Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configura le autorizzazioni di Lake Formation per Amazon DataZone
<a name="lake-formation-permissions-for-datazone"></a>

Quando crei un ambiente utilizzando il data lake blueprint integrato (**DefaultDataLake**), viene aggiunto un database AWS Glue in Amazon DataZone come parte del processo di creazione di questo ambiente. Se desideri pubblicare risorse da questo database AWS Glue, non sono necessarie autorizzazioni aggiuntive. 

Tuttavia, se desideri pubblicare risorse e sottoscrivere risorse da un database AWS Glue che esiste al di fuori del tuo DataZone ambiente Amazon, devi fornire esplicitamente ad Amazon DataZone le autorizzazioni per accedere alle tabelle in questo database AWS Glue esterno. A tale scopo, è necessario completare le seguenti impostazioni in AWS Lake Formation e allegare le autorizzazioni necessarie per Lake Formation a. [AmazonDataZoneGlueAccess- <region>- <domainId>](glue-manage-access-role.md)
+ Configura la posizione Amazon S3 per il tuo data lake in AWS Lake Formation con la modalità di autorizzazione **Lake Formation** o la modalità di **accesso ibrida**. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html).
+ Rimuovi l'`IAMAllowedPrincipals`autorizzazione dalle tabelle di Amazon Lake Formation per le quali Amazon DataZone gestisce le autorizzazioni. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade- glue-lake-formation-background .html.](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation-background.html)
+ Allega le seguenti autorizzazioni AWS Lake Formation a: [AmazonDataZoneGlueAccess- <region>- <domainId>](glue-manage-access-role.md)
  + `Describe`e `Describe grantable` autorizzazioni sul database in cui esistono le tabelle
  + `Describe`,`Select`,`Describe Grantable`, `Select Grantable` autorizzazioni su tutte le tabelle del database di cui sopra a cui desideri gestire l'accesso DataZone per tuo conto.

**Nota**  
Amazon DataZone supporta la modalità AWS Lake Formation Hybrid. La modalità ibrida Lake Formation ti consente di iniziare a gestire le autorizzazioni sui tuoi database e tabelle AWS Glue tramite Lake Formation, continuando al contempo a mantenere le autorizzazioni IAM esistenti su queste tabelle e database. Per ulteriori informazioni, consulta [DataZone Integrazione di Amazon con la modalità ibrida AWS Lake Formation](hybrid-mode.md) 

Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi alle autorizzazioni di AWS Lake Formation per Amazon DataZone](troubleshooting-datazone.md#troubleshooting-lake-formation-permissions). 

# DataZone Integrazione di Amazon con la modalità ibrida AWS Lake Formation
<a name="hybrid-mode"></a>

Amazon DataZone è integrato con la modalità ibrida AWS Lake Formation. Questa integrazione ti consente di pubblicare e condividere facilmente le tue tabelle AWS Glue tramite Amazon DataZone senza la necessità di registrarle prima in AWS Lake Formation. La modalità ibrida ti consente di iniziare a gestire le autorizzazioni sulle tue tabelle AWS Glue tramite AWS Lake Formation continuando a mantenere le autorizzazioni IAM esistenti su queste tabelle. 

Per iniziare, puoi abilitare l'impostazione di **registrazione della posizione dei dati** nel **DefaultDataLake**blueprint nella console di DataZone gestione Amazon.

**Abilita l'integrazione con la modalità ibrida AWS Lake Formation**

1. Accedi alla DataZone console Amazon all'indirizzo [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone) e accedi con le credenziali del tuo account.

1. Scegli **Visualizza domini** e scegli il dominio in cui desideri abilitare l'integrazione con la modalità ibrida AWS Lake Formation.

1. Nella pagina dei dettagli del dominio, vai alla scheda **Blueprints**.

1. Dall'elenco **Blueprint**, scegli il **DefaultDataLake**blueprint. 

1. Assicurati che il DefaultDataLake blueprint sia abilitato. Se non è abilitato, segui i passaggi indicati [Abilita i blueprint integrati nell' AWS account che possiede il dominio Amazon DataZone](working-with-blueprints.md#enable-default-blueprint) per abilitarlo nel tuo AWS account.

1. Nella pagina dei DefaultDataLake dettagli, apri la scheda **Provisioning** e scegli il pulsante **Modifica** nell'angolo in alto a destra della pagina. 

1. In **Registrazione della posizione dei dati**, seleziona la casella per abilitare la registrazione della posizione dei dati.

