Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Apa itu AWS Lake Formation?
Selamat datang di Panduan AWS Lake Formation Pengembang.
AWS Lake Formation membantu Anda mengatur secara terpusat, mengamankan, dan berbagi data secara global untuk analitik dan pembelajaran mesin. Dengan Lake Formation, Anda dapat mengelola kontrol akses berbutir halus untuk data lake data Anda di Amazon Simple Storage Service (Amazon S3) dan metadatanya di. AWS Glue Data Catalog
Lake Formation menyediakan model izinnya sendiri yang menambah model izin IAM. Model izin Lake Formation memungkinkan akses halus ke data yang disimpan di danau data serta sumber data eksternal seperti gudang data Amazon Redshift, Amazon DynamoDB database, dan sumber data pihak ketiga melalui mekanisme hibah atau pencabutan sederhana, seperti sistem manajemen basis data relasional (RDBMS). Izin Lake Formation diberlakukan menggunakan kontrol granular di tingkat kolom, baris, dan sel di seluruh layanan AWS analitik dan pembelajaran mesin, termasuk Amazon Athena, Amazon Amazon Quick Redshift Spectrum, Amazon EMR, dan. AWS Glue
Dengan mode akses hibrida Lake Formation untuk AWS Glue Data Catalog (Katalog Data), Anda dapat mengamankan dan mengakses data yang dikatalogkan menggunakan izin Lake Formation dan kebijakan izin IAM untuk Amazon S3 dan tindakan. AWS Glue Dengan mode akses hybrid, administrator data dapat memasukkan izin Lake Formation secara selektif dan bertahap, dengan fokus pada satu kasus penggunaan data lake pada satu waktu.
Lake Formation juga memungkinkan Anda untuk berbagi data secara internal dan eksternal di beberapa AWS organisasi Akun AWS, atau langsung dengan prinsipal IAM di akun lain yang menyediakan akses halus ke metadata Katalog Data dan data yang mendasarinya.
**Topics**
+ [Fitur Lake Formation](#lake-formation-features)
+ [AWS Lake Formation: Cara kerjanya](how-it-works.md)
+ [Komponen Lake Formation](how-it-works-components.md)
+ [Terminologi Lake Formation](how-it-works-terminology.md)
+ [AWS integrasi layanan dengan Lake Formation](service-integrations.md)
+ [Sumber daya Lake Formation tambahan](additional-resources.md)
+ [Memulai dengan Lake Formation](#what-is-lake-formation-start)
## Fitur Lake Formation
Lake Formation membantu Anda memecah silo data dan menggabungkan berbagai jenis data terstruktur dan tidak terstruktur ke dalam repositori terpusat. Pertama, identifikasi penyimpanan data yang ada di Amazon S3 atau database relasional dan NoSQL, dan pindahkan data ke data lake Anda. Kemudian crawl, katalog, dan siapkan data untuk analitik. Selanjutnya, berikan pengguna Anda akses layanan mandiri yang aman ke data melalui pilihan layanan analitik mereka.
Anda dapat menggunakan konsol Lake Formation untuk membuat katalog federasi multi-level di Katalog Data, dan menyatukan data di seluruh danau data Amazon S3 dan gudang data Amazon Redshift. Anda juga dapat mengintegrasikan data dari database operasional Anda seperti Amazon DynamoDB, dan sumber data pihak ketiga seperti Google BigQuery, MySQL, dan lainnya. Katalog Data menyediakan repositori metadata terpusat yang membuat pengelolaan dan penemuan data di seluruh sistem yang berbeda menjadi lebih mudah.
Untuk informasi selengkapnya, lihat [Membawa data Anda ke AWS Glue Data Catalog](bring-your-data-overview.md).
**Topics**
+ [Konsumsi dan manajemen data](#features-general)
+ [Manajemen keamanan](#Security-management)
+ [Membawa data Anda ke dalam Katalog Data](#data-sharing)
### Konsumsi dan manajemen data
**Impor data dari database yang sudah ada AWS**
Setelah Anda menentukan di mana basis data yang ada dan memberikan kredensil akses Anda, Lake Formation membaca data dan metadatanya (skema) untuk memahami isi sumber data. Kemudian mengimpor data ke danau data baru Anda dan mencatat metadata dalam katalog pusat. Dengan Lake Formation, Anda dapat mengimpor data dari MySQL, PostgreSQL, SQL Server, MariaDB, dan database Oracle yang berjalan di Amazon RDS atau dihosting di Amazon EC2. Pemuatan data massal dan tambahan didukung.
**Impor data dari sumber eksternal lainnya**
Anda dapat menggunakan Lake Formation untuk memindahkan data dari database lokal dengan menghubungkan dengan Java Database Connectivity (JDBC). Identifikasi sumber target Anda dan berikan kredensil akses di konsol, dan Lake Formation membaca dan memuat data Anda ke dalam data lake. Untuk mengimpor data dari database selain yang tercantum di atas, Anda dapat membuat pekerjaan ETL khusus dengan. AWS Glue
**Katalog dan beri label data Anda**
Anda dapat menggunakan AWS Glue crawler untuk membaca data Anda di Amazon S3 dan mengekstrak skema database dan tabel serta menyimpan data tersebut dalam Katalog Data yang dapat dicari. Kemudian, gunakan Lake Formation [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md) (TBAC) untuk mengelola izin pada database, tabel, dan kolom. Untuk informasi selengkapnya tentang menambahkan tabel ke Katalog Data, lihat[Membuat objek di AWS Glue Data Catalog](populating-catalog.md).
