskan kedua memiliki kunci “modul” dan nilai “Pesanan (diwarisi)”. Di bawah bagian ini, disejajarkan secara horizontal, adalah bidang dan kontrol ini: bidang “Kunci yang ditugaskan”, bidang “Nilai”, dan tombol Hapus. Bidang Assigned keys berisi teks “environment”. Bidang Nilai adalah daftar drop-down, dengan nilai “Produksi” (disorot) dan “Pelanggan”. Tombol “Tetapkan tag LF baru” muncul di bawah bidang Kunci yang Ditugaskan. Di kanan bawah jendela adalah tombol Batal dan Simpan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2b.png)
1. (Opsional) Pilih **Tetapkan tag LF baru lagi untuk menambahkan tag** LF lain.
1. Pilih **Simpan**.
## Tetapkan LF-tag ke sumber daya Katalog Data
------
#### [ Console ]
**Untuk menetapkan LF-tag ke database atau tabel Data Catalog**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pengguna yang memenuhi persyaratan yang tercantum sebelumnya.
1. Di panel navigasi, di bawah **Katalog data**, lakukan salah satu hal berikut:
+ **Untuk menetapkan LF-tag ke database, pilih Database.**
+ **Untuk menetapkan LF-tag ke tabel, pilih Tabel.**
1. Pilih database atau tabel, dan pada menu **Tindakan**, pilih **Edit LF-tag**.
Kotak *resource-name* dialog **Edit LF-tag:** muncul.
Jika tabel mewarisi LF-tag dari database yang berisi, jendela menampilkan LF-tag yang diwarisi. Jika tidak, ini akan menampilkan teks “Tidak ada tag LF yang diwariskan yang terkait dengan sumber daya.”
![\[Gambar adalah tangkapan layar dari jendela dialog “Edit LF-tag: inventaris”. Di bagian atas adalah bidang “Kunci warisan” (redup) dan “Nilai”. Bidang kunci yang diwarisi memiliki nilai “level” dan bidang Nilai memiliki nilai “direktur (diwarisi)”. Di bawah bagian ini, disejajarkan secara horizontal, adalah bidang dan kontrol ini: bidang “Kunci yang ditugaskan”, bidang “Nilai”, dan tombol Hapus. Bidang Assigned keys berisi teks “module”. Bidang Nilai adalah daftar drop-down, dengan nilai “Pesanan”, “Penjualan”, dan “Pelanggan” (disorot). Tombol “Tetapkan tag LF baru” berada di bawah bidang Kunci yang Ditugaskan. Di kanan bawah jendela adalah tombol Batal dan Simpan.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/edit-policy-tags-for-tables-2.png)
1. (Opsional) Jika tabel mewarisi LF-tag, untuk daftar **Nilai** di samping bidang **Kunci yang diwarisi**, Anda dapat memilih nilai untuk mengganti nilai yang diwariskan.
1. Untuk menetapkan LF-tag baru, lakukan langkah-langkah ini:
1. Pilih **Tetapkan LF-Tag baru**.
1. Di bidang **Kunci yang ditugaskan**, pilih kunci LF-tag, dan di bidang **Nilai**, pilih nilai.
1. (Opsional) Pilih **Tetapkan tag LF baru lagi untuk menetapkan tag** LF tambahan.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
**Untuk menetapkan LF-tag ke sumber daya Katalog Data**
+ Jalankan perintah `add-lf-tags-to-resource`.
Contoh berikut menetapkan LF-tag `module=orders` ke tabel `orders` dalam database. `erp` Ini menggunakan sintaks pintasan untuk argumen. `--lf-tags` `CatalogID`Properti untuk `--lf-tags` adalah opsional. Jika tidak disediakan, ID katalog sumber daya (dalam hal ini, tabel) diasumsikan.
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"orders"}}' --lf-tags CatalogId=111122223333,TagKey=module,TagValues=orders
```
Berikut ini adalah output jika perintah berhasil.
```
{
"Failures": []
}
```
Contoh berikutnya ini menetapkan dua LF-tag ke `sales` tabel, dan menggunakan sintaks JSON untuk argumen. `--lf-tags`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"sales"}}' --lf-tags '[{"TagKey": "module","TagValues": ["sales"]},{"TagKey": "environment","TagValues": ["development"]}]'
```
Contoh berikutnya ini menetapkan LF-tag `level=director` ke `total` kolom tabel. `sales`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "TableWithColumns": {"DatabaseName":"erp", "Name":"sales", "ColumnNames":["total"]}}' --lf-tags TagKey=level,TagValues=director
```
------
## Memperbarui LF-tag untuk sumber daya
**Untuk memperbarui LF-tag untuk sumber daya Katalog Data ()AWS CLI**
+ Gunakan `add-lf-tags-to-resource` perintah, seperti yang dijelaskan dalam prosedur sebelumnya.
Menambahkan LF-tag dengan kunci yang sama dengan LF-tag yang ada, tetapi dengan nilai yang berbeda memperbarui nilai yang ada.
## Menghapus LF-tag dari sumber daya
**Untuk menghapus LF-tag untuk sumber daya Katalog Data ()AWS CLI**
+ Jalankan perintah `remove-lf-tags-from-resource`.
Jika tabel memiliki nilai LF-tag yang mengesampingkan nilai yang diwarisi dari database induk, menghapus LF-tag dari tabel mengembalikan nilai yang diwariskan. Perilaku ini juga berlaku untuk kolom yang mengesampingkan nilai kunci yang diwarisi dari tabel.
Contoh berikut menghapus LF-tag `level=director` dari `total` kolom tabel. `sales` `CatalogID`Properti untuk `--lf-tags` adalah opsional. Jika tidak disediakan, ID katalog sumber daya (dalam hal ini, tabel) diasumsikan.
```
aws lakeformation remove-lf-tags-from-resource
--resource ' { "TableWithColumns":
{ "DatabaseName": "erp", "Name": "sales", "ColumnNames":[ "total"]}}'
--lf-tags CatalogId=111122223333,TagKey=level,TagValues=director
```
# Melihat LF-tag yang ditetapkan ke sumber daya
Anda dapat melihat LF-tag yang ditetapkan ke sumber daya Katalog Data. Anda harus memiliki `DESCRIBE` atau `ASSOCIATE` izin pada LF-tag untuk melihatnya.
------
#### [ Console ]
**Untuk melihat LF-tag yang ditetapkan ke sumber daya (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator data lake, pemilik sumber daya, atau pengguna yang telah diberikan izin Lake Formation pada sumber daya.
