Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Lake Formation: Come funziona
AWS Lake Formation fornisce un modello di autorizzazioni del sistema di gestione dei database relazionali (RDBMS) per concedere o revocare l'accesso alle risorse del Data Catalog come database, tabelle e colonne con dati sottostanti in Amazon S3. Le autorizzazioni Lake Formation, facili da gestire, sostituiscono le complesse policy dei bucket di Amazon S3 e le corrispondenti policy IAM.
In Lake Formation, puoi implementare le autorizzazioni su due livelli:
+ Applicazione delle autorizzazioni a livello di metadati sulle risorse del Data Catalog come database e tabelle
+ Gestione delle autorizzazioni di accesso allo storage sui dati sottostanti archiviati in Amazon S3 per conto di motori integrati
## Flusso di lavoro per la gestione delle autorizzazioni di Lake Formation
Lake Formation si integra con i motori analitici per interrogare gli archivi di dati e gli oggetti di metadati di Amazon S3 registrati con Lake Formation. Il diagramma seguente illustra come funziona la gestione delle autorizzazioni in Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/lf-workflow.png)
**Fasi di alto livello per la gestione dei permessi di Lake Formation**
Prima che Lake Formation possa fornire controlli di accesso per i dati nel tuo data lake, un [*amministratore del data lake*](initial-lf-config.md#create-data-lake-admin) o un utente con autorizzazioni amministrative imposta le politiche utente delle singole tabelle Data Catalog per consentire o negare l'accesso alle tabelle Data Catalog utilizzando le autorizzazioni di Lake Formation.
Quindi, l'amministratore del data lake o un utente delegato dall'amministratore concede le autorizzazioni di Lake Formation agli utenti sui database e sulle tabelle di Data Catalog e registra la posizione Amazon S3 della tabella con Lake Formation.
1. **Ottieni metadati**: un principale (utente) invia una query o uno script ETL a un [motore di analisi integrato](working-with-services.md) come Amazon Athena, Amazon EMR o AWS Glue Amazon Redshift Spectrum. Il motore analitico integrato identifica la tabella richiesta e invia una richiesta di metadati al Data Catalog.
1. **Controlla le autorizzazioni**: il Data Catalog controlla le autorizzazioni dell'utente con Lake Formation e, se l'utente è autorizzato ad accedere alla tabella, restituisce al motore i metadati che l'utente può vedere.
1. **Ottieni credenziali**: il Data Catalog consente al motore di sapere se la tabella è gestita da Lake Formation o meno. Se i dati sottostanti sono registrati con Lake Formation, il motore analitico richiede a Lake Formation di fornire l'accesso ai dati concedendo un accesso temporaneo.
1. **Ottieni dati**: se l'utente è autorizzato ad accedere alla tabella, Lake Formation fornisce l'accesso temporaneo al motore analitico integrato. Utilizzando l'accesso temporaneo, il motore analitico recupera i dati da Amazon S3 ed esegue i filtri necessari come il filtraggio di colonne, righe o celle. Quando il motore termina l'esecuzione del lavoro, restituisce i risultati all'utente. Questo processo è chiamato [vendita di credenziali](using-cred-vending.md).
Se la tabella non è gestita da Lake Formation, la seconda chiamata dal motore di analisi viene effettuata direttamente ad Amazon S3. La policy del bucket Amazon S3 interessata e la politica utente IAM vengono valutate per l'accesso ai dati.
Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta [Best Practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Flusso di lavoro per la gestione delle autorizzazioni di Lake Formation](#lf-workflow)
+ [Autorizzazioni per i metadati](metadata-permissions.md)
+ [Gestione degli accessi allo storage](storage-permissions.md)
+ [Condivisione dei dati tra account in Lake Formation](cross-data-sharing-lf.md)
# Autorizzazioni per i metadati
Lake Formation fornisce l'autorizzazione e il controllo degli accessi per il Data Catalog. Quando un ruolo IAM effettua una chiamata all'API Data Catalog da qualsiasi sistema, Data Catalog verifica le autorizzazioni relative ai dati dell'utente e restituisce solo i metadati a cui l'utente dispone delle autorizzazioni di accesso. Ad esempio, se un ruolo IAM ha accesso a una sola tabella all'interno di un database e un servizio o un utente che assume il ruolo esegue l'`GetTables`operazione, la risposta conterrà solo una tabella, indipendentemente dal numero di tabelle nel database.