### Manajemen keamanan
**Tentukan dan kelola kontrol akses**
Lake Formation menyediakan satu tempat untuk mengelola kontrol akses data di danau data Anda. Anda dapat menentukan kebijakan keamanan yang membatasi akses ke data di tingkat database, tabel, kolom, baris, dan sel. Kebijakan ini berlaku untuk pengguna dan peran IAM, dan untuk pengguna dan grup saat melakukan federasi melalui penyedia identitas eksternal. Anda dapat menggunakan kontrol berbutir halus untuk mengakses data yang diamankan oleh Lake Formation dalam Amazon Redshift Spectrum, Athena, ETL AWS Glue , dan Amazon EMR untuk Apache Spark. Setiap kali Anda membuat identitas IAM, pastikan untuk mengikuti praktik terbaik IAM. Untuk informasi selengkapnya, lihat [Praktik terbaik keamanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) di Panduan Pengguna IAM.
**Mode akses hibrida**
Mode akses hibrida Lake Formation memberikan fleksibilitas untuk mengaktifkan izin Lake Formation secara selektif untuk database dan tabel di Katalog Data Anda. Dengan mode akses hybrid, Anda sekarang memiliki jalur tambahan yang memungkinkan Anda mengatur izin Lake Formation untuk kumpulan pengguna tertentu tanpa mengganggu kebijakan izin pengguna atau beban kerja lain yang ada. Untuk informasi selengkapnya, lihat [Mode akses hibrid](hybrid-access-mode.md).
**Melaksanakan pencatatan audit**
Lake Formation menyediakan log audit komprehensif CloudTrail untuk memantau akses dan menunjukkan kepatuhan terhadap kebijakan yang ditetapkan secara terpusat. Anda dapat mengaudit riwayat akses data di seluruh layanan analitik dan pembelajaran mesin yang membaca data di danau data Anda melalui Lake Formation. Ini memungkinkan Anda melihat pengguna atau peran mana yang telah mencoba mengakses data apa, dengan layanan mana, dan kapan. Anda dapat mengakses log audit dengan cara yang sama Anda mengakses CloudTrail log lain menggunakan CloudTrail APIs dan konsol. Untuk informasi selengkapnya tentang CloudTrail log, lihat[Pencatatan panggilan API AWS Lake Formation menggunakan AWS CloudTrail](logging-using-cloudtrail.md).
**Keamanan baris dan tingkat sel**
Lake Formation menyediakan filter data yang memungkinkan Anda membatasi akses ke kombinasi kolom dan baris. Gunakan keamanan baris dan tingkat sel untuk melindungi data sensitif seperti Informasi Identifikasi Pribadi (PII). Untuk informasi selengkapnya tentang keamanan tingkat baris, lihat. [Pemfilteran data dan keamanan tingkat sel di Lake Formation](data-filtering.md)
**Kontrol akses berbasis tanda**
Gunakan [kontrol akses berbasis atribut](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) Lake Formation untuk mengelola ratusan atau bahkan ribuan izin data dengan membuat label khusus yang disebut LF-tag. Anda sekarang dapat menentukan LF-tag dan melampirkannya ke database, tabel, atau kolom. Kemudian, bagikan akses terkontrol di seluruh layanan analitik, pembelajaran mesin (ML), dan ekstrak, transformasi, dan muat (ETL) untuk konsumsi. LF-tag memastikan bahwa tata kelola data dapat diskalakan dengan mudah dengan mengganti definisi kebijakan dari ribuan sumber daya dengan beberapa tag logis. Lake Formation menyediakan pencarian berbasis teks melalui metadata ini, sehingga pengguna Anda dapat dengan cepat menemukan data yang perlu mereka analisis.
**Kontrol Akses Berbasis Atribut**
Gunakan [kontrol akses berbasis atribut untuk memberikan akses](https://docs.aws.amazon.com/lake-formation/latest/dg/attribute-based-access-control.html) pada objek Katalog Data. Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. AWS memanggil tag atribut ini. Anda dapat menggunakan ABAC untuk memberikan akses ke prinsipal dalam akun yang sama atau di akun lain pada sumber daya Katalog Data. Setiap prinsipal IAM dengan tag IAM yang cocok atau kunci tag sesi dan nilai mendapatkan akses ke sumber daya. Anda harus memiliki izin yang dapat diberikan pada sumber daya untuk membuat hibah ini.
**Akses lintas akun**
Kemampuan manajemen izin Lake Formation menyederhanakan pengamanan dan pengelolaan data lake terdistribusi di beberapa AWS akun melalui pendekatan terpusat, menyediakan kontrol akses berbutir halus ke Katalog Data dan lokasi Amazon S3. Untuk informasi selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).
### Membawa data Anda ke dalam Katalog Data
Kemampuan federasi memungkinkan Anda membuat katalog federasi dan mengatur izin pada kumpulan data yang disimpan dalam sumber data yang berbeda seperti Amazon Redshift tanpa memigrasikan data atau metadata ke Amazon S3 atau. AWS Glue Data Catalog Anda dapat menggunakan metode berikut untuk membawa data dan mengelola izin pada kumpulan data eksternal di Lake Formation:
Untuk informasi selengkapnya, lihat [Membawa data Anda ke dalam AWS Glue Data Catalog](https://docs.aws.amazon.com/lake-formation/latest/dg/bring-your-data-overview.html).
+ **Membawa data di gudang data Amazon Redshift ke dalam AWS Glue Data Catalog** — Daftarkan namespace [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) yang ada atau cluster dengan Katalog Data, dan buat katalog federasi multi-level di Katalog Data.
Anda dapat mengakses data Anda menggunakan mesin kueri apa pun yang kompatibel dengan spesifikasi OpenAPI katalog Apache Iceberg REST, seperti Amazon EMR Tanpa Server, dan Amazon Athena.
Untuk informasi selengkapnya, lihat [Membawa data Amazon Redshift ke dalam AWS Glue Data Catalog](managing-namespaces-datacatalog.md).
+ **Menggabungkan ke dalam Katalog Data dari sumber data eksternal** — Hubungkan Katalog Data ke sumber data eksternal menggunakan AWS Glue koneksi, dan buat katalog federasi untuk mengelola izin akses secara terpusat pada kumpulan data menggunakan Lake Formation. Tidak diperlukan migrasi metadata ke dalam Katalog Data.