1. Di panel navigasi, di bawah judul **Katalog data**, lakukan salah satu hal berikut:
+ **Untuk melihat LF-tag yang ditetapkan ke database, pilih Database.**
+ **Untuk melihat LF-tag yang ditetapkan ke tabel, pilih Tabel.**
1. Pada halaman **Tabel** atau **Database**, pilih nama database atau tabel. Kemudian pada halaman detail, gulir ke bawah ke bagian **LF-tag**.
Screenshot berikut menunjukkan LF-tag ditugaskan ke `customers` tabel, yang terkandung dalam database. `retail` `module`LF-tag diwarisi dari database. `credit_limit`Kolom memiliki `level=vp` LF-tag yang ditetapkan.
![\[Gambar adalah tangkapan layar dari bagian LF-tag pada halaman detail customers tabel. Bagian LF-tag berisi tabel dengan kolom berikut: Resource, Key, Value, dan Inherited from. Tabel memiliki 3 baris. Di atas tabel adalah bidang entri teks dengan teks placeholder “Temukan tag”, dan tombol Edit tag. Paragraf yang mendahului gambar menggambarkan nilai tabel yang ditunjukkan pada tangkapan layar.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tags-for-resource-2.png)
------
#### [ AWS CLI ]
**Untuk melihat LF-tag yang ditetapkan ke resource ()AWS CLI**
+ Masukkan perintah yang serupa dengan yang berikut ini.
```
aws lakeformation get-resource-lf-tags --show-assigned-lf-tags --resource '{ "Table": {"CatalogId":"111122223333", "DatabaseName":"erp", "Name":"sales"}}'
```
Perintah mengembalikan output berikut.
```
{
"TableTags": [
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"sales"
]
},
{
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"development"
]
}
],
"ColumnTags": [
{
"Name": "total",
"Tags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director"
]
}
]
}
]
}
```
Output ini hanya menampilkan LF-tag yang secara eksplisit ditetapkan, tidak diwariskan. Jika Anda ingin melihat semua LF-tag pada semua kolom, termasuk tag LF yang diwarisi, hilangkan opsi. `--show-assigned-lf-tags`
------
# Melihat sumber daya yang ditetapkan LF-tag
Anda dapat melihat semua sumber daya Katalog Data yang ditetapkan untuk kunci LF-tag tertentu. Untuk melakukannya, Anda memerlukan izin Lake Formation berikut:
+ `Describe`atau `Associate` pada LF-tag.
+ `Describe`atau izin Lake Formation lainnya pada sumber daya.
Selain itu, Anda memerlukan izin AWS Identity and Access Management (IAM) berikut:
+ `lakeformation:SearchDatabasesByLFTags`
+ `lakeformation:SearchTablesByLFTags`
------
#### [ Console ]
**Untuk melihat sumber daya yang ditetapkan LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator data lake atau sebagai pengguna yang memenuhi persyaratan yang tercantum sebelumnya.
1. **Di panel navigasi, di bawah Izin dan LF-tag dan **izin**, **pilih LF-tag**.**
1. Pilih tombol LF-tag (bukan tombol opsi di sebelah nama kunci).
Halaman detail LF-tag menampilkan daftar sumber daya yang telah ditetapkan oleh LF-tag.
![\[Gambar adalah tangkapan layar dari halaman detail LF-tag untuk tombol “modul”. Halaman detail LF-Tag memiliki dua bagian. Bagian atas menampilkan kunci dan nilai LF-tag. Bagian bawah menampilkan sumber daya yang terkait dengan LF-tag dalam tabel dengan kolom berikut: Kunci, Nilai, Jenis sumber daya, dan Sumber Daya. Tabel memiliki 12 baris, tetapi hanya 7 yang ditampilkan pada tangkapan layar. Baris tabel menunjukkan bahwa LF-tag ditugaskan ke database, dua tabel dalam database, dan dengan pewarisan, kolom tabel tersebut.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/resources-on-tags-2.png)
------
#### [ AWS CLI ]
**Untuk melihat sumber daya yang ditetapkan LF-tag**
+ Jalankan `search-databases-by-lf-tags` perintah `search-tables-by-lf-tags` atau.
**Example**
Contoh berikut mencantumkan tabel dan kolom yang memiliki `level=vp` LF-tag ditetapkan. Untuk setiap tabel dan kolom yang terdaftar, semua tag LF yang ditetapkan untuk tabel atau kolom adalah output, bukan hanya ekspresi pencarian.
```
aws lakeformation search-tables-by-lf-tags --expression TagKey=level,TagValues=vp
```
------
Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat [Referensi personas Lake Formation dan izin IAM](permissions-reference.md).
## Siklus hidup LF-tag
1. Pencipta LF-tag Michael menciptakan LF-tag. `module=Customers`
1. Michael memberikan LF-tag `Associate` kepada insinyur data Eduardo. Memberikan hibah `Associate` implisit. `Describe`
1. Michael memberikan `Super` di atas meja `Custs` kepada Eduardo dengan opsi hibah, sehingga Eduardo dapat menetapkan LF-tag ke meja. Untuk informasi selengkapnya, lihat [Menetapkan LF-tag ke sumber daya Katalog Data](TBAC-assigning-tags.md).
1. Eduardo memberikan LF-tag `module=customers` ke meja. `Custs`
1. Michael memberikan hibah berikut kepada insinyur data Sandra (dalam kode semu).
```
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
```
1. Sandra memberikan hibah berikut kepada analis data Maria.
```
GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria
```
Maria sekarang dapat menjalankan kueri di atas `Custs` meja.
**Lihat juga**
[Kontrol akses metadata](access-control-metadata.md)
## Perbandingan kontrol akses berbasis tag Lake Formation dengan kontrol akses berbasis atribut IAM
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut. Dalam AWS, atribut ini disebut *tag*. Anda dapat melampirkan tag ke sumber daya IAM, termasuk entitas IAM (pengguna atau peran) dan sumber daya. AWS Anda dapat membuat kebijakan ABAC tunggal atau set kecil kebijakan untuk penanggung jawab IAM Anda. Kebijakan ABAC ini dapat dirancang untuk memungkinkan operasi ketika tag penanggung jawab cocok dengan tag sumber daya. ABAC sangat membantu di lingkungan yang berkembang dengan cepat dan membantu dalam situasi ketika manajemen kebijakan menjadi rumit.
Tim keamanan dan tata kelola cloud menggunakan IAM untuk menentukan kebijakan akses dan izin keamanan untuk semua sumber daya termasuk bucket Amazon S3, instans Amazon EC2, dan sumber daya apa pun yang dapat Anda referensikan dengan ARN. Kebijakan IAM menentukan izin luas (berbutir kasar) ke sumber daya data lake Anda, misalnya, untuk mengizinkan atau menolak akses di bucket Amazon S3 atau tingkat awalan atau tingkat basis data. Untuk informasi lebih lanjut tentang IAM ABAC, lihat Untuk [apa ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS di *Panduan Pengguna IAM*.