**Impostazioni predefinite: autorizzazioni `IAMAllowedPrincipal` di gruppo**
AWS Lake Formation, per impostazione predefinita, imposta le autorizzazioni per tutti i database e le tabelle su un gruppo virtuale denominato. `IAMAllowedPrincipal` Questo gruppo è unico e visibile solo all'interno di Lake Formation. Il `IAMAllowedPrincipal` gruppo include tutti i responsabili IAM che hanno accesso alle risorse di Data Catalog tramite le politiche principali e le politiche AWS Glue delle risorse IAM. Se queste autorizzazioni esistono su un database o una tabella, a tutti i principali verrà concesso l'accesso al database o alla tabella.
Se desideri fornire autorizzazioni più granulari su un database o una tabella, rimuovi `IAMAllowedPrincipal` l'autorizzazione e Lake Formation applica tutte le altre politiche associate a quel database o tabella. Ad esempio, se esiste una politica che consente all'utente A di accedere al database A con `DESCRIBE` le autorizzazioni ed `IAMAllowedPrincipal` esiste con tutte le autorizzazioni, l'utente A continuerà a eseguire tutte le altre azioni, fino alla revoca dell'autorizzazione. `IAMAllowedPrincipal`
Inoltre, per impostazione predefinita, il `IAMAllowedPrincipal` gruppo dispone delle autorizzazioni su tutti i nuovi database e tabelle al momento della creazione. Esistono due configurazioni che controllano questo comportamento. La prima è a livello di account e regione, il che consente questa operazione per i database appena creati, mentre la seconda è a livello di database. Per modificare l'impostazione predefinita, vedere. [Modifica il modello di autorizzazione predefinito o utilizza la modalità di accesso ibrida](initial-lf-config.md#setup-change-cat-settings)
## Concessione di autorizzazioni
Gli amministratori di Data Lake possono concedere le autorizzazioni di Data Catalog ai responsabili in modo che i responsabili possano creare e gestire database e tabelle e possano accedere ai dati sottostanti.
**Autorizzazioni a livello di database e tabella**
Quando concedi le autorizzazioni all'interno di Lake Formation, il concedente deve specificare il principale a cui concedere le autorizzazioni, le risorse a cui concedere le autorizzazioni e le azioni che il beneficiario deve avere accesso a eseguire. Per la maggior parte delle risorse all'interno di Lake Formation, l'elenco principale e le risorse per concedere le autorizzazioni sono simili, ma le azioni che un beneficiario può eseguire variano in base al tipo di risorsa. Ad esempio, `SELECT` le autorizzazioni sono disponibili per le tabelle per leggere le tabelle, ma le `SELECT` autorizzazioni non sono consentite per i database. L'`CREATE_TABLE`autorizzazione è consentita sui database, ma non sulle tabelle.
È possibile concedere AWS Lake Formation le autorizzazioni utilizzando due metodi:
+ [Metodo di risorsa denominato](granting-cat-perms-named-resource.md): consente di scegliere i nomi di database e tabelle concedendo le autorizzazioni agli utenti.
+ [Controllo degli accessi basato su tag LF (LF-TBAC)](granting-catalog-perms-TBAC.md): gli utenti creano tag LF, li associano alle risorse del catalogo dati, concedono l'`Describe`autorizzazione sui tag LF, associano le autorizzazioni ai singoli utenti e scrivono politiche di autorizzazione LF utilizzando i tag LF a diversi utenti. Tali LF-Tag-based politiche si applicano a tutte le risorse del Data Catalog associate a tali valori LF-Tag.
**Nota**
I tag LF sono esclusivi di Lake Formation. Sono visibili solo in Lake Formation e non devono essere confusi con i tag AWS delle risorse.
LF-TBAC è una funzionalità che consente agli utenti di raggruppare le risorse in categorie di tag LF definite dall'utente e di applicare le autorizzazioni a tali gruppi di risorse. Pertanto, è il modo migliore per scalare le autorizzazioni su un numero enorme di risorse del Data Catalog.
Per ulteriori informazioni, consulta [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md).
Quando concedi le autorizzazioni a un responsabile, Lake Formation valuta le autorizzazioni come un'unione di tutte le politiche per quell'utente. Ad esempio, se si dispone di due criteri in una tabella per un principale in cui un criterio concede le autorizzazioni alle colonne col1, col2 e col3 tramite il metodo di risorsa denominato e l'altro criterio concede le autorizzazioni alla stessa tabella e principale a col5 e col6 tramite LF-tags, le autorizzazioni effettive saranno un'unione delle autorizzazioni che sarebbero col1, col2, col3, col5 e col6. Ciò include anche filtri e righe di dati.