Untuk informasi selengkapnya, lihat [Menggabungkan ke sumber data eksternal di AWS Glue Data Catalog](federated-catalog-data-connection.md).
+ **Mengintegrasikan Bucket Tabel Amazon S3 dengan Katalog Data** — Anda dapat mempublikasikan dan membuat katalog Tabel Amazon S3 sebagai objek Katalog Data dan mendaftarkan katalog sebagai lokasi data Lake Formation dari konsol Lake Formation atau menggunakan. AWS Glue APIs
Untuk informasi selengkapnya, lihat [Integrasi Amazon S3 Tabel dengan dan AWS Glue Data Catalog AWS Lake Formation](create-s3-tables-catalog.md).
+ **Buat katalog untuk mengelola tabel Amazon Redshift di Katalog Data** — Anda mungkin tidak memiliki klaster produsen Amazon Redshift atau datashare Amazon Redshift yang tersedia saat ini, tetapi ingin membuat dan mengelola tabel Amazon Redshift menggunakan Katalog Data. Anda dapat memulai dengan membuat katalog AWS Glue terkelola menggunakan `glue:CreateCatalog` API atau AWS Lake Formation konsol dengan menyetel jenis katalog sebagai `Managed` dan `Catalog source` sebagai **Redshift**.
Untuk informasi selengkapnya, lihat [Membuat katalog terkelola Amazon Redshift di AWS Glue Data Catalog](create-rms-catalog.md).
+ **Mengintegrasikan Lake Formation dengan berbagi data Amazon Redshift** — Gunakan Lake Formation untuk mengelola database, tabel, kolom, dan izin akses tingkat baris secara terpusat dari datashares Amazon [Redshift dan membatasi akses pengguna ke objek](https://docs.aws.amazon.com/redshift/index.html) dalam datashare.
+ **Menghubungkan Katalog Data ke metastor eksternal —** Sambungkan AWS Glue Data Catalog ke metastor eksternal untuk mengelola izin akses pada kumpulan data di Amazon S3 menggunakan Lake Formation. Tidak diperlukan migrasi metadata ke dalam Katalog Data.
Untuk informasi selengkapnya, lihat [Mengelola izin pada kumpulan data yang menggunakan metastor eksternal](data-sharing-hms.md).
+ **Mengintegrasikan Lake Formation dengan AWS Data Exchange** — Lake Formation mendukung lisensi akses ke data Anda melalui. AWS Data Exchange Jika Anda tertarik untuk melisensikan data Lake Formation Anda, lihat [Apa yang ada AWS Data Exchange](https://docs.aws.amazon.com/data-exchange/latest/userguide/what-is.html) di *Panduan AWS Data Exchange Pengguna*.
# AWS Lake Formation: Cara kerjanya
AWS Lake Formation menyediakan model izin sistem manajemen basis data relasional (RDBMS) untuk memberikan atau mencabut akses ke sumber daya Katalog Data seperti database, tabel, dan kolom dengan data dasar di Amazon S3. Izin Lake Formation yang mudah dikelola menggantikan kebijakan bucket Amazon S3 yang kompleks dan kebijakan IAM terkait.
Di Lake Formation, Anda dapat menerapkan izin pada dua level:
+ Menegakkan izin tingkat metadata pada sumber daya Katalog Data seperti database dan tabel
+ Mengelola izin akses penyimpanan pada data dasar yang disimpan di Amazon S3 atas nama mesin terintegrasi
## Alur kerja manajemen izin Lake Formation
Lake Formation terintegrasi dengan mesin analitik untuk menanyakan penyimpanan data Amazon S3 dan objek metadata yang terdaftar di Lake Formation. Diagram berikut menggambarkan cara kerja manajemen izin di Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/lf-workflow.png)
**Izin Lake Formation mengelola langkah-langkah tingkat tinggi**
Sebelum Lake Formation dapat memberikan kontrol akses untuk data di danau data Anda, [*administrator danau data*](initial-lf-config.md#create-data-lake-admin) atau pengguna dengan izin administratif akan menyiapkan kebijakan pengguna tabel Katalog Data individual untuk mengizinkan atau menolak akses ke tabel Katalog Data menggunakan izin Lake Formation.
Kemudian, administrator data lake atau pengguna yang didelegasikan oleh administrator memberikan izin Lake Formation kepada pengguna di database dan tabel Katalog Data, dan mendaftarkan lokasi Amazon S3 tabel dengan Lake Formation.
1. **Dapatkan metadata** — Prinsipal (pengguna) mengirimkan kueri atau skrip ETL ke [mesin analitik terintegrasi](working-with-services.md) seperti Amazon Athena, Amazon EMR, atau AWS Glue Amazon Redshift Spectrum. Mesin analitik terintegrasi mengidentifikasi tabel yang diminta dan mengirimkan permintaan metadata ke Katalog Data.
1. **Periksa izin** — Katalog Data memeriksa izin pengguna dengan Lake Formation, dan jika pengguna diberi wewenang untuk mengakses tabel, mengembalikan metadata yang diizinkan dilihat pengguna ke mesin.
1. **Dapatkan kredensil** — Katalog Data memungkinkan mesin mengetahui apakah tabel dikelola oleh Lake Formation atau tidak. Jika data yang mendasarinya terdaftar di Lake Formation, mesin analitik meminta Lake Formation untuk menyediakan akses data dengan memberikan akses sementara.
1. **Dapatkan data** — Jika pengguna berwenang untuk mengakses tabel, Lake Formation menyediakan akses sementara ke mesin analitik terintegrasi. Menggunakan akses sementara, mesin analitik mengambil data dari Amazon S3, dan melakukan pemfilteran yang diperlukan seperti pemfilteran kolom, baris, atau sel. Ketika mesin selesai menjalankan pekerjaan, ia mengembalikan hasilnya kembali ke pengguna. Proses ini disebut [credential vending](using-cred-vending.md).
