Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle autorizzazioni di Lake Formation
Lake Formation fornisce controlli di accesso centralizzati per i dati nel tuo data lake. Puoi definire regole basate su policy di sicurezza per i tuoi utenti e le tue applicazioni in base al ruolo in Lake Formation e l'integrazione con AWS Identity and Access Management autentica tali utenti e ruoli. Una volta definite le regole, Lake Formation applica i controlli di accesso con granularità a livello di tabella, colonna e ro per gli utenti di Amazon Redshift Spectrum e Amazon Athena.
**Topics**
+ [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md)
+ [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md)
+ [Scenario di esempio di autorizzazioni](security-permissions-example-scenario.md)
+ [Filtraggio dei dati e sicurezza a livello di cella in Lake Formation](data-filtering.md)
+ [Visualizzazione delle autorizzazioni per database e tabelle in Lake Formation](viewing-permissions.md)
+ [Revoca dell'autorizzazione utilizzando la console Lake Formation](revoking-permssions-console-all.md)
+ [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md)
+ [Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
+ [Creazione di collegamenti alle risorse](creating-resource-links.md)
+ [Accesso alle tabelle in tutte le regioni](data-access-across-region.md)
# Concessione delle autorizzazioni per la localizzazione dei dati
Le autorizzazioni di localizzazione dei dati AWS Lake Formation consentono ai responsabili di creare e modificare risorse del catalogo dati che puntano a sedi Amazon S3 registrate designate. Le autorizzazioni di localizzazione dei dati funzionano in aggiunta alle autorizzazioni per i dati di Lake Formation per proteggere le informazioni nel tuo data lake.
Lake Formation non utilizza il servizio AWS Resource Access Manager (AWS RAM) per le concessioni di autorizzazioni alla localizzazione dei dati, quindi non è necessario accettare inviti alla condivisione delle risorse per le autorizzazioni di localizzazione dei dati.
Puoi concedere le autorizzazioni per la localizzazione dei dati utilizzando la console, l'API o AWS Command Line Interface (AWS CLI) di Lake Formation.
**Nota**
Affinché una sovvenzione abbia successo, devi prima registrare la posizione dei dati con Lake Formation.
**Consulta anche:**
[Underlying data access control](access-control-underlying-data.md#data-location-permissions)
**Topics**
+ [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md)
+ [Concessione delle autorizzazioni per la localizzazione dei dati (account esterno)](granting-location-permissions-external.md)
+ [Concessione delle autorizzazioni su una posizione di dati condivisa con l'account](regranting-locations.md)
# Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)
Segui questi passaggi per concedere le autorizzazioni per la localizzazione dei dati ai responsabili del tuo account. AWS Puoi concedere le autorizzazioni utilizzando la console Lake Formation, l'API o AWS Command Line Interface (AWS CLI).
------
#### [ Console di gestione AWS ]
**Per concedere le autorizzazioni per la localizzazione dei dati (stesso account)**
1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come amministratore del data lake o come responsabile che ha concesso le autorizzazioni per la posizione dei dati desiderata.
1. Nel riquadro di navigazione, in **Autorizzazioni**, scegli Posizioni **dei dati**.
1. Scegliere **Concedi**.
1. Nella finestra di dialogo **Concedi autorizzazioni**, assicurati che il riquadro Il **mio account** sia selezionato. Fornisci quindi le seguenti informazioni:
+ Per **gli utenti e i ruoli IAM**, scegli uno o più principali.
+ Per **utenti e gruppi SAML e Amazon Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o per utenti o gruppi ARNs Amazon Quick.
Immettere un ARN alla volta e premere **Invio** dopo ogni ARN. Per informazioni su come costruire il ARNs, vedere. [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
+ Per **le posizioni di archiviazione**, scegli **Browse** e scegli una posizione di storage Amazon Simple Storage Service (Amazon S3). La sede deve essere registrata presso Lake Formation. Scegli nuovamente **Sfoglia** per aggiungere un'altra località. Puoi anche digitare la posizione, ma assicurati di farla precedere da`s3://`.
+ Per **Ubicazione dell'account registrato**, inserisci l'ID AWS dell'account in cui è registrata la sede. L'impostazione predefinita è l'ID del tuo account. In uno scenario con più account, gli amministratori del data lake di un account destinatario possono specificare qui l'account del proprietario quando concedono l'autorizzazione alla localizzazione dei dati ad altri responsabili dell'account del destinatario.