Misalnya, Anda dapat membuat tiga peran dengan kunci tanda `project-access`. Mengatur nilai tanda dari peran pertama ke `Dev`, yang kedua ke `Marketing`, dan yang ketiga ke `Support`. Tetapkan tag dengan nilai yang sesuai untuk sumber daya. Anda kemudian dapat menggunakan kebijakan tunggal yang memungkinkan akses ketika peran dan sumber daya ditandai dengan nilai yang sama untuk `project-access`.
Tim tata kelola data menggunakan Lake Formation untuk menentukan izin berbutir halus ke sumber daya data lake tertentu. LF-tag ditetapkan ke sumber daya Katalog Data (database, tabel, dan kolom) dan diberikan kepada prinsipal. Prinsipal dengan LF-tag yang cocok dengan LF-tag sumber daya dapat mengakses sumber daya tersebut. Izin Lake Formation adalah sekunder dari izin IAM. Misalnya, jika izin IAM tidak mengizinkan pengguna mengakses data lake, Lake Formation tidak memberikan akses ke sumber daya apa pun di dalam data lake tersebut kepada pengguna tersebut, meskipun prinsipal dan sumber daya memiliki tag LF yang cocok.
Kontrol akses berbasis tag Lake Formation (LF-TBAC) bekerja dengan IAM ABAC untuk memberikan tingkat izin tambahan untuk data dan sumber daya Lake Formation Anda.
+ **Skala izin Lake Formation TBAC dengan inovasi.** Administrator idak perlu lagi memperbarui kebijakan yang ada untuk memungkinkan akses ke sumber daya baru. Misalnya, asumsikan bahwa Anda menggunakan strategi IAM ABAC dengan `project-access` tag untuk menyediakan akses ke database tertentu dalam Lake Formation. Menggunakan LF-TBAC, LF-tag `Project=SuperApp` ditetapkan ke tabel atau kolom tertentu, dan LF-tag yang sama diberikan kepada pengembang untuk proyek itu. Melalui IAM, pengembang dapat mengakses database, dan izin LF-TBAC memberikan pengembang akses lebih lanjut ke tabel atau kolom tertentu dalam tabel. Jika tabel baru ditambahkan ke proyek, administrator Lake Formation hanya perlu menetapkan tag ke tabel baru agar pengembang diberi akses ke tabel.
+ **Lake Formation TBAC membutuhkan lebih sedikit kebijakan IAM.** Karena Anda menggunakan kebijakan IAM untuk memberikan akses tingkat tinggi ke sumber daya Lake Formation dan Lake Formation TBAC untuk mengelola akses data yang lebih tepat, Anda membuat lebih sedikit kebijakan IAM.
+ **Menggunakan Lake Formation TBAC, tim dapat berubah dan tumbuh dengan cepat.** Ini karena izin untuk sumber daya baru secara otomatis diberikan berdasarkan atribut. Misalnya, jika pengembang baru bergabung dengan proyek, mudah untuk memberikan akses pengembang ini dengan mengaitkan peran IAM ke pengguna dan kemudian menetapkan LF-tag yang diperlukan kepada pengguna. Anda tidak perlu mengubah kebijakan IAM untuk mendukung proyek baru atau membuat LF-tag baru.
+ **Izin berbutir halus dimungkinkan menggunakan Lake Formation TBAC.** Kebijakan IAM memberikan akses ke sumber daya tingkat atas, seperti database atau tabel Katalog Data. Menggunakan **Lake Formation TBAC**, Anda dapat memberikan akses ke tabel atau kolom tertentu yang berisi nilai data tertentu.
**catatan**
Tag IAM tidak sama dengan LF-tag. Tag ini tidak dapat dipertukarkan. LF-tag digunakan untuk memberikan izin Lake Formation dan tag IAM digunakan untuk menentukan kebijakan IAM.
# Mengelola ekspresi LF-tag untuk kontrol akses metadata
Ekspresi LF-tag adalah ekspresi logis yang terdiri dari satu atau lebih LF-tag (pasangan kunci-nilai) yang digunakan untuk memberikan izin pada sumber daya. AWS Glue Data Catalog Ekspresi LF-tag memungkinkan Anda menentukan aturan yang mengatur akses ke sumber daya data Anda berdasarkan tag metadatanya. Anda dapat menyimpan ekspresi ini dan menggunakannya kembali di beberapa hibah izin, memastikan konsistensi dan membuatnya mudah untuk mengelola perubahan pada ontologi tag dari waktu ke waktu.
Dalam ekspresi LF-tag yang diberikan, kunci tag digabungkan menggunakan operasi AND, sedangkan nilai digabungkan menggunakan operasi OR. Misalnya, ekspresi tag `content_type:Sales AND location:US` mewakili sumber daya yang terkait dengan data penjualan di AS.
Anda dapat membuat hingga 1000 ekspresi LF-tag dalam file. Akun AWS Ekspresi ini menyediakan cara yang fleksibel dan terukur untuk mengelola izin berdasarkan tag metadata, memastikan bahwa hanya pengguna atau aplikasi yang berwenang yang dapat mengakses sumber daya data tertentu berdasarkan aturan tag yang ditentukan.
Ekspresi LF-tag menawarkan manfaat berikut:
+ **Reusability** — Dengan mendefinisikan dan menyimpan ekspresi LF-tag, Anda tidak perlu lagi mereplikasi ekspresi yang sama secara manual saat menetapkan izin ke sumber daya atau prinsipal lain.
+ **Konsistensi** — Menggunakan kembali ekspresi LF-tag di beberapa hibah izin memastikan konsistensi dalam cara izin diberikan dan dikelola.
+ **Manajemen ontologi tag** — Ekspresi LF-tag membantu mengelola perubahan pada ontologi tag dari waktu ke waktu, karena Anda dapat memperbarui ekspresi yang disimpan alih-alih memodifikasi hibah izin individual.
Untuk informasi lebih lanjut tentang kontrol akses berbasis tag, silakan merujuk ke. [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md)
**Pembuat ekspresi LF-tag**
Pembuat ekspresi LF-tag adalah prinsipal yang memiliki izin untuk membuat dan mengelola ekspresi LF-tag. Administrator data lake dapat menambahkan pembuat ekspresi LF-tag menggunakan konsol Lake Formation, CLI, API, atau SDK. Pembuat ekspresi LF-tag memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus ekspresi LF-tag, dan untuk memberikan izin ekspresi LF-tag ke prinsipal lain.
Pembuat ekspresi LF-tag yang bukan administrator data lake menerima `Grant with LF-Tag expression` izin implisit`Alter`,, `Drop``Describe`, dan hanya untuk ekspresi yang mereka buat.