Jika tabel tidak dikelola oleh Lake Formation, panggilan kedua dari mesin analitik dilakukan langsung ke Amazon S3. Kebijakan bucket Amazon S3 terkait dan kebijakan pengguna IAM dievaluasi untuk akses data.
Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya tentang administrator, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Alur kerja manajemen izin Lake Formation](#lf-workflow)
+ [Izin metadata](metadata-permissions.md)
+ [Manajemen akses penyimpanan](storage-permissions.md)
+ [Berbagi data lintas akun di Lake Formation](cross-data-sharing-lf.md)
# Izin metadata
Lake Formation menyediakan otorisasi dan kontrol akses untuk Katalog Data. Ketika peran IAM membuat panggilan API Katalog Data dari sistem apa pun, Katalog Data memverifikasi izin data pengguna dan hanya mengembalikan metadata yang pengguna memiliki izin untuk mengakses. Misalnya, jika peran IAM hanya memiliki akses ke satu tabel dalam database, dan layanan atau pengguna dengan asumsi peran melakukan `GetTables` operasi, respons hanya akan berisi satu tabel, terlepas dari jumlah tabel dalam database.
**Pengaturan default - izin `IAMAllowedPrincipal` grup**
AWS Lake Formation, secara default, menetapkan izin ke semua database dan tabel ke grup virtual bernama. `IAMAllowedPrincipal` Grup ini unik dan hanya terlihat di dalam Lake Formation. `IAMAllowedPrincipal`Grup ini mencakup semua kepala sekolah IAM yang memiliki akses ke sumber daya Katalog Data melalui kebijakan utama IAM dan kebijakan sumber daya. AWS Glue Jika izin ini ada pada database atau tabel, semua prinsipal akan diberikan akses ke database atau tabel.
Jika Anda ingin memberikan izin yang lebih terperinci pada database atau tabel, hapus `IAMAllowedPrincipal` izin dan, Lake Formation memberlakukan semua kebijakan lain yang terkait dengan database atau tabel tersebut. Misalnya, jika ada kebijakan yang memungkinkan Pengguna A mengakses Database A dengan `DESCRIBE` izin, dan `IAMAllowedPrincipal` ada dengan semua izin, Pengguna A akan terus melakukan semua tindakan lainnya, hingga `IAMAllowedPrincipal` izin dicabut.
Selain itu, secara default, `IAMAllowedPrincipal` grup memiliki izin pada semua database dan tabel baru saat dibuat. Ada dua konfigurasi yang mengontrol perilaku ini. Yang pertama adalah di akun dan tingkat Wilayah yang memungkinkan ini untuk database yang baru dibuat, dan yang kedua adalah di tingkat database. Untuk mengubah pengaturan default, lihat[Ubah model izin default atau gunakan mode akses hybrid](initial-lf-config.md#setup-change-cat-settings).
## Memberikan izin
Administrator data lake dapat memberikan izin Katalog Data kepada prinsipal sehingga prinsipal dapat membuat dan mengelola database dan tabel, serta dapat mengakses data yang mendasarinya.
**Izin basis data dan tingkat tabel**
Saat Anda memberikan izin dalam Lake Formation, pemberi harus menentukan prinsipal untuk memberikan izin, sumber daya untuk memberikan izin, dan tindakan yang harus diakses oleh penerima hibah. Untuk sebagian besar sumber daya dalam Lake Formation, daftar utama dan sumber daya untuk memberikan izin serupa, tetapi tindakan yang dapat dilakukan penerima hibah berbeda berdasarkan jenis sumber daya. Misalnya, `SELECT` izin tersedia untuk tabel untuk membaca tabel, tetapi `SELECT` izin tidak diizinkan pada database. `CREATE_TABLE`Izin diizinkan pada database, tetapi tidak pada tabel.
Anda dapat memberikan AWS Lake Formation izin menggunakan dua metode:
+ [Metode sumber daya bernama](granting-cat-perms-named-resource.md) - Memungkinkan Anda memilih nama database dan tabel sambil memberikan izin kepada pengguna.
+ [Kontrol akses berbasis LF-tag (LF-TBAC)](granting-catalog-perms-TBAC.md) — Pengguna membuat LF-tag, mengaitkannya dengan sumber daya Katalog Data, memberikan `Describe` izin pada LF-tag, mengaitkan izin ke pengguna individu, dan menulis kebijakan izin LF menggunakan LF-tag untuk pengguna yang berbeda. LF-Tag-basedKebijakan tersebut berlaku untuk semua sumber daya Katalog Data yang terkait dengan nilai LF-tag tersebut.
**catatan**
LF-tag unik untuk Lake Formation. Mereka hanya terlihat di Lake Formation dan tidak boleh bingung dengan tag AWS sumber daya.
LF-TBAC adalah fitur yang memungkinkan pengguna untuk mengelompokkan sumber daya ke dalam kategori LF-tag yang ditentukan pengguna dan menerapkan izin pada grup sumber daya tersebut. Oleh karena itu, ini adalah cara terbaik untuk menskalakan izin di sejumlah besar sumber daya Katalog Data.
Untuk informasi selengkapnya, lihat [Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).
Saat Anda memberikan izin kepada kepala sekolah, Lake Formation mengevaluasi izin sebagai gabungan dari semua kebijakan untuk pengguna tersebut. Misalnya, jika Anda memiliki dua kebijakan pada tabel untuk prinsipal di mana satu kebijakan memberikan izin ke kolom col1, col2, dan col3 melalui metode sumber daya bernama, dan kebijakan lainnya memberikan izin ke tabel dan prinsipal yang sama ke col5, dan col6 melalui LF-tag, izin efektif akan menjadi gabungan izin yang akan menjadi col1, col2, col3, col5, dan col6. Ini juga termasuk filter data dan baris.
