Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC Puoi concedere le autorizzazioni `DESCRIBE` e `ASSOCIATE` Lake Formation sui tag LF ai mandanti in modo che possano visualizzare i tag LF e assegnarli alle risorse del Data Catalog (database, tabelle, viste e colonne). Quando i tag LF vengono assegnati alle risorse del Data Catalog, è possibile utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere tali risorse. Per ulteriori informazioni, consulta [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md). Inizialmente, solo l'amministratore del data lake può concedere queste autorizzazioni. Se l'amministratore del data lake concede queste autorizzazioni con l'opzione di concessione, altri responsabili possono concederle. Le `ASSOCIATE` autorizzazioni `DESCRIBE` e sono spiegate in. [Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation](lf-tag-considerations.md) È possibile concedere le `ASSOCIATE` autorizzazioni `DESCRIBE` and su un tag LF a un account esterno. AWS Un amministratore di data lake in quell'account può quindi concedere tali autorizzazioni ad altri responsabili dell'account. I responsabili a cui l'amministratore del data lake dell'account esterno concede l'`ASSOCIATE`autorizzazione possono quindi assegnare LF-Tags alle risorse del Data Catalog che hai condiviso con il loro account. Quando si concede a un account esterno, è necessario includere l'opzione di concessione. È possibile concedere le autorizzazioni sui tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI **Nota** I seguenti passaggi non sono necessari per i cataloghi di S3 Tables. Puoi usare LF-Tags per concedere le autorizzazioni sui cataloghi S3 Tables esistenti senza eliminarli e ricrearli. **Abilitazione del supporto dei tag LF per i cataloghi federati esistenti che utilizzano le autorizzazioni Lake Formation** Segui questi passaggi, se disponi di cataloghi federati esistenti che utilizzano le autorizzazioni di Lake Formation, come Amazon Redshift o Amazon DynamoDB cataloghi creati prima che il supporto LF-Tags fosse disponibile per i cataloghi federati. 1. Elimina il catalogo esistente: richiama l'operazione `deleteCatalog` API per rimuovere il catalogo federato esistente che utilizza le autorizzazioni Lake Formation. 1. Crea un nuovo catalogo federato: crea un nuovo catalogo e indirizza il nuovo catalogo al tuo namespace/datashare esistente. Usa un nuovo nome per il catalogo: questo processo aggiorna i cataloghi federati preesistenti per supportare la funzionalità LF-Tag. Se desideri utilizzare lo stesso nome di catalogo, contatta AWS il team di supporto per ricevere assistenza. **Topics** + [Concessione delle autorizzazioni per Data Catalog](#granting-cat-perms-TBAC-console) **Consulta anche** [Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md) [Gestione dei tag LF per il controllo dell'accesso ai metadati](managing-tags.md) [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md) ## Concessione delle autorizzazioni per Data Catalog Usa la console Lake Formation o AWS CLI concedi le autorizzazioni di Lake Formation su database, tabelle, viste e colonne di Data Catalog utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC). ------ #### [ Console ] I passaggi seguenti spiegano come concedere le autorizzazioni utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) e la **pagina Grant data lake permissions sulla console Lake** Formation. La pagina è suddivisa nelle seguenti sezioni: + **Principi: utenti, ruoli e autorizzazioni** Account AWS a cui concedere le autorizzazioni. + **Tag LF o risorse del catalogo**: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni. + **Autorizzazioni: autorizzazioni** da concedere a The Lake Formation. 1. **Apri la pagina Concedi le autorizzazioni del data lake.** Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake o come utente a cui sono state concesse le autorizzazioni Lake Formation sulle risorse del Data Catalog tramite LF-TBAC con l'opzione di concessione. **Nel pannello di navigazione, sotto Autorizzazioni, scegli **Autorizzazioni Data Lake**.** Quindi scegli **Concedi**. 1. **Specificate i principi.** Nella sezione **Principali**, scegli un tipo principale, quindi specifica i principali a cui concedere le autorizzazioni. ![La sezione Principi contiene quattro riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro IAM Identity Center è selezionato e l'elenco a discesa di utenti e gruppi si trova sotto i riquadri.](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/identity-center-grant-perm.png) **Utenti e ruoli IAM** Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**. **Centro identità IAM ** Scegli uno o più utenti o dall'elenco **Utenti e gruppi**. **Utenti e gruppi SAML** Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o ARNs per utenti o gruppi Quick. Premi Invio dopo ogni ARN. Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format) L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition. **Account esterni** Per **Account AWS, AWS organizzazione** o **responsabile IAM,** inserisci una o più organizzazioni Account AWS IDs IDs IDs, unità organizzative o ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID. Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole. L'ID di un'unità organizzativa inizia con «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive. 1. **Specificate i tag LF.** Assicuratevi che sia selezionata l'**opzione Risorse abbinate ai tag LF**. **Scegliete le coppie **chiave-valore del tag LF o le espressioni di tag LF salvate**.** 1. Se scegliete l'opzione delle coppie chiave-valore **LF-Tag, scegliete le chiavi** e i valori. Se scegliete più di un valore, state creando un'espressione LF-tag con un operatore. `OR` Ciò significa che se uno qualsiasi dei valori del tag LF corrisponde a un tag LF assegnato a una risorsa del Data Catalog, all'utente vengono concesse le autorizzazioni sulla risorsa. ![La sezione delle risorse del tag LF o del catalogo contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate ai tag LF (consigliate) e Risorse nominate del catalogo di dati. Sono selezionate le risorse corrispondenti ai tag LF. Sotto i riquadri ci sono un campo Chiave e un campo Valori disposti orizzontalmente. Il campo Chiave contiene «modulo» e il campo Valori è un elenco a discesa che contiene tre voci: Ordini, Vendite e Clienti. A ogni voce è associata una casella di controllo. La casella di controllo Clienti è selezionata. A destra di questi due campi c'è un pulsante Rimuovi. Nella parte inferiore è presente il pulsante Aggiungi tag LF, che indica che è possibile aggiungere un'altra riga contenente i campi Chiave e Valori e un pulsante Rimuovi.](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png) 1. (Facoltativo) Scegliete nuovamente **Aggiungi coppia chiave-valore LF-tag per specificare** un altro tag LF. Se specificate più di un tag LF, state creando un'espressione di tag LF con un operatore. `AND` Al principale vengono concesse le autorizzazioni su una risorsa del Data Catalog solo se alla risorsa è stato assegnato un tag LF corrispondente per ogni tag LF nell'espressione del tag LF. 1. Scegliete l'opzione **Salva come nuova espressione per riutilizzare** l'espressione. È necessario `Create LF-Tag expression` salvare le espressioni. Per ulteriori informazioni sulle espressioni dei tag LF, vedere. [Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati](managing-tag-expressions.md) 1. **Specificare le autorizzazioni.** Specificate le autorizzazioni che desiderate concedere al principale per le risorse del Data Catalog corrispondenti. Le risorse corrispondenti sono quelle a cui sono stati assegnati tag LF che corrispondono a una delle espressioni LF-Tag concesse al principale. È possibile specificare le autorizzazioni da concedere ai database corrispondenti, alle tabelle corrispondenti e alle viste corrispondenti. ![Vengono mostrate due sezioni della pagina. La sezione Autorizzazioni del database contiene le caselle di controllo per le autorizzazioni del database e le autorizzazioni concedibili. Sotto la sezione Database, la sezione Autorizzazioni per le tabelle mostra le caselle di controllo per le autorizzazioni relative alle tabelle e alle autorizzazioni concedibili.](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png) In Autorizzazioni **database, seleziona le autorizzazioni** del database da concedere al principale sui database corrispondenti. In Autorizzazioni per le **tabelle, seleziona le autorizzazioni** per la tabella o la visualizzazione da concedere al principale per le tabelle e le viste corrispondenti. Puoi anche scegliere tra `Select` le `Describe` `Drop` autorizzazioni della **tabella e applicare alle viste le autorizzazioni**. 1. Scegliere **Concedi**. ------ #### [ AWS CLI ] Puoi utilizzare il metodo AWS Command Line Interface (AWS CLI) e il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere le autorizzazioni di Lake Formation su database, tabelle e colonne di Data Catalog. **Concessione delle autorizzazioni per il data lake utilizzando il metodo e il metodo LF-TBAC AWS CLI** + Utilizza il comando `grant-permissions`. **Example** L'esempio seguente concede all'utente l'espressione LF-Tag "`module=*`" (tutti i valori della chiave LF-Tag). `module` `datalake_user1` Quell'utente avrà l'`CREATE_TABLE`autorizzazione su tutti i database corrispondenti, ovvero i database a cui è stato assegnato il tag LF con la chiave, con qualsiasi valore. `module` ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' ``` **Example** L'esempio successivo concede l'espressione LF-Tag "" all'utente. `(level=director) AND (region=west OR region=south)` `datalake_user1` Quell'utente disporrà delle `DROP` autorizzazioni `SELECT``ALTER`, e con l'opzione grant sulle tabelle corrispondenti, ossia tabelle a cui sono stati assegnati sia (che). `level=director` `region=west` `region=south` ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}' ``` **Example** Il prossimo esempio concede l'espressione LF-tag "" all'account 1234-5678-9012. `module=orders` AWS L'amministratore del data lake di quell'account può quindi concedere l'espressione "" ai responsabili del proprio account. `module=orders` Tali responsabili avranno quindi l'`CREATE_TABLE`autorizzazione a far corrispondere i database di proprietà dell'account 1111-2222-3333 e condivisi con l'account 1234-5678-9012 utilizzando il metodo della risorsa denominata o il metodo LF-TBAC. ``` aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}' ``` ------