Administrator data lake juga dapat memberikan izin yang dapat diberikan kepada pembuat ekspresi LF-tag. `Create LF-Tag expression` Kemudian, pembuat ekspresi LF-tag dapat memberikan izin untuk membuat ekspresi LF-tag ke prinsipal lain.
**Topics**
+ [Izin IAM diperlukan untuk membuat ekspresi LF-tag](#tag-expression-creator-permissions)
+ [Tambahkan pembuat ekspresi LF-tag](#add-lf-tag-expression-creator)
+ [Membuat ekspresi LF-tag](TBAC-creating-tag-expressions.md)
+ [Memperbarui ekspresi LF-tag](TBAC-updating-expressions.md)
+ [Menghapus ekspresi LF-tag](TBAC-deleting-expressions.md)
+ [Daftar ekspresi LF-tag](TBAC-listing-expressions.md)
**Lihat juga**
[Mengelola izin nilai LF-tag](TBAC-granting-tags.md)
[Memberikan izin data lake menggunakan metode LF-TBAC](granting-catalog-perms-TBAC.md)
[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md)
## Izin IAM diperlukan untuk membuat ekspresi LF-tag
Anda harus mengonfigurasi izin untuk mengizinkan prinsipal Lake Formation untuk membuat ekspresi LF-tag. Tambahkan pernyataan berikut ke kebijakan izin untuk prinsipal yang perlu menjadi pembuat ekspresi LF-tag.
**catatan**
Meskipun administrator data lake memiliki izin Lake Formation implisit untuk membuat, memperbarui, dan menghapus ekspresi LF-tag dan LF-tag, untuk menetapkan LF-tag ke sumber daya, dan untuk memberikan izin ekspresi LF-tag dan LF-tag kepada kepala sekolah, administrator data lake juga memerlukan izin IAM berikut.
Untuk informasi selengkapnya, lihat [Referensi personas Lake Formation dan izin IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
```
## Tambahkan pembuat ekspresi LF-tag
Pembuat ekspresi LF-tag dapat membuat dan menyimpan ekspresi LF-tag yang dapat digunakan kembali, memperbarui kunci dan nilai tag, menghapus ekspresi, dan memberikan izin pada sumber daya Katalog Data kepada prinsipal menggunakan metode LF-TBAC. Pembuat ekspresi LF-tag juga dapat memberikan izin ini kepada prinsipal.
Anda dapat membuat peran pembuat ekspresi LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ console ]
**Untuk menambahkan pembuat ekspresi LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator danau data.
1. Di panel navigasi, di bawah **Izin, pilih **LF-tag** dan izin**.
1. Pilih tab **ekspresi LF-tag**.
1. Di bagian **pembuat ekspresi LF-tag, pilih Tambahkan pembuat ekspresi** **LF-tag**.
![\[Form to add LF-Tag expression creators with Pengguna IAM selection and permissions.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)
1. Pada halaman **Tambah pembuat ekspresi LF-tag**, pilih peran IAM atau pengguna yang memiliki izin yang diperlukan untuk membuat ekspresi LF-tag.
1. Pilih kotak centang `Create LF-Tag expression` izin.
1. (Opsional) Untuk mengaktifkan prinsipal yang dipilih untuk memberikan `Create LF-Tag expression` izin kepada kepala sekolah, pilih Izin yang dapat diberikan. `Create LF-Tag expression`
1. Pilih **Tambahkan**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTagExpression"
],
"PermissionsWithGrantOption": [
"CreateLFTagExpression"
]
}
```
------
Peran pembuat ekspresi LF-tag mendapatkan kemampuan untuk membuat, memperbarui, atau menghapus ekspresi LF-tag.
| Izin | Deskripsi |
| --- | --- |
| Create | Seorang kepala sekolah dengan izin ini dapat menambahkan ekspresi LF-tag di danau data. |
| Drop | Prinsipal dengan izin ini pada ekspresi LF-tag dapat menghapus ekspresi LF-tag dari data lake. |
| Alter | Prinsipal dengan izin ini pada ekspresi LF-tag dapat memperbarui badan ekspresi ekspresi LF-tag. |
| Describe | Seorang prinsipal dengan izin ini pada ekspresi LF-tag dapat melihat isi ekspresi LF-tag. |
| Grant with LF-Tag expression | Izin ini memungkinkan penerima untuk menggunakan ekspresi tag sebagai sumber daya saat memberikan izin akses data atau metadata. Memberikan hibah Grant with LF-Tag expression implisit. Describe |
| Super | Untuk ekspresi LF-tag, Super izin memberikan kemampuan untukDescribe,, AlterDrop, dan memberikan izin pada ekspresi tag ke prinsipal lain. |
Izin ini dapat diberikan. Seorang kepala sekolah yang telah diberikan izin ini dengan opsi hibah dapat memberikannya kepada prinsipal lain.
# Membuat ekspresi LF-tag
Anda perlu menentukan semua LF-tag di Lake Formation, dan menetapkannya ke sumber daya Katalog Data sebelum dapat digunakan untuk membuat ekspresi. Ekspresi LF-tag terdiri dari satu kunci lagi dan satu atau lebih nilai yang mungkin untuk setiap kunci.
Setelah administrator data lake menyiapkan izin IAM yang diperlukan dan izin Lake Formation untuk peran pembuat ekspresi LF-tag, prinsipal dapat membuat ekspresi LF-tag yang dapat digunakan kembali. Pembuat ekspresi LF-tag mendapatkan izin implisit untuk memperbarui isi ekspresi, dan menghapus ekspresi LF-tag.
Anda dapat membuat ekspresi LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk membuat ekspresi LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai prinsipal dengan izin pembuat ekspresi LF-tag atau sebagai administrator danau data.
1. Di panel navigasi, di bawah **Izin**, pilih LF-tag** dan izin**.
1. Pilih ekspresi **LF-tag**. Halaman **Add LF-tag expression muncul**.
![\[Halaman memiliki bidang untuk menambahkan nama, deskripsi, dan drop-down untuk memilih isi ekspresi. Pengguna juga dapat memiliki opsi untuk memberikan izin.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/add-tag-expression.png)
1. Masukkan informasi berikut:
+ Nama — Masukkan nama unik untuk ekspresi. Anda tidak dapat memperbarui nama ekspresi.
+ Deskripsi - Berikan deskripsi opsional untuk ekspresi dengan detail ekspresi.
+ Ekspresi - Buat ekspresi dengan menentukan kunci tag dan nilai yang terkait. Anda dapat menambahkan hingga 50 kunci per ekspresi. Anda harus memiliki izin `Grant with LF-Tags` Lake Formation pada semua tag di badan ekspresi.