**Izin lokasi data**
Izin lokasi data memberi pengguna non-administratif kemampuan untuk membuat database dan tabel di lokasi Amazon S3 tertentu. Jika pengguna mencoba membuat database atau tabel di lokasi yang tidak memiliki izin untuk dibuat, tugas pembuatan gagal. Ini untuk mencegah pengguna membuat tabel di lokasi sewenang-wenang di dalam data lake dan memberikan kontrol atas di mana pengguna tersebut dapat membaca dan menulis data. Ada izin implisit saat membuat tabel di lokasi Amazon S3 dalam database tempat ia dibuat. Untuk informasi selengkapnya, lihat [Memberikan izin lokasi data](granting-location-permissions.md).
**Buat izin tabel dan basis data**
Pengguna non-administratif secara default tidak memiliki izin untuk membuat database atau tabel dalam database. Pembuatan basis data dikontrol di tingkat akun menggunakan pengaturan Lake Formation sehingga hanya kepala sekolah yang berwenang yang dapat membuat database. Untuk informasi selengkapnya, lihat [Membuat basis data](creating-database.md). Untuk membuat tabel, prinsipal memerlukan `CREATE_TABLE` izin pada database tempat tabel sedang dibuat. Untuk informasi selengkapnya, lihat [Membuat tabelAWS Glue Data Catalog Pemandangan bangunan](creating-tables.md).
**Izin implisit dan eksplisit**
Lake Formation memberikan izin implisit tergantung pada persona dan tindakan yang dilakukan persona. Misalnya, administrator data lake secara otomatis mendapatkan `DESCRIBE` izin ke semua sumber daya dalam Katalog Data, izin lokasi data ke semua lokasi, izin untuk membuat database dan tabel di semua lokasi, serta `Grant` izin pada sumber daya apa pun. `Revoke` Pembuat database secara otomatis mendapatkan semua izin database pada database yang mereka buat, dan pembuat tabel mendapatkan semua izin pada tabel yang mereka buat. Untuk informasi selengkapnya, lihat [Izin Formasi Danau Implisit](implicit-permissions.md).
**Izin yang dapat diberikan**
Administrator data lake memiliki kemampuan untuk mendelegasikan pengelolaan izin kepada pengguna non-administratif dengan memberikan izin yang dapat diberikan. Ketika prinsipal diberikan izin yang dapat diberikan pada sumber daya dan serangkaian izin, prinsipal tersebut memperoleh kemampuan untuk memberikan izin kepada prinsipal lain pada sumber daya tersebut.
# Manajemen akses penyimpanan
Lake Formation menggunakan fungsionalitas [penjual kredenal](using-cred-vending.md) untuk menyediakan akses sementara ke data Amazon S3. Credential vending, atau token vending adalah pola umum yang memberikan kredensi sementara kepada pengguna, layanan, atau entitas lain untuk tujuan pemberian akses jangka pendek ke sumber daya.
Lake Formation memanfaatkan pola ini untuk menyediakan akses jangka pendek ke layanan AWS analitik seperti Athena untuk mengakses data atas nama kepala panggilan. Saat memberikan izin, pengguna tidak perlu memperbarui kebijakan bucket Amazon S3 atau kebijakan IAM mereka, dan mereka tidak memerlukan akses langsung ke Amazon S3.
Diagram berikut menunjukkan bagaimana Lake Formation menyediakan akses sementara ke lokasi terdaftar:
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Seorang prinsipal (pengguna) memasukkan kueri atau permintaan data untuk tabel melalui layanan terintegrasi tepercaya seperti Athena, Amazon EMR, Redshift Spectrum, atau. AWS Glue
1. Layanan terintegrasi memeriksa otorisasi dari Lake Formation untuk tabel dan kolom yang diminta dan membuat penentuan otorisasi. Jika pengguna tidak berwenang, Lake Formation menolak akses ke data dan kueri gagal.
1. Setelah otorisasi berhasil dan otorisasi penyimpanan diaktifkan untuk tabel dan pengguna, layanan terintegrasi mengambil kredensi sementara dari Lake Formation untuk mengakses data.
1. Layanan terintegrasi menggunakan kredensil sementara dari Lake Formation untuk meminta objek dari Amazon S3.
1. Amazon S3 menyediakan objek Amazon S3 ke layanan terintegrasi. Objek Amazon S3 berisi semua data dari tabel.
1. Layanan terintegrasi melakukan penegakan kebijakan Lake Formation yang diperlukan, seperti tingkat kolom, level baris dan/atau penyaringan level sel. Layanan terintegrasi memproses kueri dan mengembalikan hasilnya kembali ke pengguna.
**Aktifkan penegakan izin tingkat penyimpanan untuk tabel Katalog Data**
Secara default, penegakan tingkat penyimpanan tidak diaktifkan untuk tabel dalam Katalog Data. Untuk mengaktifkan penegakan tingkat penyimpanan, Anda harus mendaftarkan lokasi Amazon S3 dari data sumber Anda dengan Lake Formation dan memberikan peran IAM. Izin tingkat penyimpanan akan diaktifkan untuk semua tabel dengan jalur lokasi tabel atau awalan lokasi Amazon S3 yang sama.
Ketika layanan terintegrasi meminta akses ke lokasi data atas nama pengguna, layanan Lake Formation mengambil peran ini dan mengembalikan kredensialnya ke layanan yang diminta dengan izin tercakup ke sumber daya sehingga akses data dapat dibuat. Peran IAM terdaftar harus memiliki semua akses yang diperlukan ke lokasi AWS KMS Amazon S3 termasuk kunci.
Untuk informasi selengkapnya, lihat [Mendaftarkan lokasi Amazon S3](register-location.md).