+ **(Facoltativo) Per consentire ai principali selezionati di concedere le autorizzazioni per la localizzazione dei dati sulla posizione selezionata, seleziona Grantable.**
![\[Nella finestra di dialogo Concedi le autorizzazioni, sono selezionati l'utente datalake_user e la posizione di archiviazione s3://119. retail/transactions/q\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-location-dialog-local.png)
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
**Per concedere le autorizzazioni per la localizzazione dei dati (stesso account)**
+ Esegui un `grant-permissions` comando e `DATA_LOCATION_ACCESS` concedi al principale, specificando il percorso Amazon S3 come risorsa.
**Example**
L'esempio seguente concede all'utente le autorizzazioni di localizzazione dei dati. `s3://retail` `datalake_user1`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
```
**Example**
L'esempio seguente concede le autorizzazioni per la localizzazione dei dati a un gruppo. `s3://retail` `ALLIAMPrincipals`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
```
------
**Consulta anche:**
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
# Concessione delle autorizzazioni per la localizzazione dei dati (account esterno)
Segui questi passaggi per concedere le autorizzazioni per la localizzazione dei dati a un AWS account o a un'organizzazione esterni.
Puoi concedere le autorizzazioni utilizzando la console Lake Formation, l'API o AWS Command Line Interface (AWS CLI).
**Prima di iniziare**
Assicurati che tutti i prerequisiti di accesso tra account siano soddisfatti. Per ulteriori informazioni, consulta [Prerequisiti](cross-account-prereqs.md).
------
#### [ Console di gestione AWS ]
**Per concedere le autorizzazioni per la localizzazione dei dati (account esterno, console)**
1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come amministratore del data lake.
1. Nel riquadro di navigazione, in **Autorizzazioni**, scegli **Posizioni dei dati**, quindi scegli **Concedi**.
1. Nella finestra di dialogo **Concedi autorizzazioni**, scegli il riquadro **Account esterno**.
1. Inserisci le informazioni che seguono:
+ Per l'**ID dell'AWS account o AWS l'ID dell'organizzazione**, inserisci numeri di AWS conto IDs, organizzazione o unità IDs organizzativa validi.
Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa è composto da «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo «-» (trattino) e da 8 a 32 lettere o cifre minuscole aggiuntive.
+ In **Luoghi di archiviazione**, scegli **Browse** e scegli una posizione di storage Amazon Simple Storage Service (Amazon S3). La sede deve essere registrata presso Lake Formation.
![\[Nella finestra di dialogo Concedi l'autorizzazione viene selezionato il pulsante di opzione Account esterno, viene specificato un AWS account e viene specificata una posizione di archiviazione.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-location-dialog-external.png)
1. Seleziona **Grantable**.
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
**Per concedere le autorizzazioni per la localizzazione dei dati (account esterno,) AWS CLI**
+ Per concedere le autorizzazioni a un AWS account esterno, immettete un comando simile al seguente.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
```
Questo comando concede l'opzione di concessione `DATA_LOCATION_ACCESS` all'account 1111-2222-3333 nella posizione `s3://retail/transactions/2020q1` Amazon S3, che è di proprietà dell'account 1234-5678-9012.
Per concedere le autorizzazioni a un'organizzazione, inserisci un comando simile al seguente.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
```
Questo comando concede un'opzione `DATA_LOCATION_ACCESS` di concessione all'organizzazione `o-abcdefghijkl` nella `s3://retail/transactions/2020q1` posizione Amazon S3, che è di proprietà dell'account 1234-5678-9012.
Per concedere le autorizzazioni a un principale in un AWS account esterno, inserisci un comando simile al seguente.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
```
Questo comando concede `DATA_LOCATION_ACCESS` a un principale nell'account 1111-2222-3333 nella posizione `s3://retail/transactions/2020q1` Amazon S3, che è di proprietà dell'account 1234-5678-9012.
**Example**
L'esempio seguente concede le autorizzazioni di localizzazione dei dati per il raggruppamento in un account esterno. `s3://retail` `ALLIAMPrincipals`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
```
------
**Consulta anche:**
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
# Concessione delle autorizzazioni su una posizione di dati condivisa con l'account
Dopo aver condiviso una risorsa Data Catalog con il tuo AWS account, in qualità di amministratore del data lake, puoi concedere le autorizzazioni sulla risorsa ad altri responsabili del tuo account. Se l'`ALTER`autorizzazione viene concessa su una tabella condivisa e la tabella punta a una posizione Amazon S3 registrata, devi anche concedere le autorizzazioni per la posizione dei dati sulla posizione. Allo stesso modo, se l'`ALTER`autorizzazione `CREATE_TABLE` o viene concessa su un database condiviso e il database ha una proprietà di posizione che punta a una posizione registrata, devi concedere anche le autorizzazioni per la localizzazione dei dati sulla posizione.
