Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Modalità di accesso ibrida
<a name="hybrid-access-mode"></a>

AWS Lake Formation la *modalità di accesso ibrida* supporta due percorsi di autorizzazione per gli stessi oggetti. AWS Glue Data Catalog 
 Nel primo percorso, Lake Formation ti consente di selezionare principali specifici e concedere loro le autorizzazioni di Lake Formation per accedere a cataloghi, database, tabelle e visualizzazioni attivando il consenso. Il secondo percorso consente a tutti gli altri principali di accedere a queste risorse tramite le politiche e le azioni principali IAM predefinite per Amazon AWS Glue S3. 

Quando registri una sede Amazon S3 con Lake Formation, hai la possibilità di applicare le autorizzazioni di Lake Formation per tutte le risorse in questa sede o utilizzare la modalità di accesso ibrida. Per impostazione predefinita, la modalità di accesso ibrida applica solo le `CREATE_TABLE` autorizzazioni. `CREATE_PARTITION` `UPDATE_TABLE` Quando una sede Amazon S3 è in modalità ibrida, puoi abilitare le autorizzazioni Lake Formation attivando i principali per gli oggetti Data Catalog in quella posizione. Significa che sia le autorizzazioni Lake Formation che le autorizzazioni IAM possono controllare l'accesso a quei dati. Ciò significa che i responsabili che hanno aderito richiederanno sia le autorizzazioni Lake Formation che le autorizzazioni IAM per accedere ai dati, mentre i non-opted-in principali continueranno ad accedere ai dati utilizzando solo le autorizzazioni IAM.

Pertanto, la modalità di accesso ibrido offre la flessibilità necessaria per abilitare selettivamente Lake Formation per cataloghi, database e tabelle nel tuo Data Catalog per un set specifico di utenti senza interrompere l'accesso per altri utenti o carichi di lavoro esistenti.

![\[Account AWS architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/hybrid-access-mode-concept.png)


Per considerazioni e limitazioni, vedere [Considerazioni e limitazioni della modalità di accesso ibrido](notes-hybrid.md).Termini e definizioni

 Di seguito sono riportate le definizioni delle risorse di Data Catalog in base alla modalità di impostazione delle autorizzazioni di accesso: 

Risorsa Lake Formation  
 Una risorsa registrata presso Lake Formation. Gli utenti richiedono le autorizzazioni di Lake Formation per accedere alla risorsa. 

AWS Glue risorsa  
Una risorsa che non è registrata presso Lake Formation. Gli utenti richiedono solo le autorizzazioni IAM per accedere alla risorsa perché dispone di autorizzazioni di `IAMAllowedPrincipals` gruppo. Le autorizzazioni di Lake Formation non vengono applicate.  
Per ulteriori informazioni sulle autorizzazioni `IAMAllowedPrincipals` di gruppo, vedere. [Autorizzazioni per i metadati](metadata-permissions.md)

Risorsa ibrida  
Una risorsa registrata in modalità di accesso ibrida. In base agli utenti che accedono alla risorsa, la risorsa passa dinamicamente dall'essere una risorsa Lake Formation a una AWS Glue risorsa. 

## Casi d'uso comuni della modalità di accesso ibrido
<a name="hybrid-access-mode-use-cases"></a>

È possibile utilizzare la modalità di accesso ibrido per fornire l'accesso in scenari di condivisione dei dati con account singolo e tra account:

**Scenari con account singolo**
+ **Convertire una AWS Glue risorsa in una risorsa ibrida**: in questo scenario, attualmente non stai utilizzando Lake Formation ma desideri adottare le autorizzazioni Lake Formation per gli oggetti Data Catalog. Quando registri la posizione Amazon S3 in modalità di accesso ibrido, puoi concedere le autorizzazioni di Lake Formation agli utenti che optano per database e tabelle specifici che puntano a quella posizione. 
+ **Convertire una risorsa Lake Formation in una risorsa ibrida**: attualmente, utilizzi le autorizzazioni di Lake Formation per controllare l'accesso a un database Data Catalog, ma desideri fornire l'accesso a nuovi principali utilizzando le autorizzazioni IAM per Amazon S3 e AWS Glue senza interrompere le autorizzazioni Lake Formation esistenti.

  Quando aggiorni la registrazione di una posizione dati alla modalità di accesso ibrida, i nuovi responsabili possono accedere al database Data Catalog puntando alla posizione Amazon S3 utilizzando le policy di autorizzazione IAM senza interrompere le autorizzazioni Lake Formation degli utenti esistenti.

  Prima di aggiornare la registrazione della posizione dei dati per abilitare la modalità di accesso ibrida, devi prima attivare i principali che attualmente accedono alla risorsa con le autorizzazioni di Lake Formation.
 Questo serve a prevenire potenziali interruzioni del flusso di lavoro corrente.
 È inoltre necessario concedere al `IAMAllowedPrincipal` gruppo l'`Super`autorizzazione per le tabelle del database. 

**Scenari di condivisione dei dati tra account**
+ **Condividi AWS Glue risorse utilizzando la modalità di accesso ibrido**: in questo scenario, l'account produttore dispone di tabelle in un database che sono attualmente condivise con un account consumer utilizzando le politiche di autorizzazione IAM per Amazon S3 AWS Glue e le azioni. La posizione dei dati del database non è registrata con Lake Formation.