**AWS Layanan yang didukung**
AWS layanan analitik seperti Athena, Redshift Spectrum, Amazon AWS Glue EMR,, Amazon Quick, dan Amazon SageMaker AI berintegrasi dengan AWS Lake Formation menggunakan operasi API penjual kredenal Lake Formation. Untuk melihat daftar lengkap AWS layanan yang terintegrasi dengan Lake Formation, dan tingkat granularitas dan format tabel yang mereka dukung, lihat. [Bekerja dengan AWS layanan lain](working-with-services.md)
# Berbagi data lintas akun di Lake Formation
Dengan Lake Formation, Anda dapat berbagi sumber daya Katalog Data (database dan tabel) dalam AWS akun dan di seluruh akun dalam pengaturan sederhana menggunakan metode sumber daya bernama atau LF-tag. Anda dapat membagikan seluruh database atau memilih tabel dari database ke kepala IAM (peran dan pengguna IAM) di akun, ke akun lain AWS di tingkat akun, atau langsung ke prinsipal IAM di akun lain.
Anda juga dapat membagikan tabel Katalog Data dengan filter data untuk membatasi akses ke detail pada detail tingkat baris dan tingkat sel. Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) untuk memfasilitasi pemberian izin antar akun. Saat sumber daya dibagi antara dua akun, AWS RAM kirim undangan ke akun penerima. Saat pengguna menerima undangan AWS RAM berbagi, AWS RAM berikan izin yang diperlukan ke Lake Formation agar sumber daya Katalog Data tersedia serta penegakan tingkat penyimpanan yang diaktifkan. Untuk informasi selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).
Ketika administrator data lake dari akun penerima menerima AWS RAM pembagian, sumber daya bersama tersedia di akun penerima. Administrator data lake memberikan izin Lake Formation lebih lanjut pada sumber daya bersama ke prinsipal IAM tambahan di akun penerima, jika administrator memiliki `GRANTABLE` izin pada sumber daya bersama.
Namun, kepala sekolah tidak dapat menanyakan sumber daya bersama menggunakan Athena atau Redshift Spectrum tanpa tautan sumber daya. Tautan sumber daya adalah entitas dalam Katalog Data dan mirip dengan konsep Linux-Symlink.
Administrator data lake dari akun penerima membuat tautan sumber daya pada sumber daya bersama. Administrator memberikan `Describe` izin pada tautan sumber daya dengan izin yang diperlukan pada sumber daya bersama asli kepada pengguna tambahan. Pengguna di akun penerima kemudian dapat menggunakan tautan sumber daya untuk menanyakan sumber daya bersama menggunakan Athena dan Redshift Spectrum. Untuk informasi selengkapnya tentang tautan sumber daya, lihat[Membuat tautan sumber daya](creating-resource-links.md).
# Komponen Lake Formation
AWS Lake Formation bergantung pada interaksi beberapa komponen untuk membuat dan mengelola data lake Anda.
## Konsol Lake Formation
Anda menggunakan konsol Lake Formation untuk menentukan dan mengelola data lake Anda serta memberikan serta mencabut izin Lake Formation. Anda dapat menggunakan cetak biru di konsol untuk menemukan, membersihkan, mengubah, dan menelan data. Anda juga dapat mengaktifkan atau menonaktifkan akses ke konsol untuk masing-masing pengguna Lake Formation.
## Lake Formation API dan Antarmuka Baris Perintah
Lake Formation menyediakan operasi API melalui beberapa bahasa khusus SDKs dan AWS Command Line Interface ()AWS CLI. Lake Formation API bekerja sama dengan AWS Glue API. Lake Formation API berfokus terutama pada pengelolaan izin Lake Formation, sedangkan AWS Glue API menyediakan API katalog data dan infrastruktur terkelola untuk menentukan, menjadwalkan, dan menjalankan operasi ETL pada data Anda.
Untuk informasi tentang AWS Glue API, lihat [Panduan AWS Glue Pengembang](https://docs.aws.amazon.com/glue/latest/dg/). Untuk informasi tentang penggunaan AWS CLI, lihat [Referensi AWS CLI Perintah](https://docs.aws.amazon.com/cli/latest/reference/).
## AWS Layanan lainnya
Lake Formation menggunakan layanan berikut:
+ [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/)untuk mengatur pekerjaan dan crawler untuk mengubah data menggunakan AWS Glue mengubah.
+ [IAM akan](https://docs.aws.amazon.com/IAM/latest/UserGuide/) memberikan kebijakan izin kepada kepala sekolah Lake Formation. Model izin Lake Formation menambah model izin IAM untuk mengamankan data lake Anda.
# Terminologi Lake Formation
Berikut ini adalah beberapa istilah penting yang akan Anda temui dalam panduan ini.
## Danau data
*Data lake* adalah data persisten Anda yang disimpan di Amazon S3 dan dikelola oleh Lake Formation menggunakan Katalog Data. Danau data biasanya menyimpan hal-hal berikut:
+ Data terstruktur dan tidak terstruktur
+ Data mentah dan data yang diubah
Agar jalur Amazon S3 berada di dalam danau data, itu harus *terdaftar* di Lake Formation.
## Akses data
Lake Formation menyediakan akses data yang aman dan terperinci melalui model izin hibah/pencabutan baru yang menambah kebijakan (IAM). AWS Identity and Access Management
Analis dan ilmuwan data dapat menggunakan portofolio lengkap layanan AWS analitik dan pembelajaran mesin, seperti Amazon Athena, untuk mengakses data. Kebijakan keamanan Lake Formation yang dikonfigurasi membantu memastikan bahwa pengguna hanya dapat mengakses data yang diizinkan untuk diakses.
## Mode akses hibrid
Mode akses hibrid memungkinkan Anda mengamankan dan mengakses data yang dikatalogkan menggunakan izin Lake Formation dan izin IAM dan Amazon S3. Mode akses hibrid memungkinkan administrator data untuk memasukkan izin Lake Formation secara selektif dan bertahap, dengan fokus pada satu kasus penggunaan data lake pada satu waktu.