Per concedere le autorizzazioni di localizzazione dei dati su una posizione condivisa a un responsabile del tuo account, al tuo account deve essere stata concessa l'`DATA_LOCATION_ACCESS`autorizzazione sulla posizione con l'opzione di concessione. Quando poi concedi `DATA_LOCATION_ACCESS` a un altro titolare del tuo account, devi includere l'ID Data Catalog (ID dell'AWS account) dell'account proprietario. L'account del proprietario è l'account che ha registrato la sede.
Puoi utilizzare la AWS Lake Formation console, l'API o AWS Command Line Interface ()AWS CLI per concedere le autorizzazioni per la localizzazione dei dati.
**Per concedere le autorizzazioni su una posizione dati condivisa con il tuo account (console)**
+ Segui la procedura riportata in [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md).
Per le **posizioni di archiviazione**, è necessario digitare le posizioni. Per **Ubicazione dell'account registrato**, inserisci l' AWS ID dell'account del proprietario.
**Per concedere le autorizzazioni su una posizione dati condivisa con il tuo account ()AWS CLI**
+ Inserisci uno dei seguenti comandi per concedere le autorizzazioni a un utente o a un ruolo.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/ --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"","ResourceArn":"arn:aws:s3:::"}}'
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::role/ --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"","ResourceArn":"arn:aws:s3:::"}}'
```
# Concessione delle autorizzazioni per le risorse del Data Catalog
Puoi concedere **le autorizzazioni relative ai dati** ai responsabili in AWS Lake Formation modo che i responsabili possano creare e gestire le risorse del Data Catalog e possano accedere ai dati sottostanti. È possibile concedere **le autorizzazioni di Data Lake** su cataloghi, database, tabelle e viste. Quando concedi le autorizzazioni per le tabelle, puoi limitare l'accesso a colonne o righe specifiche della tabella per un controllo degli accessi ancora più preciso.
È possibile concedere autorizzazioni su singoli cataloghi, database, tabelle e viste oppure con un'unica operazione di concessione, è possibile concedere autorizzazioni su tutti i database, le tabelle e le viste di un catalogo o di un database. Se concedi le autorizzazioni su tutte le tabelle di un database ai responsabili IAM, concedi implicitamente l'autorizzazione sul database. `DESCRIBE` Il database viene quindi visualizzato nella pagina **Database** della console e viene restituito dall'operazione API. `GetDatabases` Lo stesso principio si applica a livello di catalogo: quando si ricevono le autorizzazioni per i database all'interno di un catalogo, si ottengono anche `DESCRIBE` le autorizzazioni per quel catalogo.
**Importante**
L'`DESCRIBE`autorizzazione implicita si applica solo quando si concedono le autorizzazioni ai responsabili IAM all'interno dello stesso account. AWS Per le risorse tra più account, devi concedere esplicitamente le autorizzazioni. `DESCRIBE` La concessione automatica delle `DESCRIBE` autorizzazioni non si applica quando si utilizza il controllo degli accessi basato sugli attributi (ABAC). Quando si concedono le autorizzazioni su tutte le tabelle di un database utilizzando gli attributi, Lake Formation non concede implicitamente `DESCRIBE` l'autorizzazione al database.
È possibile concedere le autorizzazioni utilizzando il metodo named resource o il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC).
È possibile concedere le autorizzazioni ai responsabili dello stesso account o a organizzazioni esterne. Account AWS Quando concedi ad account o organizzazioni esterni, condividi oggetti Data Catalog di tua proprietà con tali account o organizzazioni. I responsabili di tali account o organizzazioni possono quindi accedere agli oggetti di Data Catalog di cui sei proprietario e ai dati sottostanti.
**Nota**
Attualmente, il metodo LF-TBAC supporta la concessione di autorizzazioni su più account a dirigenti, Account AWS organizzazioni e unità organizzative IAM (). OUs
Quando concedi autorizzazioni ad account o organizzazioni esterni, devi includere l'opzione di concessione. Solo l'amministratore del data lake dell'account esterno può accedere agli oggetti condivisi finché l'amministratore non concede le autorizzazioni sugli oggetti condivisi ad altri responsabili dell'account esterno.