Setiap kunci harus memiliki setidaknya satu nilai. Untuk memasukkan beberapa nilai, masukkan daftar yang dibatasi koma lalu tekan **Enter, atau masukkan** satu nilai pada satu waktu dan pilih **Tambah** setelah masing-masing. Jumlah maksimum nilai yang diizinkan per kunci adalah 1000.
Lake Formation menggunakan AND/OR logika untuk menggabungkan beberapa kunci dan nilai dalam sebuah ekspresi. Dalam satu pasangan (kunci: daftar nilai), nilai-nilai digabungkan menggunakan operator OR logis. Misalnya, jika pasangannya (Departemen: [Penjualan, Pemasaran]), itu berarti tag cocok jika sumber daya memiliki tag Departemen dengan nilai Penjualan ATAU Pemasaran.
Ketika Anda menentukan beberapa kunci, kunci bergabung dengan operator dan logis. Jadi jika ekspresi lengkapnya adalah (Departemen: [Penjualan, Pemasaran]) DAN (Lokasi: [AS, Kanada]), itu cocok dengan sumber daya yang memiliki tag Departemen dengan nilai Penjualan ATAU Pemasaran, DAN juga memiliki tag Lokasi dengan nilai AS ATAU Kanada. Berikut ini adalah contoh lain dengan beberapa kunci dan nilai:
Ekspresi LF-tag: (ContentType : [Video, Audio]) DAN (Wilayah: [Eropa, Asia]) DAN (Departemen: [Teknik, ProductManagement]).
Ungkapan ini akan cocok dengan sumber daya yang memiliki: - ContentType Tag dengan nilai Video ATAU Audio DAN - Tag Wilayah dengan nilai Eropa ATAU Asia DAN - Tag Departemen dengan nilai Teknik OR ProductManagement.
Anda juga dapat menyimpan ekspresi tag saat memberikan izin data lake menggunakan LF-tag. Pilih pasangan kunci dan nilai dan pilih opsi **Simpan sebagai ekspresi baru**. Masukkan nama yang menggambarkan ekspresi.
![\[Halaman memiliki bidang untuk memilih badan ekspresi dan file untuk memasukkan nama.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/save-expression-grant.png)
1. (Opsional) Selanjutnya, pilih pengguna/peran, dan izin pada ekspresi yang ingin Anda berikan kepada mereka di akun. Anda juga dapat memilih izin yang dapat diberikan yang memungkinkan pengguna memberikan izin ini kepada pengguna lain di akun. Anda tidak dapat memberikan izin lintas akun pada ekspresi tag.
![\[Halaman menunjukkan bidang untuk memilih izin untuk diberikan kepada prinsipal lain.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-expression-permissions.png)
1. Pilih **Tambahkan**.
------
#### [ AWS CLI ]
**Untuk membuat ekspresi LF-tag**
+ Masukkan `create-lf-tag-expression` perintah.
Contoh berikut menciptakan ekspresi LF-tag dengan tag `Department` dengan nilai-nilai `Sales` dan`Marketing`, DAN tag `Location` dengan nilai. `US`
```
aws lakeformation create-lf-tag-expression \
-- name "my-tag-expression" \
-- catalog-id "123456789012" \
-- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
```
Perintah CLI ini menciptakan ekspresi LF-tag baru di. AWS Glue Data Catalog Ekspresi dapat digunakan memberikan izin untuk sumber daya Katalog Data seperti database, tabel, tampilan atau kolom berdasarkan tag yang terkait. Dalam contoh ini, ekspresi akan cocok dengan sumber daya yang memiliki `Department` kunci dengan nilai `Sales` atau`Marketing`, dan `Location` kunci dengan nilai`US`.
------
Sebagai pembuat ekspresi tag, prinsipal mendapat `Alter` izin pada ekspresi LF-tag ini dan dapat memperbarui atau menghapus ekspresi. Prinsipal pembuat ekspresi LF-tag juga dapat memberikan `Alter` izin kepada prinsipal lain untuk memperbarui dan menghapus ekspresi ini.
# Memperbarui ekspresi LF-tag
Hanya administrator data lake, pembuat ekspresi LF-tag, dan prinsipal yang memiliki `Alter` atau `Super` izin pada ekspresi LF-tag yang dapat memperbarui ekspresi LF-tag. Selain `Alter` izin, Anda juga memerlukan izin dan `Grant with LF-Tag` izin `lakeformation:UpdateLFTagExpression` IAM pada semua nilai kunci yang mendasari pada badan ekspresi baru untuk memperbarui ekspresi.
Anda memperbarui ekspresi LF-tag dengan memperbarui deskripsi, isi ekspresi, dan izin yang diberikan pada ekspresi. Anda tidak dapat mengubah nama ekspresi LF-tag. Untuk mengubah nama, hapus ekspresi LF-tag dan tambahkan satu dengan parameter yang diperlukan.
Anda dapat memperbarui ekspresi LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk memperbarui ekspresi LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator data lake, pembuat LF-tag, atau kepala sekolah dengan `Alter` izin pada LF-tag.
1. Di panel navigasi, di bawah izin, pilih **LF-tag** dan izin.
1. Pilih tab **ekspresi LF-tag**.
1. **Pada bagian **ekspresi LF-tag, pilih ekspresi** LF-tag, lalu pilih Edit.**
1. Dalam kotak dialog **Edit LF-tag expression**, perbarui deskripsi dan perbarui isi ekspresi dengan menambahkan atau menghapus kunci dan nilai.
Untuk menambahkan beberapa nilai, di bidang **Nilai**, pilih nilai dari drop-down.
1. Pilih **Simpan**.
------
#### [ AWS CLI ]
update-lf-tag-expressionPerintah di Lake Formation memungkinkan Anda memperbarui ekspresi LF-tag yang ada.
```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```
Inilah arti parameter dalam perintah yang disediakan:
+ name — Nama ekspresi tag bernama yang ada yang ingin Anda perbarui.
+ deskripsi — Deskripsi baru untuk ekspresi.
catalog-id — ID Katalog Data tempat ekspresi tag bernama berada.
+ expression - String ekspresi tag baru yang ingin Anda perbarui ekspresi dengan.
------
# Menghapus ekspresi LF-tag
Anda dapat menghapus ekspresi LF-tag yang tidak lagi digunakan. Jika Anda telah memberikan izin kepada prinsipal pada sumber daya Katalog Data menggunakan ekspresi LF-tag, mereka tidak akan lagi memiliki izin.
Hanya administrator data lake, pembuat ekspresi LF-tag, atau prinsipal dengan `Drop` izin pada ekspresi LF-tag yang dapat menghapus ekspresi LF-tag. Selain `Drop` izin, kepala sekolah juga memerlukan izin `lakeformation:DeleteLFTagExpression` IAM untuk menghapus ekspresi LF-tag.