## Cetak biru
*Blueprint* adalah template manajemen data yang memungkinkan Anda untuk dengan mudah menelan data ke dalam danau data. Lake Formation menyediakan beberapa cetak biru, masing-masing untuk jenis sumber yang telah ditentukan, seperti database relasional atau log. AWS CloudTrail Dari cetak biru, Anda dapat membuat alur kerja. Alur kerja terdiri dari AWS Glue crawler, pekerjaan, dan pemicu yang dihasilkan untuk mengatur pemuatan dan pembaruan data. Cetak biru mengambil sumber data, target data, dan jadwal sebagai input untuk mengonfigurasi alur kerja.
## Alur kerja
*Alur kerja* adalah wadah untuk satu set yang terkait AWS Glue pekerjaan, crawler, dan pemicu. Anda membuat alur kerja di Lake Formation, dan dijalankan di AWS Glue layanan. Lake Formation dapat melacak status alur kerja sebagai entitas tunggal.
Saat Anda menentukan alur kerja, Anda memilih cetak biru yang menjadi dasarnya. Anda kemudian dapat menjalankan alur kerja sesuai permintaan atau sesuai jadwal.
Alur kerja yang Anda buat di Lake Formation terlihat di AWS Glue konsol sebagai grafik asiklik terarah (DAG). Menggunakan DAG, Anda dapat melacak kemajuan alur kerja dan melakukan pemecahan masalah.
## Katalog Data
*Katalog Data* adalah penyimpanan metadata persisten Anda. Ini adalah layanan terkelola yang memungkinkan Anda menyimpan, membuat anotasi, dan berbagi metadata di AWS Cloud dengan cara yang sama seperti yang Anda lakukan di metastore Apache Hive. Ini menyediakan repositori seragam di mana sistem yang berbeda dapat menyimpan dan menemukan metadata untuk melacak data dalam silo data, dan kemudian menggunakan metadata itu untuk menanyakan dan mengubah data. Lake Formation menggunakan AWS Glue Katalog Data untuk menyimpan metadata tentang data lake, sumber data, transformasi, dan target.
Metadata tentang sumber data dan target adalah dalam bentuk database dan tabel. Tabel menyimpan informasi skema, informasi lokasi, dan banyak lagi. Database adalah kumpulan tabel. Lake Formation menyediakan hierarki izin untuk mengontrol akses ke database dan tabel di Katalog Data.
Setiap AWS akun memiliki satu Katalog Data per AWS Wilayah.
## Data yang mendasari
*Data yang mendasari* mengacu pada data sumber atau data dalam danau data yang ditunjukkan oleh tabel Katalog Data.
## Utama
*Principal* adalah pengguna AWS Identity and Access Management (IAM) atau peran atau pengguna Active Directory.
## Administrator danau data
*Administrator data lake* adalah kepala sekolah yang dapat memberikan izin kepada kepala sekolah apa pun (termasuk diri sendiri) pada sumber daya Katalog Data atau lokasi data apa pun. Tentukan administrator data lake sebagai pengguna pertama Katalog Data. Pengguna ini kemudian dapat memberikan izin sumber daya yang lebih terperinci kepada prinsipal lain.
**catatan**
Pengguna administratif IAM — pengguna dengan kebijakan `AdministratorAccess` AWS terkelola — bukan administrator data lake secara otomatis. Misalnya, mereka tidak dapat memberikan izin Lake Formation pada objek katalog kecuali mereka telah diberikan izin untuk melakukannya. Namun, mereka dapat menggunakan konsol Lake Formation atau API untuk menunjuk diri mereka sebagai administrator danau data.
Untuk informasi tentang kemampuan administrator danau data, lihat[Izin Formasi Danau Implisit](implicit-permissions.md). Untuk informasi tentang menunjuk pengguna sebagai administrator data lake, lihat[Buat administrator danau data](initial-lf-config.md#create-data-lake-admin).
# AWS integrasi layanan dengan Lake Formation
Anda dapat menggunakan Lake Formation untuk mengelola database, tabel, dan izin akses tingkat kolom pada data yang disimpan di Amazon S3. Setelah data Anda terdaftar di Lake Formation, Anda dapat menggunakan layanan AWS analitis seperti AWS Glue, Amazon Athena, Amazon Redshift Spectrum, Amazon EMR untuk menanyakan data. AWS Layanan berikut terintegrasi dengan AWS Lake Formation dan menghormati izin Lake Formation.
| AWS Layanan | Detail integrasi |
| --- | --- |
| [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/) | Topik referensi: [Menggunakan AWS Lake Formation dengan AWS Glue](glue-features-lf.md) AWS Gluedan Lake Formation berbagi Katalog Data yang sama. Untuk operasi konsol (seperti melihat daftar tabel) dan semua operasi API, AWS Glue pengguna hanya dapat mengakses database dan tabel tempat mereka memiliki izin Lake Formation. |
| [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/) | Topik referensi: [Menggunakan AWS Lake Formation dengan Amazon Athena](athena-lf.md) Gunakan Lake Formation untuk mengizinkan atau menolak izin membaca data di Amazon S3. Saat Amazon Athena pengguna memilih AWS Glue katalog di editor kueri, mereka hanya dapat menanyakan database, tabel, dan kolom tempat mereka memiliki izin Lake Formation. Kueri menggunakan manifes tidak didukung. Saat ini, Lake Formation tidak mendukung pengelolaan izin pada operasi tulis seperti `VACUUM``MERGE`, `UPDATE` dan `OPTIMIZE` pada tabel dalam Format Tabel Terbuka. Selain kepala sekolah yang mengautentikasi dengan Athena melalui (IAM), Lake Formation mendukung pengguna Athena yang terhubung AWS Identity and Access Management melalui driver JDBC atau ODBC dan mengautentikasi melalui SALL. Penyedia SALL yang didukung termasuk Okta dan Microsoft Active Directory Federation Service (AD FS). |
| [Spektrum Pergeseran Merah Amazon](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) | Topik referensi: [Menggunakan AWS Lake Formation dengan Amazon Redshift Spectrum](RSPC-lf.md) Saat pengguna Amazon Redshift membuat skema eksternal pada database di AWS Glue Data Catalog, mereka hanya dapat menanyakan tabel dan kolom dalam skema yang memiliki izin Lake Formation. |
| [Edisi Perusahaan Cepat Amazon](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html) | Referensi: [Menggunakan AWS Lake Formation dengan Cepat](qs-integ-lf.md) Saat pengguna Amazon Quick Enterprise Edition menanyakan kumpulan data di lokasi Amazon S3, pengguna harus memiliki izin Lake `SELECT` Formation pada data tersebut. |
| [Amazon EMR](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/) | Referensi: [Menggunakan AWS Lake Formation dengan Amazon EMR](emr-integ-lf.md) Anda dapat mengintegrasikan izin Lake Formation saat membuat klaster EMR Amazon dengan peran runtime. Peran runtime adalah peran IAM yang Anda kaitkan dengan pekerjaan atau kueri EMR Amazon, dan kemudian Amazon EMR menggunakan peran ini untuk mengakses sumber daya. AWS |
Lake Formation juga berfungsi dengan [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) untuk memungkinkan Anda mengatur layanan terintegrasi ini dengan lebih mudah untuk mengenkripsi dan mendekripsi data di lokasi Amazon Simple Storage Service (Amazon S3).