Puoi concedere le autorizzazioni di Data Catalog utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
**Nota**
Quando si elimina un oggetto Data Catalog, tutte le autorizzazioni associate all'oggetto diventano non valide. Ricreando la stessa risorsa con lo stesso nome, non verranno recuperate le autorizzazioni di Lake Formation. Gli utenti dovranno configurare nuovamente le nuove autorizzazioni.
**Consulta anche:**
[Condivisione di tabelle e database del Data Catalog tra più account AWS](sharing-catalog-resources.md)
[Controllo dell'accesso ai metadati](access-control-metadata.md)
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
# Autorizzazioni IAM necessarie per concedere o revocare le autorizzazioni di Lake Formation
Tutti i responsabili, incluso l'amministratore del data lake, necessitano delle seguenti autorizzazioni AWS Identity and Access Management (IAM) per concedere o revocare le autorizzazioni AWS Lake Formation Data Catalog o le autorizzazioni di localizzazione dei dati con l'API Lake Formation o il: AWS CLI
+ `lakeformation:GrantPermissions`
+ `lakeformation:BatchGrantPermissions`
+ `lakeformation:RevokePermissions`
+ `lakeformation:BatchRevokePermissions`
+ `glue:GetTable``glue:GetDatabase`, o `glue:GetCatalog` per una tabella, un database o un catalogo a cui stai concedendo le autorizzazioni utilizzando il metodo di risorsa denominato.
**Nota**
Gli amministratori di Data Lake dispongono delle autorizzazioni implicite di Lake Formation per concedere e revocare le autorizzazioni di Lake Formation. Ma hanno comunque bisogno delle autorizzazioni IAM sulle operazioni API di concessione e revoca di Lake Formation.
I ruoli IAM con policy `AWSLakeFormationDataAdmin` AWS gestita non possono aggiungere nuovi amministratori di data lake perché questa policy contiene un rifiuto esplicito per il funzionamento dell'API Lake Formation,. `PutDataLakeSetting`
La seguente policy IAM è consigliata ai responsabili che non sono amministratori di data lake e che desiderano concedere o revocare le autorizzazioni utilizzando la console Lake Formation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:ListPermissions",
"lakeformation:GrantPermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchRevokePermissions",
"glue:GetCatalogs",
"glue:GetDatabases",
"glue:SearchTables",
"glue:GetTables",
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable",
"iam:ListUsers",
"iam:ListRoles",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeInstance"
],
"Resource": "*"
}
]
}
```
------
Tutte le autorizzazioni `glue:` e le `iam:` autorizzazioni contenute in questa policy sono disponibili nella policy gestita. AWS `AWSGlueConsoleFullAccess`
Per concedere le autorizzazioni utilizzando il controllo degli accessi basato su tag Lake Formation (LF-TBAC), i principali necessitano di autorizzazioni IAM aggiuntive. Per ulteriori informazioni, consultare [Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation](lf-tag-considerations.md) e [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
**Autorizzazioni tra account**
Gli utenti che desiderano concedere autorizzazioni Lake Formation su più account utilizzando il metodo della risorsa denominata devono disporre anche delle autorizzazioni nella `AWSLakeFormationCrossAccountManager` AWS politica gestita.
Gli amministratori di Data Lake necessitano delle stesse autorizzazioni per concedere autorizzazioni su più account, oltre all'autorizzazione AWS Resource Access Manager (AWS RAM) per consentire la concessione di autorizzazioni alle organizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni di amministratore di Data Lake](permissions-reference.md#persona-dl-admin).
**L'utente amministrativo**
Un preside con autorizzazioni amministrative, ad esempio con la policy `AdministratorAccess` AWS gestita, dispone delle autorizzazioni per concedere le autorizzazioni di Lake Formation e creare amministratori di data lake. Per negare a un utente o a un ruolo l'accesso alle operazioni di amministratore di Lake Formation, allega o aggiungi alla sua policy una `Deny` dichiarazione per le operazioni dell'API dell'amministratore.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lakeformation:GetDataLakeSettings",
"lakeformation:PutDataLakeSettings"
],
"Effect": "Deny",
"Resource": [
"*"
]
}
]
}
```
------
**Importante**
Per impedire agli utenti di aggiungersi come amministratori con uno script di estrazione, trasformazione e caricamento (ETL), assicurati che a tutti gli utenti e i ruoli non amministratori sia negato l'accesso a queste operazioni API. La policy `AWSLakeFormationDataAdmin` AWS gestita contiene una negazione esplicita del funzionamento dell'API Lake Formation, `PutDataLakeSetting` che impedisce agli utenti di aggiungere nuovi amministratori di data lake.