   Prima di registrare la posizione dei dati in modalità di accesso ibrido, è necessario aggiornare **le impostazioni della versione dell'account Cross** alla versione 4. La versione 4 fornisce le nuove politiche di AWS RAM autorizzazione necessarie per la condivisione tra account quando il `IAMAllowedPrincipal` gruppo dispone dell'`Super`autorizzazione sulla risorsa. Per le risorse con autorizzazioni di `IAMAllowedPrincipal` gruppo, puoi concedere le autorizzazioni di Lake Formation agli account esterni e consentire loro di utilizzare le autorizzazioni Lake Formation. L'amministratore del data lake nell'account del destinatario può concedere le autorizzazioni di Lake Formation ai responsabili dell'account e autorizzarli a far valere le autorizzazioni di Lake Formation. 
+ **Condividi le risorse di Lake Formation utilizzando la modalità di accesso ibrida**: attualmente, l'account produttore contiene tabelle in un database che vengono condivise con un account consumatore che applica le autorizzazioni di Lake Formation. La posizione dei dati del database è registrata presso Lake Formation.

  In questo caso, puoi aggiornare la registrazione della posizione Amazon S3 alla modalità di accesso ibrida e condividere i dati di Amazon S3 e i metadati di Data Catalog utilizzando le policy dei bucket di Amazon S3 e le politiche delle risorse del Catalogo dati con i principali dell'account consumatore. È necessario concedere nuovamente le autorizzazioni esistenti di Lake Formation e attivare i principali prima di aggiornare la registrazione delle sedi Amazon S3. Inoltre, devi concedere al gruppo `Super` l'autorizzazione per le tabelle del database. `IAMAllowedPrincipals`

**Topics**
+ [Casi d'uso comuni della modalità di accesso ibrido](#hybrid-access-mode-use-cases)
+ [Come funziona la modalità di accesso ibrida](hybrid-access-workflow.md)
+ [Configurazione della modalità di accesso ibrida: scenari comuni](hybrid-access-setup.md)
+ [Rimozione di principi e risorse dalla modalità di accesso ibrida](delete-hybrid-access.md)
+ [Visualizzazione dei principali e delle risorse in modalità di accesso ibrida](view-hybrid-access.md)
+ [Risorse aggiuntive](additional-resources-hybrid.md)

# Come funziona la modalità di accesso ibrida
<a name="hybrid-access-workflow"></a>

Il diagramma seguente mostra come funziona l'autorizzazione di Lake Formation in modalità di accesso ibrido quando si interrogano le risorse del Data Catalog.

![\[AWS Lake Formation authorization process flowchart for hybrid access mode queries.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/hybrid-workflow.png)


Prima di accedere ai dati nel data lake, un amministratore del data lake o un utente con autorizzazioni amministrative configura le politiche utente delle singole tabelle di Data Catalog per consentire o negare l'accesso alle tabelle del Data Catalog. Quindi, un principale che dispone delle autorizzazioni per eseguire l'`RegisterResource`operazione registra la posizione Amazon S3 della tabella con Lake Formation in modalità di accesso ibrido. Se una posizione dati non è registrata con Lake Formation, l'amministratore concede le autorizzazioni di Lake Formation a utenti specifici sui database e sulle tabelle del Data Catalog e li autorizza a utilizzare le autorizzazioni Lake Formation per tali database e tabelle in modalità di accesso ibrido.

1. **Invia una query**: un principale invia una query o uno script ETL utilizzando un servizio integrato come Amazon Athena, Amazon EMR o AWS Glue Amazon Redshift Spectrum.

1. **Richiede dati**: il motore analitico integrato identifica la tabella richiesta e invia la richiesta di metadati al Data Catalog (,). `GetTable` `GetDatabase`

1. **Verifica le autorizzazioni**: il Data Catalog verifica le autorizzazioni di accesso del responsabile dell'interrogazione con Lake Formation.

   1. Se alla tabella non sono allegate autorizzazioni di `IAMAllowedPrincipals` gruppo, vengono applicate le autorizzazioni di Lake Formation.

   1. Se il principale ha scelto di utilizzare le autorizzazioni di Lake Formation nella modalità di accesso ibrida e alla tabella sono allegate le autorizzazioni di `IAMAllowedPrincipals` gruppo, le autorizzazioni di Lake Formation vengono applicate. Il motore di query applica i filtri ricevuti da Lake Formation e restituisce i dati all'utente.

   1. Se la posizione della tabella non è registrata con Lake Formation e il principale non ha scelto di utilizzare le autorizzazioni di Lake Formation in modalità di accesso ibrido, il Data Catalog verifica se alla tabella sono associate autorizzazioni di `IAMAllowedPrincipals` gruppo. Se questa autorizzazione esiste nella tabella, tutti i principali dell'account ottengono `Super` i `All` permessi sulla tabella. 

      La vendita di credenziali di Lake Formation non è disponibile, anche se è stato attivato, a meno che la posizione dei dati non sia registrata con Lake Formation.

1. **Ottieni credenziali**: il Data Catalog controlla e fa sapere al motore se la posizione della tabella è registrata o meno con Lake Formation. Se i dati sottostanti sono registrati con Lake Formation, il motore analitico richiede a Lake Formation le credenziali temporanee per accedere ai dati nel bucket Amazon S3. 

1. **Ottieni dati**: se il responsabile è autorizzato ad accedere ai dati della tabella, Lake Formation fornisce l'accesso temporaneo al motore analitico integrato. Utilizzando l'accesso temporaneo, il motore analitico recupera i dati da Amazon S3 ed esegue i filtri necessari come il filtraggio di colonne, righe o celle. Quando il motore termina l'esecuzione del lavoro, restituisce i risultati all'utente. Questo processo è denominato distribuzione di credenziali. Per ulteriori informazioni, vedere[Integrazione di servizi di terze parti con Lake Formation](Integrating-with-LakeFormation.md).

1. 
Se la posizione dei dati della tabella non è registrata con Lake Formation, la seconda chiamata dal motore di analisi viene effettuata direttamente ad Amazon S3. La policy del bucket Amazon S3 interessata e la politica utente IAM vengono valutate per l'accesso ai dati. Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta le [best practice di sicurezza in IAM nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

# Configurazione della modalità di accesso ibrida: scenari comuni
<a name="hybrid-access-setup"></a>

Come per le autorizzazioni di Lake Formation, in genere sono disponibili due tipi di scenari in cui è possibile utilizzare la modalità di accesso ibrida per gestire l'accesso ai dati: fornire l'accesso ai principali all'interno di uno Account AWS e fornire l'accesso a un principale Account AWS o esterno.