**Autorizzazioni per la localizzazione dei dati**
Le autorizzazioni di localizzazione dei dati offrono agli utenti non amministrativi la possibilità di creare database e tabelle in posizioni Amazon S3 specifiche. Se un utente tenta di creare un database o una tabella in una posizione per cui non dispone delle autorizzazioni necessarie, l'operazione di creazione ha esito negativo. Questo serve a impedire agli utenti di creare tabelle in posizioni arbitrarie all'interno del data lake e consente di controllare dove tali utenti possono leggere e scrivere i dati. Esiste un'autorizzazione implicita durante la creazione di tabelle nella posizione Amazon S3 all'interno del database in cui viene creata. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
**Crea autorizzazioni per tabelle e database**
Per impostazione predefinita, gli utenti non amministrativi non dispongono delle autorizzazioni per creare database o tabelle all'interno di un database. La creazione del database è controllata a livello di account utilizzando le impostazioni di Lake Formation in modo che solo i responsabili autorizzati possano creare database. Per ulteriori informazioni, consulta [Creazione di un database](creating-database.md). Per creare una tabella, un principale richiede l'`CREATE_TABLE`autorizzazione sul database in cui viene creata la tabella. Per ulteriori informazioni, consulta [Creazione di tabelleAWS Glue Data Catalog Viste dell'edificio](creating-tables.md).
**Autorizzazioni implicite ed esplicite**
Lake Formation fornisce autorizzazioni implicite a seconda della persona e delle azioni che la persona compie. Ad esempio, gli amministratori del data lake ottengono automaticamente le `DESCRIBE` autorizzazioni per tutte le risorse all'interno del Data Catalog, le autorizzazioni per la localizzazione dei dati per tutte le posizioni, le autorizzazioni per creare database e tabelle in tutte le posizioni e le autorizzazioni per qualsiasi risorsa. `Grant` `Revoke` I creatori di database ottengono automaticamente tutte le autorizzazioni di database sui database che creano e i creatori di tabelle ottengono tutte le autorizzazioni sulle tabelle che creano. Per ulteriori informazioni, consulta [Autorizzazioni implicite di Lake Formation](implicit-permissions.md).
**Autorizzazioni concedibili**
Gli amministratori di Data Lake hanno la possibilità di delegare la gestione delle autorizzazioni a utenti non amministrativi fornendo autorizzazioni concedibili. Quando a un committente vengono concesse autorizzazioni su una risorsa e un insieme di autorizzazioni, tale principale ottiene la capacità di concedere le autorizzazioni ad altri responsabili su quella risorsa.
# Gestione degli accessi allo storage
Lake Formation utilizza la funzionalità di [vendita di credenziali](using-cred-vending.md) per fornire un accesso temporaneo ai dati di Amazon S3. La vendita di credenziali, o vendita di token, è uno schema comune che fornisce credenziali temporanee a utenti, servizi o altre entità allo scopo di concedere l'accesso a breve termine a una risorsa.
Lake Formation sfrutta questo modello per fornire un accesso a breve termine a servizi di AWS analisi come Athena per accedere ai dati per conto del committente chiamante. Quando concedono le autorizzazioni, gli utenti non devono aggiornare le policy dei bucket Amazon S3 o le policy IAM e non hanno bisogno dell'accesso diretto ad Amazon S3.
Il diagramma seguente mostra come Lake Formation fornisce l'accesso temporaneo alle località registrate:
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Un principale (utente) inserisce una query o una richiesta di dati per una tabella tramite un servizio integrato affidabile come Athena, Amazon EMR, Redshift Spectrum o. AWS Glue
1. Il servizio integrato verifica l'autorizzazione di Lake Formation per la tabella e le colonne richieste e determina l'autorizzazione. Se l'utente non è autorizzato, Lake Formation nega l'accesso ai dati e la query ha esito negativo.
1. Una volta completata l'autorizzazione e attivata l'autorizzazione all'archiviazione per la tabella e l'utente, il servizio integrato recupera le credenziali temporanee da Lake Formation per accedere ai dati.