# Concessione delle autorizzazioni per i dati utilizzando il metodo di risorsa denominato
Il metodo di risorse denominato Data Catalog è un modo per concedere autorizzazioni a AWS Glue Data Catalog oggetti, come cataloghi, database, tabelle, colonne e viste, utilizzando un approccio centralizzato. Consente di definire policy basate sulle risorse che controllano l'accesso a risorse specifiche all'interno del data lake.
Quando si utilizza il metodo della risorsa denominata per concedere le autorizzazioni, è possibile specificare il tipo di risorsa e le autorizzazioni che si desidera concedere o revocare per quella risorsa. È inoltre possibile revocare l'autorizzazione in un secondo momento, se necessario, rimuovendo in tal modo le autorizzazioni dalle risorse associate.
È possibile concedere le autorizzazioni utilizzando la AWS Lake Formation console o (). APIs AWS Command Line Interface AWS CLI
**Topics**
+ [Concessione delle autorizzazioni di catalogo utilizzando il metodo di risorsa denominato](granting-multi-catalog-permissions.md)
+ [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md)
+ [Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato](granting-table-permissions.md)
+ [Concessione delle autorizzazioni sulle viste utilizzando il metodo di risorsa denominato](granting-view-permissions.md)
# Concessione delle autorizzazioni di catalogo utilizzando il metodo di risorsa denominato
I passaggi seguenti spiegano come concedere le autorizzazioni di catalogo utilizzando il metodo della risorsa denominata.
------
#### [ Console ]
Usa la pagina **Concedi le autorizzazioni** sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
+ **Tipo principale**: è possibile concedere autorizzazioni a destinatari specifici o utilizzare tag di attributo.
+ **Principali**: utenti, ruoli, utenti e gruppi IAM Identity Center, utenti e gruppi SAML, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni.
**Principal per attributi**: aggiungi coppie chiave-valore di tag dai IAMroles o tag di sessione IAM. I principali con attributi corrispondenti ricevono l'accesso alla risorsa specificata.
+ **Tag LF o risorse del catalogo**: cataloghi, database, tabelle, viste o collegamenti alle risorse per cui concedere le autorizzazioni.
+ **Autorizzazioni: autorizzazioni** da concedere a The Lake Formation.
**Nota**
Per concedere le autorizzazioni su un collegamento a una risorsa del database, vedere. [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
1. Apri la pagina **Concedi le autorizzazioni**.
Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake, creatore del catalogo o utente IAM con **autorizzazioni Grantable** sul catalogo.
Esegui una delle seguenti operazioni:
+ **Nel pannello di navigazione, in Autorizzazioni, scegli **Autorizzazioni dati**.** Quindi scegli **Concedi**.
+ **Nel riquadro di navigazione, scegli **Cataloghi in Data Catalog.**** **Quindi, nella pagina **Cataloghi**, scegli un catalogo e dal menu **Azioni, in **Autorizzazioni****, scegli Concedi.**
**Nota**
Puoi concedere le autorizzazioni su un catalogo tramite il relativo link alla risorsa. A tale scopo, nella pagina **Cataloghi**, scegli un contenitore di link al catalogo e, nel menu **Azioni**, scegli **Concedi sulla destinazione**. Per ulteriori informazioni, consulta [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
1. Successivamente, nella sezione **Tipo principale**, scegli i principali o specifica gli attributi associati ai principali.
![\[La sezione Tipo principale contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Principal e Principal per attributi. Sotto il titolo ci sono i principali.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-catalog-principal-type.png)
****Specificare i principali****
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**.
**Centro identità IAM**
Scegli uno o più utenti o gruppi dall'elenco **Utenti e gruppi**. Seleziona **Aggiungi** per aggiungere altri utenti o gruppi.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o per utenti o gruppi ARNs Amazon Quick. Premi Invio dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **Account AWS, AWS organizzazione** o **IAM Principal** inserisci uno o più AWS account IDs, organizzazione IDs IDs, unità organizzativa o ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
****Principi per attributi****
**Attributes**
Aggiungi le coppie chiave-valore del tag IAM dal ruolo IAM.
**Ambito di autorizzazione**
Specificate se state concedendo le autorizzazioni ai responsabili con attributi corrispondenti nello stesso account o in un altro account.