 Questa sezione fornisce istruzioni per configurare la modalità di accesso ibrida nei seguenti scenari: 

**Gestisci le autorizzazioni in modalità di accesso ibrida all'interno di un'unica soluzione Account AWS**
+ [Conversione di una AWS Glue risorsa in una risorsa ibrida](hybrid-access-mode-new.md)— Attualmente stai fornendo l'accesso alle tabelle in un database per tutti i principali del tuo account utilizzando le autorizzazioni IAM per Amazon S3 AWS Glue e desideri adottare Lake Formation per gestire le autorizzazioni in modo incrementale. 
+ [Conversione di una risorsa di Lake Formation in una risorsa ibrida](hybrid-access-mode-update.md)— Attualmente stai utilizzando Lake Formation per gestire l'accesso alle tabelle in un database per tutti i principali del tuo account, ma desideri utilizzare Lake Formation solo per i principali specifici. Desideri fornire l'accesso a nuovi principali utilizzando le autorizzazioni IAM per Amazon S3 sullo stesso database AWS Glue e sulle stesse tabelle.

**Gestisci le autorizzazioni in modalità di accesso ibrida su s Account AWS**
+ [Condivisione di una AWS Glue risorsa utilizzando la modalità di accesso ibrida](hybrid-access-mode-cross-account.md)— Al momento non stai utilizzando Lake Formation per gestire le autorizzazioni per una tabella, ma desideri applicare le autorizzazioni di Lake Formation per fornire l'accesso ai principali in un altro account.
+ [Condivisione di una risorsa Lake Formation utilizzando la modalità di accesso ibrida](hybrid-access-mode-cross-account-IAM.md)— Stai utilizzando Lake Formation per gestire l'accesso a una tabella ma desideri fornire l'accesso ai principali in un altro account utilizzando le autorizzazioni IAM per Amazon S3 sullo stesso database AWS Glue e sulle stesse tabelle. 

**Configurazione della modalità di accesso ibrida: passaggi di alto livello**

1. Registra la posizione dei dati di Amazon S3 con Lake Formation selezionando la modalità di **accesso ibrida**. 

1. I responsabili devono avere `DATA_LOCATION` l'autorizzazione su una posizione di data lake per creare tabelle o database di Data Catalog che puntano a quella posizione. 

1.  Imposta l'**impostazione della versione per più account** sulla versione 4. 

1. Concedi autorizzazioni dettagliate a utenti o ruoli IAM specifici su database e tabelle. Allo stesso tempo, assicurati di impostare `Super` o `All` autorizzare il `IAMAllowedPrincipals` gruppo sul database e tutte le tabelle del database o solo alcune di esse.

1. Scegli i principi e le risorse. Gli altri responsabili dell'account possono continuare ad accedere ai database e alle tabelle utilizzando le policy di autorizzazione IAM AWS Glue e le azioni di Amazon S3.

1. Opzionalmente, pulisci le politiche di autorizzazione IAM per Amazon S3 per i principali che hanno scelto di utilizzare le autorizzazioni Lake Formation.

# Prerequisiti per la configurazione della modalità di accesso ibrida
<a name="hybrid-access-prerequisites"></a>

Di seguito sono riportati i prerequisiti per l'impostazione della modalità di accesso ibrida: 

**Nota**  
 Consigliamo a un amministratore di Lake Formation di registrare la posizione Amazon S3 in modalità di accesso ibrida e di attivare i principali e le risorse. 

1. Concedi l'autorizzazione all'ubicazione dei dati (`DATA_LOCATION_ACCESS`) per creare risorse Data Catalog che puntino alle sedi Amazon S3. Le autorizzazioni di localizzazione dei dati controllano la capacità di creare cataloghi, database e tabelle di Data Catalog che puntano a particolari posizioni Amazon S3. 

1. Per condividere le risorse di Data Catalog con un altro account in modalità di accesso ibrida (senza rimuovere le autorizzazioni di `IAMAllowedPrincipals` gruppo dalla risorsa), devi aggiornare **le impostazioni della versione dell'account Cross alla versione 4** o successiva. Per aggiornare la versione utilizzando la console Lake Formation, scegli la **versione 4** o la **versione 5** nelle **impostazioni della versione dell'account Cross** nella pagina **delle impostazioni del Data Catalog**. 

   Puoi anche usare il `put-data-lake-settings` AWS CLI comando per impostare il `CROSS_ACCOUNT_VERSION` parametro sulla versione 4 o 5:

   ```
   aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
   {
   "DataLakeAdmins": [
           {
   "DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
           }
       ],
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "Parameters": {
   "CROSS_ACCOUNT_VERSION": "5"
       }
   }
   ```

1. 
Per concedere le autorizzazioni su più account in modalità di accesso ibrida, il concedente deve disporre delle autorizzazioni IAM richieste per e i servizi. AWS Glue AWS RAM La policy AWS `AWSLakeFormationCrossAccountManager` gestita concede le autorizzazioni richieste.
 Per abilitare la condivisione dei dati tra account in modalità di accesso ibrido, abbiamo aggiornato la policy `AWSLakeFormationCrossAccountManager` gestita aggiungendo due nuove autorizzazioni IAM:
   + ram: ListResourceSharePermissions
   + ram: AssociateResourceSharePermission
**Nota**  
Se non utilizzi la politica AWS gestita per il ruolo di concedente, aggiungi le politiche precedenti alle politiche personalizzate.