Anda dapat menghapus ekspresi LF-tag dengan menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk menghapus ekspresi LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai administrator data lake, pembuat ekspresi LF-tag, atau prinsipal yang memiliki izin untuk menghapus ekspresi.
1. Di panel navigasi, di bawah **Izin, pilih **LF-tag** dan izin**.
1. Pilih tab **ekspresi LF-tag**.
1. **Pada bagian **ekspresi LF-tag, pilih ekspresi** LF-tag, lalu pilih Hapus.**
1. Dalam ekspresi **Delete LF-tag?** **kotak dialog, untuk mengonfirmasi penghapusan, masukkan nama ekspresi LF-tag di bidang yang ditunjuk dan kemudian pilih Hapus.**
------
#### [ AWS CLI ]
**Untuk menghapus LF-tag ()AWS CLI**
+ Masukkan `delete-lf-tag-expression` perintah. Berikan nama ekspresi dan ID katalog untuk dihapus.
**Example**
Contoh berikut menghapus ekspresi LF-tag dengan nama `my-tag-expression` dari Katalog Data dengan ID. `123456789012` `catalog-id`Parameter ini opsional jika Anda menggunakan akun yang sama dengan AWS CLI konfigurasi Anda. Setelah menghapus ekspresi LF-tag, Lake Formation membersihkan catatan izin terkait untuk ekspresi tersebut. Ini termasuk catatan izin individu dan catatan izin agregat yang berisi ekspresi yang dihapus.
```
aws lakeformation delete-lf-tag-expression \
--name "my-tag-expression" \
--catalog-id "123456789012"
```
------
# Daftar ekspresi LF-tag
Anda dapat mencantumkan ekspresi LF-tag tempat Anda memiliki izin Deskripsikan. Administrator data lake, pembuat ekspresi LF-tag, dan administrator Read-only secara implisit dapat melihat semua ekspresi tag di akun mereka.
Anda dapat mencantumkan ekspresi LF-tag menggunakan AWS Lake Formation konsol, API, atau AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Untuk mencantumkan ekspresi LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pembuat ekspresi LF-tag, sebagai administrator data lake, atau sebagai prinsipal yang telah diberikan izin pada ekspresi LF-tag dan yang memiliki izin IAM. `lakeformation:ListLFTagExpressions`
1. Di panel navigasi, di bawah Izin, ****LF-tag**, dan izin**.
1. Pilih tab **ekspresi LF-tag** untuk melihat ekspresi. Bagian ini menampilkan informasi tentang ekspresi LF-tag yang ada, termasuk nama ekspresi, ekspresi itu sendiri dengan tautan ke tag yang disertakan, dan opsi untuk membuat, mengedit, atau menghapus ekspresi.
------
#### [ AWS CLI ]
**Untuk daftar LF-tag ()AWS CLI**
+ Untuk membuat daftar ekspresi LF-tag menggunakan AWS CLI, Anda dapat menggunakan perintah. list-lf-tag-expressions Sintaks permintaan adalah:
```
aws lakeformation list-lf-tag-expressions \
-- catalog-id "123456789012" \
-- max-items "100" \
-- next-token "next-token"
```
Di mana:
+ `catalog-id`adalah ID AWS akun Katalog Data yang ingin Anda cantumkan ekspresi tag.
+ `max-items`menentukan jumlah maksimum ekspresi tag untuk kembali. Jika parameter ini tidak digunakan, nilai default adalah 100.
+ `next-token`adalah token kelanjutan jika hasilnya terpotong dalam permintaan sebelumnya.
Respons akan mencakup daftar ekspresi LF-tag dan token berikutnya jika berlaku.
------
# Mengelola izin nilai LF-tag
Anda dapat memberikan`Drop`, `Alter` izin pada LF-tag kepada prinsipal untuk mengelola ekspresi nilai LF-tag. Anda juga dapat memberikan`Describe`,`Associate`, dan `Grant with LF-Tag expressions` izin pada LF-tag kepada prinsipal untuk melihat LF-tag dan menetapkannya ke sumber daya Katalog Data (database, tabel, dan kolom). Saat LF-tag ditetapkan ke sumber daya Katalog Data, Anda dapat menggunakan metode kontrol akses berbasis tag Lake Formation (LF-TBAC) untuk mengamankan sumber daya tersebut. Untuk informasi selengkapnya, lihat [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).
Anda dapat memberikan izin ini dengan opsi hibah sehingga kepala sekolah lain dapat memberikannya. `Associate`Izin `Grant with LF-Tag expressions``Describe`,, dan dijelaskan dalam[Tambahkan pembuat LF-tag](TBAC-adding-tag-creator.md#add-lf-tag-creator).
Anda dapat memberikan `Associate` izin `Describe` dan pada LF-tag ke akun eksternal. AWS Administrator data lake di akun tersebut kemudian dapat memberikan izin tersebut kepada prinsipal lain di akun tersebut. Prinsipal kepada siapa administrator data lake di akun eksternal memberikan `Associate` izin kemudian dapat menetapkan LF-tag ke sumber daya Katalog Data yang Anda bagikan dengan akun mereka.
Saat memberikan ke akun eksternal, Anda harus menyertakan opsi hibah.
Anda dapat memberikan izin pada LF-tag menggunakan konsol Lake Formation, API, atau (). AWS Command Line Interface AWS CLI
**Topics**
+ [Mencantumkan izin LF-tag menggunakan konsol](TBAC-listing-tag-perms-console.md)
+ [Memberikan izin LF-tag menggunakan konsol](TBAC-granting-tags-console.md)
+ [Mengelola izin LF-tag menggunakan AWS CLI](TBAC-granting-revoking-tags-cli.md)
Untuk informasi lebih lanjut, lihat [Mengelola LF-tag untuk kontrol akses metadata](managing-tags.md) dan [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).
# Mencantumkan izin LF-tag menggunakan konsol
Anda dapat menggunakan konsol Lake Formation untuk melihat izin yang diberikan pada LF-tag. Anda harus menjadi pembuat LF-tag, administrator data lake, atau memiliki `Describe` atau `Associate` izin pada LF-tag untuk melihatnya.
**Untuk mencantumkan izin LF-tag (konsol)**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pembuat LF-tag, administrator data lake, atau sebagai pengguna yang kepadanya`Drop`, `Alter``Associate`, atau `Describe` izin pada LF-tag telah diberikan.
1. **Di panel navigasi, di bawah **Izin, pilih LF-tag dan izin****, dan pilih bagian izin** LF-tag.**
Bagian **izin LF-tag** menunjukkan tabel yang berisi prinsipal, kunci tag, nilai, dan izin.