1. **Nella sezione **LF-Tags o risorse del catalogo, scegliete Risorse del catalogo** dati denominate.**
![\[La sezione LF-Tags o catalog resources contiene due riquadri disposti orizzontalmente, dove ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate a LF-Tags e Risorse nominate del catalogo di dati. Sotto i riquadri ci sono due elenchi a discesa: Database e Tabella. L'elenco a discesa Database contiene un riquadro sottostante contenente il nome del database selezionato.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-target-resources-catalog.png)
1. **Scegli uno o più cataloghi dall'elenco Cataloghi.** Puoi anche scegliere uno o più **database**, **tabelle**, filtri di and/or **dati**.
1. Nella sezione **Autorizzazioni del catalogo**, seleziona Autorizzazioni e autorizzazioni concedibili. In **Autorizzazioni del catalogo**, seleziona una o più autorizzazioni da concedere.
![\[La sezione Autorizzazioni è il riquadro delle autorizzazioni del catalogo. Sotto i riquadri c'è un gruppo di caselle di controllo per la concessione delle autorizzazioni del catalogo. Le caselle di controllo includono Super user, Create catalog, Create database, Alter, Drop, Descrive e Super. Al di sotto di questo gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)
Scegli **Super user** per concedere privilegi amministrativi illimitati per eseguire qualsiasi operazione su tutte le risorse all'interno del catalogo (database, tabelle e viste).
**Nota**
Dopo aver concesso `Create database` o `Alter` su un catalogo che ha una proprietà di posizione che punta a una posizione registrata, assicuratevi di concedere anche ai responsabili le autorizzazioni per la localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
1. (Facoltativo) In Autorizzazioni **concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione** può concedere agli altri responsabili del proprio account. AWS Questa opzione non è supportata quando si concedono autorizzazioni a un principale IAM da un account esterno.
1. Scegliere **Concedi**.
La pagina Autorizzazioni relative **ai dati mostra i dettagli delle autorizzazioni**. Se hai utilizzato l'opzione **Principali per attributo** per concedere le autorizzazioni, puoi visualizzare l'autorizzazione concessa `ALLPrincipals` nell'elenco.
------
#### [ AWS CLI ]
Per concedere le autorizzazioni del catalogo utilizzando, consulta. AWS CLI[Creazione di cataloghi federati Amazon Redshift](create-ns-catalog.md)
------
# Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate
I passaggi seguenti spiegano come concedere le autorizzazioni al database utilizzando il metodo della risorsa denominata.
------
#### [ Console ]
Usa la pagina **Concedi le autorizzazioni** sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
+ **Tipo principale: la sezione **Principal**** include gli utenti, i ruoli, gli utenti e i gruppi IAM Identity Center, gli utenti e i gruppi SAML, gli AWS account, le organizzazioni o le unità organizzative a cui concedere le autorizzazioni. Nella sezione **Principal by attributes**, puoi specificare la chiave e i valori per gli attributi associati ai ruoli IAM.
+ **LF-Tag o risorse di catalogo**: database, tabelle, viste o collegamenti alle risorse su cui concedere le autorizzazioni.
+ **Autorizzazioni: autorizzazioni** da concedere a The Lake Formation.
**Nota**
Per concedere le autorizzazioni su un collegamento a una risorsa del database, vedere. [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
1. Apri la pagina **Concedi le autorizzazioni**.
Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake, creatore del database o utente IAM con **autorizzazioni Grantable** sul database.
Esegui una delle seguenti operazioni:
+ **Nel pannello di navigazione, in Autorizzazioni, scegli **Autorizzazioni dati**.** Quindi scegli **Concedi**.
+ Nel riquadro di navigazione, scegli **Database** in **Data** Catalog. Quindi, nella pagina **Database**, scegli un database e dal menu **Azioni, in **Autorizzazioni****, scegli **Concedi**.
**Nota**
Puoi concedere le autorizzazioni su un database tramite il relativo link alla risorsa. A tale scopo, nella pagina **Database**, scegli un collegamento a una risorsa e nel menu **Azioni** scegli **Concedi sulla destinazione**. Per ulteriori informazioni, consulta [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
1. Nella sezione **Tipo principale**, specifica i principali o concedi le autorizzazioni ai principali utilizzando gli attributi.
![\[La sezione Principi contiene quattro riquadri. Ogni riquadro contiene un pulsante di opzione e un testo.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**.