## Ubicazione del bucket Amazon S3 e accesso utente
<a name="w2aac11c34c21c15b9"></a>

Quando crei un catalogo, un database o una tabella in AWS Glue Data Catalog, puoi specificare la posizione del bucket Amazon S3 dei dati sottostanti e registrarli con Lake Formation. Le tabelle seguenti descrivono come funzionano le autorizzazioni per gli utenti AWS Glue e gli utenti di Lake Formation (responsabili) in base alla posizione dei dati in Amazon S3 della tabella o del database. 


**Sede Amazon S3 registrata presso Lake Formation**  

| Ubicazione di un database in Amazon S3 | AWS Glue utenti | Utenti di Lake Formation | 
| --- | --- | --- | 
|  Registrato a Lake Formation (in modalità di accesso ibrido o in modalità Lake Formation)  |   read/write Accedi alla posizione dati di Amazon S3 ereditando le autorizzazioni dal gruppo IAMAllowed Principal (super accesso).  | Eredita le autorizzazioni per creare tabelle dall'autorizzazione CREATE TABLE concessa. | 
| Nessuna sede Amazon S3 associata |  Richiedi l'autorizzazione esplicita DATA LOCATION per eseguire le istruzioni CREATE TABLE e INSERT TABLE.  |  Richiedi l'autorizzazione esplicita DATA LOCATION per eseguire le istruzioni CREATE TABLE e INSERT TABLE.  | 

****IsRegisteredWithLakeFormation**proprietà della tabella**  
La `IsRegisteredWithLakeFormation` proprietà di una tabella indica se la posizione dei dati della tabella è registrata con Lake Formation per il richiedente. Se la modalità di autorizzazione della posizione è registrata come Lake Formation, la `IsRegisteredWithLakeFormation` proprietà è valida `true` per tutti gli utenti che accedono alla posizione dei dati perché tutti gli utenti sono considerati iscritti a quella tabella. Se la posizione è registrata in modalità di accesso ibrida, il valore è impostato `true` solo per gli utenti che hanno optato per quella tabella. 


**Funzionamento di `IsRegisteredWithLakeFormation`**  

| Modalità di autorizzazione | Utenti/ruoli |  `IsRegisteredWithLakeFormation`  | Description | 
| --- | --- | --- | --- | 
|  Lake Formation  | Tutti | True |  Quando una posizione viene registrata con Lake Formation, la `IsRegisteredWithLakeFormation` proprietà verrà impostata su true per tutti gli utenti. Ciò significa che le autorizzazioni definite in Lake Formation si applicano alla sede registrata. La vendita di credenziali sarà effettuata da Lake Formation.  | 
| Modalità di accesso ibrida | Ha aderito | True |  Per gli utenti che hanno scelto di utilizzare Lake Formation per l'accesso e la governance dei dati per una tabella, la `IsRegisteredWithLakeFormation` proprietà verrà impostata su `true` per quella tabella. Sono soggetti alle politiche di autorizzazione definite in Lake Formation per la sede registrata.  | 
| Modalità di accesso ibrida | Non è stata attivata | False |  Per gli utenti che non hanno scelto di utilizzare le autorizzazioni di Lake Formation, la `IsRegisteredWithLakeFormation` proprietà è impostata su. `false` Non sono soggetti alle politiche di autorizzazione definite in Lake Formation per la sede registrata. Gli utenti seguiranno invece le politiche di autorizzazione di Amazon S3.  | 

# Conversione di una AWS Glue risorsa in una risorsa ibrida
<a name="hybrid-access-mode-new"></a>

Segui questi passaggi per registrare una sede Amazon S3 in modalità di accesso ibrido e inserire nuovi utenti Lake Formation senza interrompere l'accesso ai dati degli utenti esistenti del Data Catalog. 

Descrizione dello scenario: la posizione dei dati non è registrata con Lake Formation e l'accesso degli utenti al database e alle tabelle di Data Catalog è determinato dalle politiche di autorizzazione IAM per Amazon AWS Glue S3 e dalle azioni.
 Per impostazione predefinita, il `IAMAllowedPrincipals` gruppo dispone di `Super` autorizzazioni su tutte le tabelle del database. 

**Per abilitare la modalità di accesso ibrido per una posizione dati non registrata con Lake Formation**

1. 

**Registra una posizione Amazon S3 abilitando la modalità di accesso ibrida.**

------
#### [ Console ]

   1. Accedi alla [console Lake Formation](https://console.aws.amazon.com/lakeformation/) come amministratore del data lake. 

   1. Nel riquadro di navigazione, scegli **Posizioni dei data lake** in **Amministrazione**.

   1. Scegli **Registra posizione**.  
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. Nella finestra **Registra posizione**, scegli il percorso **Amazon S3** che desideri registrare con Lake Formation. 

   1. Per il **ruolo IAM**, scegli il ruolo `AWSServiceRoleForLakeFormationDataAccess` collegato al servizio (predefinito) o un ruolo IAM personalizzato ruolo che soddisfa i requisiti di. [Requisiti per i ruoli utilizzati per registrare le sedi](registration-role.md) 

   1. Scegli la **modalità di accesso ibrida** per applicare politiche di controllo degli accessi granulari di Lake Formation ai principali opt-in e ai database e alle tabelle di Data Catalog che puntano alla posizione registrata.


      Scegli Lake Formation per consentire a Lake Formation di autorizzare le richieste di accesso alla posizione registrata.


   1. Scegli **Registra posizione**.

------
#### [ AWS CLI ]

   Di seguito è riportato un esempio di registrazione di una posizione dati con Lake Formation HybridAccessEnabled con:true/false. Il valore predefinito per il parametro è false. `HybridAccessEnabled` Sostituisci il percorso, il nome del ruolo e l'ID AWS account di Amazon S3 con valori validi.