1. Per il ruolo di gestione della posizione dei dati, puoi creare un nuovo ruolo IAM o selezionare un ruolo IAM esistente. Amazon DataZone utilizza questo ruolo per gestire l'accesso in lettura/scrittura ai bucket Amazon S3 scelti per Data Lake utilizzando la modalità di accesso ibrida Lake AWS Formation. Per ulteriori informazioni, consulta [AmazonDataZone<region>Gestione S3- - <domainId>](AmazonDataZoneS3Manage.md). 

1. Facoltativamente, puoi scegliere di escludere determinate sedi Amazon S3 se non desideri che DataZone Amazon le registri automaticamente in modalità ibrida. A tal fine, completa i seguenti passaggi:
   + Scegli il pulsante di attivazione/disattivazione per escludere località Amazon S3 specificate.
   + Fornisci l'URI del bucket Amazon S3 che desideri escludere. 
   + Per aggiungere altri bucket, scegli **Aggiungi** posizione S3.
**Nota**  
Amazon consente DataZone solo l'esclusione di una posizione S3 root. Qualsiasi posizione S3 all'interno del percorso di una posizione S3 principale verrà automaticamente esclusa dalla registrazione. 
   + Scegli **Save changes** (Salva modifiche).

 Dopo aver abilitato l'impostazione di registrazione della posizione dei dati nel tuo AWS account, quando un consumatore di dati si iscrive a una tabella AWS Glue gestita tramite le autorizzazioni IAM, Amazon DataZone registra prima le posizioni Amazon S3 di questa tabella in modalità ibrida, quindi concede l'accesso al consumatore di dati gestendo le autorizzazioni sulla tabella tramite Lake Formation. AWS Ciò garantisce che le autorizzazioni IAM sulla tabella continuino a esistere con le autorizzazioni AWS Lake Formation appena concesse, senza interrompere i flussi di lavoro esistenti.

## Come gestire le posizioni crittografate di Amazon S3 quando si abilita l'integrazione in modalità ibrida AWS Lake Formation in Amazon DataZone
<a name="hybrid-mode-encryption"></a>

Se utilizzi una posizione Amazon S3 crittografata con una chiave KMS gestita dal cliente o AWS gestita dal cliente, il ruolo **AmazonDataZoneS3Manage** deve avere l'autorizzazione a crittografare e decrittografare i dati con la chiave KMS oppure la politica della chiave KMS deve concedere le autorizzazioni sulla chiave per il ruolo. 

Se la tua posizione Amazon S3 è crittografata con una chiave AWS gestita, aggiungi la seguente policy in linea al ruolo: **AmazonDataZoneDataLocationManagement**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}
```

------

Se la tua posizione Amazon S3 è crittografata con una chiave gestita dal cliente, procedi come segue:

1. Apri la console AWS KMS all'indirizzo [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) e accedi come utente amministrativo di AWS Identity and Access Management (IAM) o come utente che può modificare la politica chiave della chiave KMS utilizzata per crittografare la posizione.

1. Nel riquadro di navigazione, scegli **Customer managed keys**, quindi scegli il nome della chiave KMS desiderata.

1. Nella pagina dei dettagli della chiave KMS, scegli la scheda **Politica chiave**, quindi esegui una delle seguenti operazioni per aggiungere il tuo ruolo personalizzato o il ruolo collegato al servizio Lake Formation come utente chiave KMS:
   + Se viene visualizzata la visualizzazione predefinita (con le sezioni Amministratori chiave, Eliminazione delle chiavi, Utenti chiave e Altri AWS account), nella sezione **Utenti chiave, aggiungi il ruolo**. **AmazonDataZoneDataLocationManagement**
   + Se viene visualizzata la politica chiave (JSON), modifica la politica per aggiungere il **AmazonDataZoneDataLocationManagement**ruolo all'oggetto «Consenti l'uso della chiave», come mostrato nell'esempio seguente

     ```
     ...
             {
                 "Sid": "Allow use of the key",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": [
                         "arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage-<region>-<domain-id>"
                     ]
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:Decrypt",
                     "kms:ReEncrypt*",
                     "kms:GenerateDataKey*",
                     "kms:DescribeKey"
                 ],
                 "Resource": "*"
             },
             ...
     ```

**Nota**  
Se la chiave KMS o la posizione Amazon S3 non si trovano AWS nello stesso account del catalogo dati, segui le istruzioni [in Registrazione di una posizione Amazon S3](https://docs.aws.amazon.com/lake-formation/latest/dg/register-cross-encrypted.html) crittografata tra gli account. AWS