**Centro identità IAM**
Scegli uno o più utenti o gruppi dall'elenco **Utenti e gruppi**. Seleziona **Aggiungi** per aggiungere altri utenti o gruppi.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o per utenti o gruppi ARNs Amazon Quick. Premi Invio dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **Account AWS, AWS organizzazione** o **IAM Principal** inserisci uno o più AWS account IDs, organizzazione IDs IDs, unità organizzativa o ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
Principi per attributi
Specificare la chiave e i valori dell'attributo. Se scegli più di un valore, stai creando un'espressione di attributo con un operatore OR. Ciò significa che se uno qualsiasi dei valori dei tag degli attributi assegnati a un ruolo o utente IAM corrisponde, role/user ottiene i permessi di accesso alla risorsa.
Scegli l'ambito delle autorizzazioni specificando se stai concedendo le autorizzazioni ai responsabili con attributi corrispondenti nello stesso account o in un altro account.
1. **Nella sezione **LF-Tags o risorse del catalogo, scegliete Risorse del catalogo** dati denominate.**
![\[La sezione LF-Tags o catalog resources contiene due riquadri disposti orizzontalmente, dove ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate a LF-Tags e Risorse nominate del catalogo di dati. Sotto i riquadri ci sono due elenchi a discesa: Database e Tabella. L'elenco a discesa Database contiene un riquadro sottostante contenente il nome del database selezionato.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. Scegli uno o più database dall'elenco **Database**. Puoi anche scegliere uno o più **filtri **Tables** and/or Data**.
1. Nella sezione **Autorizzazioni**, seleziona le autorizzazioni e le autorizzazioni concedibili. In **Autorizzazioni del database**, seleziona una o più autorizzazioni da concedere.
![\[La sezione Autorizzazioni contiene due riquadri, disposti orizzontalmente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro Autorizzazioni del database è selezionato. L'altro riquadro, Autorizzazioni basate su colonne, è disabilitato perché si riferisce ai permessi delle tabelle. Sotto i riquadri c'è un gruppo di caselle di controllo per la concessione delle autorizzazioni al database. Le caselle di controllo includono Create Table, Alter, Drop, Descrivi e Super. Al di sotto di questo gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**Nota**
Dopo aver concesso `Create Table` o `Alter` su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni per la localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
1. (Facoltativo) In Autorizzazioni **concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione** può concedere ad altri responsabili del proprio account. AWS Questa opzione non è supportata quando si concedono autorizzazioni a un principale IAM da un account esterno.
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
È possibile concedere le autorizzazioni per il database utilizzando il metodo della risorsa denominato e il (). AWS Command Line Interface AWS CLI
**Per concedere le autorizzazioni al database utilizzando il AWS CLI**
+ Esegui un `grant-permissions` comando e specifica un database o il Data Catalog come risorsa, a seconda dell'autorizzazione concessa.
Negli esempi seguenti, sostituiscilo ** con un ID AWS account valido.
**Example — Concedi la creazione di un database**
Questo esempio concede `CREATE_DATABASE` all'utente`datalake_user1`. Poiché la risorsa su cui viene concessa questa autorizzazione è il Data Catalog, il comando specifica una `CatalogResource` struttura vuota come parametro. `resource`
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example — Concedi la creazione di tabelle in un database designato**
L'esempio successivo concede l'`CREATE_TABLE`accesso al database `retail` all'utente`datalake_user1`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Concedi a un AWS account esterno con l'opzione Grant**
L'esempio successivo concede `CREATE_TABLE` con l'opzione grant sul database `retail` all'account esterno 1111-2222-3333.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Concessione a un'organizzazione**
L'esempio successivo concede all'organizzazione `ALTER` `o-abcdefghijkl` con l'opzione di concessione sul database`issues`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - Concedi a `ALLIAMPrincipals` nello stesso account**
L'esempio successivo concede l'`CREATE_TABLE`autorizzazione sul database `retail` a tutti i responsabili dello stesso account. Questa opzione consente a tutti i principali dell'account di creare una tabella nel database e creare un collegamento alle risorse della tabella che consente ai motori di query integrati di accedere a database e tabelle condivisi. Questa opzione è particolarmente utile quando un principale riceve una sovvenzione tra account e non dispone dell'autorizzazione per creare collegamenti alle risorse. In questo scenario, l'amministratore del data lake può creare un database segnaposto e concedere l'`CREATE_TABLE`autorizzazione al `ALLIAMPrincipal` gruppo, consentendo a ogni principale IAM dell'account di creare collegamenti alle risorse nel database placeholder.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - Concedi a `ALLIAMPrincipals` in un account esterno**
L'esempio successivo concede l'`CREATE_TABLE`accesso al database `retail` a tutti i principali di un account esterno. Questa opzione consente a ogni principale dell'account di creare una tabella nel database.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**Nota**
Dopo aver concesso `CREATE_TABLE` o `ALTER` su un database con una proprietà location che punta a una posizione registrata, assicurati di concedere anche ai responsabili le autorizzazioni di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
------
**Consulta anche**
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
[Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account](regranting-shared-resources.md)
[Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
# Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato
Puoi utilizzare la console Lake Formation o AWS CLI concedere le autorizzazioni di Lake Formation sulle tabelle di Data Catalog. È possibile concedere autorizzazioni su singole tabelle oppure con una singola operazione di concessione, è possibile concedere autorizzazioni su tutte le tabelle di un database.