   ```
   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**Concedi le autorizzazioni e attiva i principali per utilizzare le autorizzazioni di Lake Formation per le risorse in modalità di accesso ibrido**

   Prima di attivare i principali e le risorse in modalità di accesso ibrido, verifica che `Super` i `All` permessi di `IAMAllowedPrincipals` raggruppamento esistano sui database e sulle tabelle la cui posizione è registrata con Lake Formation in modalità di accesso ibrida.
**Nota**  
Non puoi concedere l'autorizzazione al `IAMAllowedPrincipals` gruppo `All tables` all'interno di un database. È necessario selezionare ogni tabella separatamente dal menu a discesa e concedere le autorizzazioni. Inoltre, quando crei nuove tabelle nel database, puoi scegliere di utilizzarle `Use only IAM access control for new tables in new databases` nelle Impostazioni del catalogo **dati**. Questa opzione concede automaticamente l'`Super`autorizzazione al `IAMAllowedPrincipals` gruppo quando si creano nuove tabelle all'interno del database. 

------
#### [ Console ]

   1. Nella console Lake Formation, in **Data Catalog**, scegli **Cataloghi**, **Database** o **Tabelle**.

   1. Seleziona un catalogo, un database o una tabella dall'elenco e scegli **Concedi** dal menu **Azioni**.

   1. Scegliete i principali per concedere le autorizzazioni sul database, sulle tabelle e sulle colonne utilizzando il metodo della risorsa denominata o i tag LF.

      **In alternativa, scegli **Autorizzazioni dati**, seleziona i principali a cui concedere le autorizzazioni dall'elenco e scegli Concedi.**

      Per maggiori dettagli sulla concessione delle autorizzazioni per i dati, consulta. [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md)
**Nota**  
Se concedi l'autorizzazione Create table a un principale, devi anche concedere le autorizzazioni per la localizzazione dei dati (`DATA_LOCATION_ACCESS`) al principale. Questa autorizzazione non è necessaria per aggiornare le tabelle.  
Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).

   1. Quando si utilizza il **metodo Named resource** per concedere le autorizzazioni, l'opzione per attivare i principali e le risorse è disponibile nella sezione inferiore della pagina **Concedi l'autorizzazione ai dati**. 

      Scegli **Rendi immediatamente effettive le autorizzazioni di Lake Formation** per abilitare le autorizzazioni di Lake Formation per i committenti e le risorse.  
![\[L'opzione per scegliere la modalità di accesso ibrida per la risorsa Data Catalog.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. Scegliere **Concedi**.

       Quando si attiva il principale A sulla tabella A che punta a una posizione dei dati, consente al principale A di accedere alla posizione di questa tabella utilizzando le autorizzazioni di Lake Formation se la posizione dei dati è registrata in modalità ibrida. 

------
#### [ AWS CLI ]

   Di seguito è riportato un esempio di attivazione di un principale e di una tabella in modalità di accesso ibrida. Sostituisci il nome del ruolo, l'id AWS dell'account, il nome del database e il nome della tabella con valori validi.

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }
   ```

------

   1. Se scegli LF-Tags per concedere le autorizzazioni, puoi attivare i principali per utilizzare i permessi di Lake Formation in un passaggio separato. Puoi farlo scegliendo la **modalità di accesso ibrido** in **Autorizzazioni** nella barra di navigazione a sinistra.

   1.  Nella sezione inferiore della pagina della **modalità di accesso ibrida**, scegli **Aggiungi per aggiungere** risorse e principali alla modalità di accesso ibrida. 

   1.  Nella pagina **Aggiungi risorse e principali, scegli i** cataloghi, i database e le tabelle registrati in modalità di accesso ibrido. 

      Puoi scegliere `All tables` all'interno di un database per concedere l'accesso.  
![\[L'interfaccia per aggiungere cataloghi, database e tabelle in modalità di accesso ibrido.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. Scegli i titolari e accetta di utilizzare le autorizzazioni di Lake Formation in modalità di accesso ibrida.
      +  **Responsabili**: puoi scegliere utenti e ruoli IAM nello stesso account o in un altro account. Puoi anche scegliere utenti e gruppi SAML.
      + **Attributi**: seleziona gli attributi per concedere le autorizzazioni in base agli attributi.  
![\[L'interfaccia per aggiungere principi e risorse con un'espressione di attributo.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + Inserisci la coppia chiave-valore per creare una concessione basata sugli attributi. Controlla l'espressione della policy Cedar sulla console. Per ulteriori informazioni su Cedar, vedi [Cos'è Cedar? \$1 Cedar Policy](https://docs.cedarpolicy.com/) Language Reference. GuideLink
      + Scegliere **Aggiungi**.

        A tutti gli IAM roles/users con attributi corrispondenti viene concesso l'accesso.

   1. Scegliere **Aggiungi**.

# Conversione di una risorsa di Lake Formation in una risorsa ibrida
<a name="hybrid-access-mode-update"></a>

Nei casi in cui attualmente utilizzi le autorizzazioni di Lake Formation per i database e le tabelle del Data Catalog, puoi modificare le proprietà di registrazione della posizione per abilitare la modalità di accesso ibrida. Ciò consente di fornire ai nuovi principali l'accesso alle stesse risorse utilizzando le politiche di autorizzazione IAM per Amazon S3 AWS Glue e le azioni senza interrompere le autorizzazioni esistenti di Lake Formation.

 Descrizione dello scenario: i passaggi seguenti presuppongono che tu abbia una posizione dei dati registrata con Lake Formation e che tu abbia impostato le autorizzazioni per i principali su database, tabelle o colonne che puntano a quella posizione. Se la posizione è stata registrata con un ruolo collegato al servizio, non puoi aggiornare i parametri di posizione e abilitare la modalità di accesso ibrida. Per impostazione predefinita, il `IAMAllowedPrincipals` gruppo dispone di autorizzazioni Super sul database e su tutte le relative tabelle. 