1. Il servizio integrato utilizza le credenziali temporanee di Lake Formation per richiedere oggetti da Amazon S3.
1. Amazon S3 fornisce gli oggetti Amazon S3 al servizio integrato. Gli oggetti Amazon S3 contengono tutti i dati della tabella.
1. Il servizio integrato esegue la necessaria applicazione delle politiche di Lake Formation, come il filtraggio a livello di colonna, a livello di riga e/o a livello di cella. Il servizio integrato elabora le richieste e restituisce i risultati all'utente.
**Abilita l'applicazione delle autorizzazioni a livello di storage per le tabelle del Data Catalog**
Per impostazione predefinita, l'applicazione a livello di storage non è abilitata per le tabelle all'interno del Data Catalog. Per abilitare l'applicazione a livello di storage, devi registrare la posizione Amazon S3 dei tuoi dati di origine con Lake Formation e fornire un ruolo IAM. Le autorizzazioni a livello di storage verranno abilitate per tutte le tabelle con lo stesso percorso di posizione della tabella o lo stesso prefisso della posizione Amazon S3.
Quando un servizio integrato richiede l'accesso alla posizione dei dati per conto di un utente, il servizio Lake Formation assume questo ruolo e restituisce le credenziali al servizio richiesto con autorizzazioni limitate alla risorsa in modo che sia possibile effettuare l'accesso ai dati. Il ruolo IAM registrato deve disporre di tutti gli accessi necessari alla posizione Amazon S3, comprese AWS KMS le chiavi.
Per ulteriori informazioni, consulta [Registrazione di una sede Amazon S3](register-location.md).
**Servizi supportati AWS**
AWS servizi di analisi come Athena, Redshift Spectrum, Amazon AWS Glue EMR e Amazon SageMaker AI integrazione con AWS Lake Formation utilizzando le Amazon Quick operazioni API di vendita delle credenziali di Lake Formation. Per un elenco completo dei AWS servizi che si integrano con Lake Formation e il livello di granularità e i formati di tabella che supportano, consulta. [Collaborazione con altri AWS servizi](working-with-services.md)
# Condivisione dei dati tra account in Lake Formation
Con Lake Formation, puoi condividere le risorse del Data Catalog (database e tabelle) all'interno di un AWS account e tra account con una semplice configurazione utilizzando il metodo della risorsa denominata o i tag LF. Puoi condividere un intero database o selezionare tabelle da un database con qualsiasi principale IAM (ruoli e utenti IAM) in un account, con altri account a livello di AWS account o direttamente con i principali IAM in un altro account.
Puoi anche condividere le tabelle del Data Catalog con filtri di dati per limitare l'accesso ai dettagli a livello di riga e cella. Lake Formation utilizza AWS Resource Access Manager (AWS RAM) per facilitare la concessione di autorizzazioni tra account. Quando una risorsa viene condivisa tra due account, AWS RAM invia gli inviti all'account del destinatario. Quando un utente accetta un invito alla AWS RAM condivisione, AWS RAM fornisce le autorizzazioni necessarie a Lake Formation per avere a disposizione le risorse del Data Catalog e abilitare l'applicazione a livello di storage. Per ulteriori informazioni, consulta [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md).
Quando l'amministratore del data lake dell'account del destinatario accetta la AWS RAM condivisione, le risorse condivise sono disponibili nell'account del destinatario. L'amministratore del data lake concede ulteriori autorizzazioni Lake Formation sulla risorsa condivisa ai principali IAM aggiuntivi nell'account del destinatario, se l'amministratore dispone delle `GRANTABLE` autorizzazioni sulla risorsa condivisa.
Tuttavia, i responsabili non possono interrogare le risorse condivise utilizzando Athena o Redshift Spectrum senza un collegamento alla risorsa. Un collegamento a una risorsa è un'entità nel Data Catalog ed è simile a un concetto Linux-Symlink.
L'amministratore del data lake dell'account del destinatario crea un link alla risorsa condivisa. L'amministratore concede `Describe` le autorizzazioni sul collegamento alla risorsa con le autorizzazioni richieste sulla risorsa condivisa originale ad altri utenti. Un utente nell'account destinatario può quindi utilizzare il collegamento alla risorsa per interrogare la risorsa condivisa utilizzando Athena e Redshift Spectrum. Per ulteriori informazioni sui collegamenti alle risorse, consulta. [Creazione di collegamenti alle risorse](creating-resource-links.md)