![\[Halaman ini menyertakan tabel izin dengan kolom berikut: Principal, Jenis utama, Kunci, Nilai, Izin, dan Dapat Diberikan. Ada lima baris. Di sebelah kiri setiap baris adalah tombol radio. Di atas tabel adalah bidang pencarian dan tombol-tombol ini: Refresh, View, Revoke, dan Grant. Karena tidak ada baris yang awalnya dipilih, tombol View dan Revoke dinonaktifkan. Nilai di baris pertama adalah: principal=arn:aws:iam: :111122223333:user/datalake_admin principal=arn:1111222333:user/datalake_admin, Principal type=IAM user, keys=Environment, Values=All values, Permissions=Description, Grantable=Description.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/list-tag-permissions-page.png)
# Memberikan izin LF-tag menggunakan konsol
Langkah-langkah berikut menjelaskan cara memberikan izin pada LF-tag dengan menggunakan halaman izin **Grant LF-tag di konsol Lake Formation**. Halaman ini dibagi menjadi beberapa bagian ini:
+ **Jenis izin** — Jenis izin untuk diberikan.
+ **Prinsipal** — Pengguna atau peran IAM, atau pengguna atau peran SALL untuk memberikan izin kepada.
+ Izin **izin pasangan nilai kunci LF-tag — Pasangan nilai kunci** LF-tag untuk memberikan izin pada.
+ Izin **LF-tag - LF-tag untuk memberikan izin** pada.
+ **Izin izin ekspresi LF-tag** - LF-tag untuk memberikan izin pada.
+ **Izin** — Izin untuk diberikan.
## Buka halaman **izin Grant LF-tag**
1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Masuk sebagai pembuat LF-tag, administrator data lake, atau sebagai pengguna izin LF-tag atau izin pasangan nilai kunci LF-tag pada LF-tag telah diberikan dengan opsi. `Grant`
1. **Di panel navigasi, pilih **LF-tag dan izin, pilih bagian izin** LF-tag.**
1. Pilih **Berikan izin**.
## Tentukan jenis izin
Di bagian **Jenis izin**, pilih jenis izin.
Izin LF-tag
Pilih **izin LF-tag** untuk mengizinkan prinsipal memperbarui nilai LF-tag atau menghapus LF-tag.
Izin pasangan nilai kunci LF-tag
Pilih **izin pasangan nilai kunci LF-tag** untuk mengizinkan prinsipal menetapkan LF-tag ke sumber daya Katalog Data, melihat LF-tag dan nilai, dan memberikan izin berbasis LF-tag pada sumber daya Katalog Data kepada prinsipal.
Opsi yang tersedia di bagian berikut bergantung pada **jenis Izin**.
Izin ekspresi LF-tag
Pilih **izin ekspresi LF-tag** untuk mengizinkan prinsipal memperbarui ekspresi atau menghapus ekspresi.
## Tentukan prinsipal
**catatan**
Anda tidak dapat memberikan izin LF-tag (`Alter`dan`Drop`) ke akun eksternal atau prinsipal di akun lain.
Di bagian **Prinsipal**, pilih jenis utama dan tentukan prinsipal untuk memberikan izin.
![\[Bagian prinsipal berisi tiga ubin yang diberi nama dalam teks berikut. Setiap ubin berisi tombol opsi dan teks. Pengguna IAM dan ubin peran dipilih, dan daftar dropdown pengguna dan peran IAM berada di bawah ubin.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-tags-principals-section.png)
**Pengguna dan peran IAM**
Pilih satu atau beberapa pengguna atau peran dari daftar **pengguna dan peran IAM**.
**Pengguna dan grup SAFL**
Untuk **pengguna dan grup SAFL dan Cepat**, masukkan satu atau beberapa Nama Sumber Daya Amazon (ARNs) untuk pengguna atau grup yang digabungkan melalui SALL, atau ARNs untuk pengguna atau grup Cepat. Tekan **Enter** setelah setiap ARN.
Untuk informasi tentang cara membangun ARNs, lihat[Lake Formation memberikan dan mencabut perintah AWS CLI](lf-permissions-reference.md#perm-command-format).
Integrasi Lake Formation dengan Quick didukung hanya untuk Quick Enterprise Edition.
**Akun eksternal**
Untuk **AWS akun**, masukkan satu atau lebih AWS akun yang valid IDs. Tekan **Enter** setelah setiap ID.
ID organisasi terdiri dari “o-” diikuti oleh 10 hingga 32 huruf kecil atau digit.
ID unit organisasi dimulai dengan “ou-” diikuti oleh 4 hingga 32 huruf kecil atau digit (ID dari root yang berisi OU). String ini diikuti oleh tanda hubung “-” kedua dan 8 hingga 32 huruf kecil atau digit tambahan.
Untuk kepala sekolah IAM, masukkan ARN untuk pengguna atau peran IAM.
## Tentukan LF-tag
Untuk memberikan izin pada LF-tag, di bagian izin **LF-tag, tentukan LF-tag untuk memberikan izin** pada.
![\[Bagian LF-tag menunjukkan dua baris bidang, di mana setiap baris, dari kiri ke kanan, memiliki bidang Kunci, bidang Nilai, dan tombol Hapus. Bidang Nilai adalah daftar drop-down. Di bawah dua baris bidang adalah tombol Add LF-tag. Baris pertama menunjukkan “modul” di bidang Kunci, dan di bawah bidang Nilai adalah dua ubin kecil yang masing-masing berisi Pesanan dan Penjualan, yang menunjukkan bahwa penggunaan telah memilih Pesanan dan Penjualan sebagai nilai untuk modul kunci. Setiap ubin memiliki X yang dapat Anda klik (seperti kotak tutup) untuk menghapus ubin. Baris kedua jika bidang kosong.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)
+ Pilih satu atau lebih LF-tag menggunakan drop-down.
## Tentukan pasangan nilai kunci LF-tag
1. Untuk memberikan izin pada pasangan nilai kunci LF-tag, (Anda harus terlebih dahulu memilih memilih **izin pasangan nilai kunci LF-tag sebagai tipe** **Izin) pilih Tambahkan pasangan nilai kunci** **LF-tag untuk mengungkapkan baris pertama bidang untuk menentukan kunci dan nilai LF-tag**.
![\[Interface for adding LF-Tag key-value pairs and setting associated permissions.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tag-key-value-pair.png)
1. Posisikan kursor di bidang **Kunci**, secara opsional mulai mengetik untuk mempersempit daftar pilihan, dan pilih tombol LF-tag.
1. Dalam daftar **Nilai**, pilih satu atau beberapa nilai, lalu tekan **Tab** atau klik atau ketuk di luar bidang untuk menyimpan nilai yang dipilih.