**Importante**  
Non aggiornate la registrazione di una posizione alla modalità di accesso ibrida senza attivare i principali che accedono ai dati in questa posizione.

**Abilitazione della modalità di accesso ibrido per una posizione dati registrata con Lake Formation**

1. 
**avvertimento**  
Non consigliamo di convertire una posizione dati gestita da Lake Formation in modalità di accesso ibrida per evitare di interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti.

   Scegli i presidi esistenti che dispongono dei permessi di Lake Formation.

   1. Elenca e rivedi le autorizzazioni che hai concesso ai responsabili su cataloghi, database e tabelle. Per ulteriori informazioni, consulta [Visualizzazione delle autorizzazioni per database e tabelle in Lake Formation](viewing-permissions.md). 

   1. **Scegli la **modalità di accesso ibrido** in **Autorizzazioni** dalla barra di navigazione a sinistra e scegli Aggiungi.** 

   1. Nella pagina **Aggiungi principali e risorse, scegli i** cataloghi, i database e le tabelle dalla posizione dati di Amazon S3 che desideri utilizzare in modalità di accesso ibrido. Scegli i presidi che dispongono già dei permessi di Lake Formation. 

   1.  Scegli **Aggiungi** per attivare i principali per utilizzare le autorizzazioni di Lake Formation in modalità di accesso ibrida.

1.  Aggiorna la bucket/prefix registrazione Amazon S3 scegliendo l'opzione della **modalità di accesso ibrida**. 

------
#### [ Console ]

   1. Accedi alla console di Lake Formation come amministratore del data lake.

   1.  Nel riquadro di navigazione, in **Register and Ingest**, scegli **Data lake locations**.

   1. Seleziona una posizione e nel menu **Azioni** scegli **Modifica**.

   1. Scegli la **modalità di accesso ibrida**. 

   1. Scegli **Save** (Salva). 

   1. In Data Catalog, seleziona il database o la tabella e `Super` concedi `All` le autorizzazioni al gruppo virtuale chiamato`IAMAllowedPrincipals`. 

   1.  Verifica che l'accesso degli utenti esistenti di Lake Formation non venga interrotto quando hai aggiornato le proprietà di registrazione della posizione. Accedi alla console Athena come principale di Lake Formation ed esegui una query di esempio su una tabella che punta alla posizione aggiornata. 

      Allo stesso modo, verifica l'accesso degli AWS Glue utenti che utilizzano le policy di autorizzazione IAM per accedere al database e alle tabelle.

------
#### [ AWS CLI ]

   Di seguito è riportato un esempio di registrazione di una posizione dati con Lake Formation HybridAccessEnabled con:true/false. Il valore predefinito per il parametro è false. `HybridAccessEnabled` Sostituisci il percorso, il nome del ruolo e l'ID AWS account di Amazon S3 con valori validi.

   ```
   aws lakeformation update-resource --cli-input-json file://file path
   json:
   {
       "ResourceArn": "arn:aws:s3:::<s3-path>",
       "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
       "HybridAccessEnabled": true
   }
   ```

------

# Condivisione di una AWS Glue risorsa utilizzando la modalità di accesso ibrida
<a name="hybrid-access-mode-cross-account"></a>

Condividi i dati con un altro Account AWS o con un responsabile di un altro richiedente Account AWS applicando le autorizzazioni di Lake Formation senza interrompere l'accesso basato su IAM degli utenti di Data Catalog esistenti. 

Descrizione dello scenario: l'account produttore dispone di un database Data Catalog il cui accesso è controllato tramite le politiche e AWS Glue le azioni principali di IAM per Amazon S3. La posizione dei dati del database non è registrata con Lake Formation. Per impostazione predefinita, il `IAMAllowedPrincipals` gruppo dispone `Super` delle autorizzazioni per il database e tutte le relative tabelle. 

**Concessione di autorizzazioni Lake Formation per più account in modalità di accesso ibrida**

1. 

**Configurazione dell'account Producer**

   1. Accedi alla console di Lake Formation utilizzando un ruolo con autorizzazione `lakeformation:PutDataLakeSettings` IAM.

   1. Vai alle **impostazioni di Data Catalog** e scegli `Version 4` le **impostazioni della versione dell'account Cross**.

      Se attualmente utilizzi la versione 1 o 2, consulta [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md) le istruzioni per l'aggiornamento alla versione 3. 

      Non sono necessarie modifiche alla politica di autorizzazione per l'aggiornamento dalla versione 3 alla 4.

   1. Registra la posizione Amazon S3 del database o della tabella che intendi condividere in modalità di accesso ibrido.

   1. Verifica che l'`Super`autorizzazione al `IAMAllowedPrincipals` gruppo esista sui database e sulle tabelle di cui hai registrato la posizione dei dati in modalità di accesso ibrida nel passaggio precedente. 

   1. Concedi le autorizzazioni di Lake Formation a AWS organizzazioni, unità organizzative (OUs) o direttamente con un responsabile IAM in un altro account.

   1. Se concedi le autorizzazioni direttamente a un principale IAM, scegli l'indirizzo principale dall'account consumer per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrido abilitando l'opzione Rendi le autorizzazioni di **Lake Formation effettive** immediatamente.

       Se concedi autorizzazioni per più account a un altro AWS account, quando attivi l'account, le autorizzazioni di Lake Formation vengono applicate solo agli amministratori di quell'account. L'amministratore del data lake dell'account destinatario deve ripartire a cascata le autorizzazioni e attivare i principali dell'account per applicare le autorizzazioni di Lake Formation per le risorse condivise che si trovano in modalità di accesso ibrido.