# Sumber daya Lake Formation tambahan
Untuk informasi lebih lanjut tentang AWS Lake Formation, kami menyarankan Anda untuk terus mempelajari lebih lanjut tentang konsep yang diperkenalkan dalam panduan ini dengan menggunakan sumber daya berikut:
**Topics**
+ [Blog](#lf-blogs)
+ [Pembicaraan teknologi dan webinar](#talks-webinars)
+ [Arsitektur modern](#modern-day-architecture)
+ [Sumber daya data mesh](#data-mesh-resources)
+ [Panduan praktik terbaik](#best-practice-lf)
## Blog
+ [AWS Lake Formation 2022 tahun dalam ulasan](https://aws.amazon.com/blogs/big-data/aws-lake-formation-2022-year-in-review/)
+ [Arsitektur data modern Multi-region yang sangat tangguh](https://aws.amazon.com/blogs/big-data/build-a-multi-region-and-highly-resilient-modern-data-architecture-using-aws-glue-and-aws-lake-formation/)
+ [Berbagi lintas akun menggunakan LF-tag untuk mengarahkan prinsipal IAM](https://aws.amazon.com/blogs/big-data/enable-cross-account-sharing-with-direct-iam-principals-using-aws-lake-formation-tags/)
+ [Dasbor inventaris izin Lake Formation](https://aws.amazon.com/blogs/big-data/build-an-aws-lake-formation-permissions-inventory-dashboard-using-aws-glue-and-amazon-quicksight/)
+ [Mesh data yang digerakkan oleh peristiwa](https://aws.amazon.com/blogs/big-data/use-an-event-driven-architecture-to-build-a-data-mesh-on-aws/)
## Pembicaraan teknologi dan webinar
+ Re:invent 2020 - [Data lake: Mudah membangun, mengamankan,](https://www.youtube.com/watch?v=r5F0hvuq9kY) dan berbagi dengan AWS Lake Formation
+ re:invent 2022 — [Membangun dan mengoperasikan datalake di](https://www.youtube.com/watch?v=YCNVdK5kPWk) Amazon S3
+ AWS Summit SF 2022 — [Memahami dan mencapai arsitektur data modern](https://www.youtube.com/watch?v=rWQQDcqgcdw)
+ AWS Summit ATL 2022 — [Danau data modern dengan AWS Lake Formation, Amazon Redshift](https://www.youtube.com/watch?v=7H15CYpJRRI), dan AWS Glue
+ AWS Summit ANZ 2022 — Danau [data, rumah danau, dan data mesh: apa, mengapa, dan bagaimana](https://www.youtube.com/watch?v=3354wJV3X58)?
+ AWS Online Tech Talks — [Menyederhanakan izin dan tata kelola di danau data](https://www.youtube.com/watch?v=OybeggHYfRI) Anda
## Arsitektur modern
+ [Pola arsitektur modern](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/modern-data-architecture.html)
## Sumber daya data mesh
+ [Membangun arsitektur data modern dan pola data mesh dalam skala menggunakan kontrol akses AWS Lake Formation berbasis tag](https://aws.amazon.com/blogs/big-data/build-a-modern-data-architecture-and-data-mesh-pattern-at-scale-using-aws-lake-formation-tag-based-access-control/)
+ [Bagaimana JPMorgan Chase membangun arsitektur data mesh untuk mendorong nilai signifikan guna meningkatkan platform data perusahaan mereka](https://aws.amazon.com/blogs/big-data/how-jpmorgan-chase-built-a-data-mesh-architecture-to-drive-significant-value-to-enhance-their-enterprise-data-platform/)
+ [Membangun data mesh di AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/23e6326b-58ee-4ab0-9bc7-3c8d730eb851/en-US)
## Panduan praktik terbaik
+ [AWS Lake Formation panduan praktik terbaik](https://aws.github.io/aws-lakeformation-best-practices/)
## Memulai dengan Lake Formation
Kami menyarankan Anda memulai dengan bagian berikut:
+ [AWS Lake Formation: Cara kerjanya](how-it-works.md)— Pelajari tentang terminologi penting dan bagaimana berbagai komponen berinteraksi.
+ [Memulai dengan Lake Formation](getting-started-setup.md)— Dapatkan informasi tentang prasyarat, dan selesaikan tugas penyiapan penting.
+ [AWS Lake Formation tutorial](getting-started-tutorials.md)— Ikuti step-by-step tutorial untuk mempelajari cara menggunakan Lake Formation.
+ [Keamanan di AWS Lake Formation](security.md)— Pahami bagaimana Anda dapat membantu mengamankan akses ke data di Lake Formation.