**catatan**
Jika salah satu baris dalam daftar **Nilai** memiliki fokus, menekan **Enter** memilih atau menghapus kotak centang.
Nilai yang dipilih muncul sebagai ubin di bawah daftar **Nilai**. Pilih ✖ untuk menghapus nilai. Pilih **Hapus** untuk menghapus seluruh LF-tag.
1. Untuk menambahkan LF-tag lain, pilih **Add LF-tag** lagi, dan ulangi dua langkah sebelumnya.
## Tentukan ekspresi LF-tag
1. **Untuk memberikan izin pada ekspresi LF-tag, (Anda harus memilih terlebih dahulu memilih **izin ekspresi LF-tag** sebagai jenis Izin).**
![\[Permission type selection interface with LF-Tag expression permissions highlighted.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tag-expression.png)
1. Pilih ekspresi LF-tag.
1. Ekspresi yang dipilih muncul sebagai ubin di bawah daftar **ekspresi LF-tag**. Pilih ✖ untuk menghapus ekspresi.
1. Untuk menambahkan ekspresi LF-tag lain, pilih ekspresi lain.
## Tentukan izin
Bagian ini menunjukkan izin **LF-tag atau izin** **nilai LF-tag** berdasarkan **jenis Izin yang Anda pilih pada langkah sebelumnya**.
Bergantung pada **jenis Izin yang Anda pilih untuk diberikan, pilih izin** **LF-tag atau izin pasangan** **nilai kunci LF-tag**, dan izin yang dapat diberikan.
1. Di bawah izin **LF-tag, pilih izin** yang akan diberikan.
**Memberikan **Drop and** **Alter** secara implisit memberikan Deskripsikan.**
Anda harus memberikan izin **Alter** dan **Drop** pada semua nilai tag.
1. Di bawah izin **nilai nilai kunci LT-tag, pilih izin** yang akan diberikan.
**Pemberian **Associate** secara implisit memberikan Jelaskan.** Pilih **Hibah dengan ekspresi LF-tag** untuk memungkinkan penerima hibah memberikan atau mencabut izin akses pada sumber daya Katalog Data menggunakan metode LF-TBAC.
1. Di bawah izin **ekspresi LF-tag, pilih izin** yang akan diberikan.
**Memberikan **Drop and** **Alter** secara implisit memberikan Deskripsikan.**
Memberikan izin **Super**, memberikan semua izin yang tersedia.
1. (Opsional) Di bawah **Izin yang Dapat Diberikan**, pilih izin yang dapat diberikan oleh penerima hibah kepada prinsipal lain di akun mereka. AWS
1. Pilih**Izin**.
# Mengelola izin LF-tag menggunakan AWS CLI
Anda dapat memberikan, mencabut, dan mencantumkan izin pada LF-tag dengan menggunakan (). AWS Command Line Interface AWS CLI
**Untuk mencantumkan izin LF-tag ()AWS CLI**
+ Masukkan `list-permissions` perintah. Anda harus menjadi pembuat LF-tag, administrator data lake, atau memiliki`Drop`,, `Alter` `Describe``Associate`, `Grant with LF-Tag permissions` izin pada LF-tag untuk melihatnya.
Perintah berikut meminta semua LF-tag yang Anda memiliki izin.
```
aws lakeformation list-permissions --resource-type LF_TAG
```
Berikut ini adalah contoh output untuk administrator data lake, yang melihat semua LF-tag diberikan kepada semua prinsipal. Pengguna non-administratif hanya melihat LF-tag yang diberikan kepada mereka. Izin LF-tag yang diberikan dari akun eksternal muncul di halaman hasil terpisah. Untuk melihatnya, ulangi perintah dan berikan `--next-token` argumen dengan token yang dikembalikan dari perintah run sebelumnya.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"*"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": [
"ASSOCIATE"
]
},
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"DESCRIBE"
],
"PermissionsWithGrantOption": []
},
...
],
"NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}
```
Anda dapat membuat daftar semua hibah untuk kunci LF-tag tertentu. Perintah berikut mengembalikan semua izin yang diberikan pada `module` LF-tag.
```
aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Anda juga dapat mencantumkan nilai LF-tag yang diberikan kepada prinsipal tertentu untuk LF-tag tertentu. Saat memberikan `--principal` argumen, Anda harus memberikan `--resource` argumen. Oleh karena itu, perintah hanya dapat secara efektif meminta nilai yang diberikan kepada prinsipal tertentu untuk kunci LF-tag tertentu. Perintah berikut menunjukkan bagaimana melakukan ini untuk prinsipal `datalake_user1` dan kunci LF-tag. `module`
```
aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Berikut ini adalah contoh output-nya.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": []
}
]
}
```
**Untuk memberikan izin pada LF-tag ()AWS CLI**
1. Masukkan perintah yang serupa dengan yang berikut ini. Contoh ini memberikan `Associate` izin kepada pengguna `datalake_user1` pada LF-tag dengan kunci. `module` Ini memberikan izin untuk melihat dan menetapkan semua nilai untuk kunci itu, seperti yang ditunjukkan oleh tanda bintang (\$1).
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Pemberian `Associate` izin secara implisit memberikan izin. `Describe`
Contoh berikutnya memberikan `Associate` ke AWS akun eksternal 1234-5678-9012 pada LF-tag dengan kunci, dengan opsi hibah. `module` Ini memberikan izin untuk melihat dan menetapkan hanya nilai dan. `sales` `orders`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. Pemberian `GrantWithLFTagExpression` izin secara implisit memberikan izin. `Describe`
Contoh berikutnya memberikan `GrantWithLFTagExpression` kepada pengguna pada LF-tag dengan kunci`module`, dengan opsi hibah. Ini memberikan izin untuk melihat dan memberikan izin pada sumber daya Katalog Data hanya menggunakan nilai dan. `sales` `orders`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. Contoh berikutnya memberikan `Drop` izin kepada pengguna pada LF-tag dengan kunci`module`, dengan opsi hibah. Ini memberikan izin untuk menghapus LF-tag. Untuk menghapus LF-tag, Anda memerlukan izin pada semua nilai untuk kunci itu.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
1. Contoh berikutnya memberikan `Alter` izin kepada pengguna pada LF-tag dengan kunci`module`, dengan opsi hibah. Ini memberikan izin untuk menghapus LF-tag. Untuk memperbarui LF-tag, Anda memerlukan izin pada semua nilai untuk kunci tersebut.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
**Untuk mencabut izin pada LF-tag ()AWS CLI**
+ Masukkan perintah yang serupa dengan yang berikut ini. Contoh ini mencabut `Associate` izin pada LF-tag dengan kunci `module` dari pengguna. `datalake_user1`
```
aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```