      Se scegli l'opzione **Resources matched by LF-Tags** per concedere le autorizzazioni su più account, devi prima completare la fase di concessione delle autorizzazioni. Puoi impostare i principali e le risorse per la modalità di accesso ibrido in un passaggio separato selezionando la **modalità di accesso ibrida** in Autorizzazioni nella barra di navigazione a sinistra della console Lake Formation. Quindi scegli **Aggiungi** per aggiungere le risorse e i presidi a cui desideri applicare le autorizzazioni di Lake Formation. 

1. 

**Configurazione dell'account consumatore**

   1. Accedi alla console di Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)come amministratore del data lake.

   1. Vai alla [https://console.aws.amazon.com/ram/home page](https://console.aws.amazon.com/ram/home) e accetta l'invito alla condivisione delle risorse. La scheda **Condivisi con me** nella AWS RAM console mostra il database e le tabelle condivise con il tuo account.

   1.  Crea un link di risorsa alla and/or tabella del database condivisa in Lake Formation.

   1.  Concedi `Describe` l'autorizzazione sul link alla risorsa e l'`Grant on target`autorizzazione (sulla risorsa condivisa originale) ai principali IAM del tuo account (consumatore). 

   1.  Concedi le autorizzazioni di Lake Formation sul database o sulla tabella condivisa con te ai responsabili del tuo account. Scegli i principi e le risorse per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrida abilitando l'opzione Rendi immediatamente effettive le **autorizzazioni di Lake Formation**.

   1.  Verifica le autorizzazioni Lake Formation del preside eseguendo query Athena di esempio. Testa l'accesso esistente dei tuoi AWS Glue utenti con le policy principali di IAM per Amazon S3 e AWS Glue le azioni.

      (Facoltativo) Rimuovi la policy del bucket di Amazon S3 per l'accesso ai dati e le politiche principali di IAM e l'accesso ai dati di Amazon S3 per AWS Glue i principali che hai configurato per utilizzare le autorizzazioni Lake Formation.

# Condivisione di una risorsa Lake Formation utilizzando la modalità di accesso ibrida
<a name="hybrid-access-mode-cross-account-IAM"></a>

Consenti ai nuovi utenti di Data Catalog in un account esterno di accedere ai database e alle tabelle di Data Catalog utilizzando policy basate su IAM senza interrompere le autorizzazioni di condivisione tra account esistenti di Lake Formation.

Descrizione dello scenario: l'account produttore dispone di database e tabelle gestiti da Lake Formation condivisi con un account esterno (consumatore) a livello di account o principale IAM. La posizione dei dati del database è registrata presso Lake Formation. Il `IAMAllowedPrincipals` gruppo non dispone `Super` delle autorizzazioni per il database e le relative tabelle. 

**Garantire l'accesso su più account ai nuovi utenti del Data Catalog tramite policy basate su IAM senza interrompere le autorizzazioni esistenti di Lake Formation**

1. 

**Configurazione dell'account Producer**

   1. Accedi alla console Lake Formation utilizzando un ruolo che`lakeformation:PutDataLakeSettings`. 

   1. In **Impostazioni Data Catalog**, scegli `Version 4` le **impostazioni della versione dell'account Cross**.

      Se attualmente utilizzi la versione 1 o 2, consulta [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md) le istruzioni per l'aggiornamento alla versione 3. 

      Non sono necessarie modifiche alla politica di autorizzazione per l'aggiornamento dalla versione 3 alla 4.

   1. Elenca le autorizzazioni che hai concesso ai principali su database e tabelle. Per ulteriori informazioni, consulta [Visualizzazione delle autorizzazioni per database e tabelle in Lake Formation](viewing-permissions.md). 

   1.  Rigenera le autorizzazioni esistenti per più account di Lake Formation optando per i principali e le risorse.
**Nota**  
Prima di aggiornare la registrazione di una posizione dati alla modalità di accesso ibrida per concedere le autorizzazioni tra più account, devi concedere nuovamente almeno una condivisione di dati tra account per account. Questo passaggio è necessario per aggiornare le autorizzazioni AWS RAM gestite allegate alla condivisione di risorse. AWS RAM   
Nel luglio 2023, Lake Formation ha aggiornato le autorizzazioni AWS RAM gestite utilizzate per la condivisione di database e tabelle:  
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase`(politica di condivisione a livello di database)
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite`(politica di condivisione a livello di tabella) 
Le autorizzazioni per più account concesse prima di luglio 2023 non dispongono di queste autorizzazioni aggiornate. AWS RAM   
Se hai concesso autorizzazioni per più account direttamente ai responsabili, devi concedere nuovamente tali autorizzazioni individualmente ai responsabili. Se salti questo passaggio, i principali che accedono alla risorsa condivisa potrebbero ricevere un errore di combinazione illegale. 

   1. [Vai a casa. https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/home) 

   1. La scheda **Condivisi da me** nella AWS RAM console mostra i nomi di database e tabelle che hai condiviso con un account o un principale esterno.

       Assicurati che le autorizzazioni allegate alla risorsa condivisa abbiano l'ARN corretto. 

   1. Verifica che lo stato delle risorse nella AWS RAM condivisione sia attivo. `Associated` Se lo stato è uguale a`Associating`, attendi che entrino `Associated` nello stato. Se lo stato diventa`Failed`, fermati e contatta il team di assistenza di Lake Formation. 

   1. Scegli la **modalità di accesso ibrido** in **Autorizzazioni** dalla barra di navigazione a sinistra e scegli **Aggiungi**. 

   1.  La pagina **Aggiungi principi e risorse** mostra i database, le and/or tabelle e i principali che hanno accesso. È possibile apportare gli aggiornamenti richiesti aggiungendo o rimuovendo i principali e le risorse.

   1.  Scegli i principali con autorizzazioni Lake Formation per il database e le tabelle che desideri modificare in modalità di accesso ibrida. Scegli i database e le tabelle. 

   1.  Scegli **Aggiungi** per attivare i principali per applicare le autorizzazioni di Lake Formation in modalità di accesso ibrida.

   1.  Concedi `Super` l'autorizzazione al gruppo virtuale `IAMAllowedPrincipals` sul tuo database e sulle tabelle selezionate. 

   1. Modifica la registrazione della sede Amazon S3 Lake Formation in modalità di accesso ibrida.

   1. Concedi le autorizzazioni agli AWS Glue utenti dell'account esterno (consumer) utilizzando le politiche di autorizzazione IAM per le azioni di Amazon AWS Glue S3. 

1. 

**Configurazione dell'account consumer**

   1. Accedi alla console di Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)come amministratore del data lake. 

   1. Vai alla [https://console.aws.amazon.com/ram/home page](https://console.aws.amazon.com/ram/home) e accetta l'invito alla condivisione delle risorse. La scheda **Risorse condivise con me** della AWS RAM pagina mostra i nomi dei database e delle tabelle condivisi con il tuo account.

       Per la AWS RAM condivisione, assicurati che l'autorizzazione allegata contenga l'ARN corretto dell'invito condiviso AWS RAM . Controlla se le risorse della AWS RAM condivisione sono in `Associated` stato. Se lo stato è uguale`Associating`, attendi che diventino `Associated` tali. Se lo stato diventa`Failed`, fermati e contatta il team di assistenza di Lake Formation. 

   1.  Crea un link di risorsa alla and/or tabella del database condivisa in Lake Formation.

   1.  Concedi `Describe` l'autorizzazione sul link alla risorsa e l'`Grant on target`autorizzazione (sulla risorsa condivisa originale) ai principali IAM del tuo account (consumatore). 

   1. Successivamente, configura le autorizzazioni di Lake Formation per i principali del tuo account nel database o nella tabella condivisa.

      Nella barra di navigazione a sinistra, in **Autorizzazioni**, scegli la modalità di accesso **ibrido**.

   1.  Scegli **Aggiungi** nella sezione inferiore della pagina della **modalità di accesso ibrido** per attivare i principali e il database o la tabella condivisi con te dall'account produttore.

   1.  Concedi le autorizzazioni agli AWS Glue utenti del tuo account utilizzando le politiche di autorizzazione IAM per le azioni di Amazon AWS Glue S3. 

   1.  Verifica le autorizzazioni e AWS Glue le autorizzazioni di Lake Formation degli utenti eseguendo query di esempio separate sulla tabella utilizzando Athena

      (Facoltativo) Pulisci le politiche di autorizzazione IAM per Amazon S3 per i principali che si trovano in modalità di accesso ibrido.

# Rimozione di principi e risorse dalla modalità di accesso ibrida
<a name="delete-hybrid-access"></a>

 Segui questi passaggi per rimuovere database, tabelle e principali dalla modalità di accesso ibrido. 

------
#### [ Console ]

1. Accedi alla console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. In **Autorizzazioni**, scegli la **modalità di accesso ibrido**.

1.  Nella pagina della **modalità di accesso ibrido**, seleziona la casella di controllo accanto al nome del database o della tabella e scegli. `Remove` 

1. Un messaggio di avviso richiede di confermare l'azione. Scegli **Rimuovi**.

   Lake Formation non impone più le autorizzazioni per tali risorse e l'accesso a questa risorsa sarà controllato tramite IAM e AWS Glue le autorizzazioni. Ciò potrebbe far sì che l'utente non abbia più accesso a questa risorsa se non dispone delle autorizzazioni IAM appropriate. 

------
#### [ AWS CLI ]

 L'esempio seguente mostra come rimuovere risorse dalla modalità di accesso ibrida. 

```
aws lakeformation delete-lake-formation-opt-in --cli-input-json file://file path

json:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/role name"
    },
    "Resource": {
        "Table": {
            "CatalogId": "<123456789012>",
            "DatabaseName": "<database name>",
            "Name": "<table name>"
          }
    }
}
```

------

# Visualizzazione dei principali e delle risorse in modalità di accesso ibrida
<a name="view-hybrid-access"></a>

 Segui questi passaggi per visualizzare database, tabelle e principali in modalità di accesso ibrido. 

------
#### [ Console ]

1. Accedi alla console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. In **Autorizzazioni**, scegli la **modalità di accesso ibrido**.

1.  La pagina della **modalità di accesso ibrido** mostra le risorse e i principali attualmente in modalità di accesso ibrida. 

------
#### [ AWS CLI ]

 L'esempio seguente mostra come elencare tutti i principali e le risorse di opt-in che si trovano in modalità di accesso ibrida. 

```
      
aws lakeformation list-lake-formation-opt-ins
```

 L'esempio seguente mostra come elencare gli opt-in per una specifica coppia principale-risorsa.

```
aws lakeformation list-lake-formation-opt-ins --cli-input-json file://file path

json:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::<account-id>:role/<role name>"
    },
    "Resource": {
        "Table": {
            "CatalogId": "<account-id>",
            "DatabaseName": "<database name>",
            "Name": "<table name>"
          }
    }
}
```

------

# Risorse aggiuntive
<a name="additional-resources-hybrid"></a>

Nel seguente post del blog, ti illustreremo le istruzioni per integrare le autorizzazioni di Lake Formation in modalità di accesso ibrida per utenti selezionati mentre il database è già accessibile ad altri utenti tramite le autorizzazioni IAM e Amazon S3. Esamineremo le istruzioni per configurare la modalità di accesso ibrida all'interno di un AWS account e tra due account. 
+ [Presentazione della modalità di accesso AWS Glue Data Catalog ibrida per l'accesso sicuro utilizzando le policy di Lake Formation e IAM e Amazon S3.](https://aws.amazon.com/blogs/big-data/introducing-hybrid-access-mode-for-aws-glue-data-catalog-to-secure-access-using-aws-lake-formation-and-iam-and-amazon-s3-policies/)