Se concedi le autorizzazioni per tutte le tabelle di un database, concedi implicitamente le autorizzazioni per il `DESCRIBE` database. Il database viene quindi visualizzato nella pagina **Database** della console e viene restituito dall'`GetDatabases`operazione API. Questa concessione automatica di `DESCRIBE` autorizzazione non si applica quando si utilizza il controllo degli accessi basato sugli attributi (ABAC). Quando si concedono le autorizzazioni su tutte le tabelle di un database utilizzando gli attributi, Lake Formation non concede implicitamente `DESCRIBE` l'autorizzazione al database.
Quando scegli `SELECT` come autorizzazione da concedere, hai la possibilità di applicare un filtro per colonne, un filtro per righe o un filtro per celle.
------
#### [ Console ]
I passaggi seguenti spiegano come concedere le autorizzazioni alle tabelle utilizzando il metodo della risorsa denominata e la pagina **Grant data lake permissions** sulla console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
+ **Tipi principali**: utenti, ruoli, AWS account, organizzazioni o unità organizzative a cui concedere le autorizzazioni. Puoi anche concedere autorizzazioni ai responsabili con attributi corrispondenti.
+ **Tag LF o risorse del catalogo**: i database, le tabelle o i collegamenti alle risorse a cui concedere le autorizzazioni.
+ **Autorizzazioni: autorizzazioni** da concedere a The Lake Formation.
**Nota**
Per concedere le autorizzazioni su un collegamento a una risorsa della tabella, vedere. [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
1. Apri la pagina Concedi le autorizzazioni.
Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake, creatore della tabella o utente a cui sono state concesse le autorizzazioni sulla tabella con l'opzione di concessione.
Esegui una delle seguenti operazioni:
+ **Nel riquadro di navigazione, scegli Autorizzazioni **dati in Autorizzazioni**.** Quindi scegli **Concedi**.
+ Nel pannello di navigazione, seleziona **Tabelle**. **Quindi, nella pagina **Tabelle**, scegli una tabella e nel menu **Azioni, in **Autorizzazioni****, scegli Concedi.**
**Nota**
Puoi concedere le autorizzazioni su una tabella tramite il relativo link alla risorsa. A tale scopo, nella pagina **Tabelle**, scegli un collegamento a una risorsa e nel menu **Azioni** scegli **Concedi all'obiettivo**. Per ulteriori informazioni, consulta [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
1. Successivamente, nella sezione **Tipi principali**, specifica i principali o i principali con attributi corrispondenti per concedere le autorizzazioni.
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco degli utenti e dei ruoli **IAM**.
**Centro identità IAM**
Scegli uno o più utenti o gruppi dall'elenco **Utenti e gruppi**.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o ARNs per utenti o gruppi Quick. Premi Invio dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **Account AWS , AWS organizzazione** o **IAM Principal**, inserisci una o più organizzazioni Account AWS IDs IDs IDs, unità organizzative o l'ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo carattere «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
Principi per attributi
Specificare la chiave e i valori dell'attributo. Se scegli più di un valore, stai creando un'espressione di attributo con un operatore OR. Ciò significa che se uno qualsiasi dei valori dei tag degli attributi assegnati a un ruolo o utente IAM corrisponde, role/user ottiene i permessi di accesso alla risorsa
Scegli l'ambito delle autorizzazioni specificando se stai concedendo le autorizzazioni ai responsabili con attributi corrispondenti nello stesso account o in un altro account.
1. Nella sezione **LF-Tags o risorse del catalogo**, scegli un database. Quindi scegliete una o più tabelle o **Tutte le** tabelle.
![\[La sezione LF-Tags o risorse del catalogo contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate a LF-Tags e Risorse nominate del catalogo di dati. Sono selezionate le risorse denominate del catalogo dati. Sotto i riquadri ci sono due elenchi a discesa: Database e Tabella. L'elenco a discesa Database contiene un riquadro sottostante contenente il nome del database selezionato. L'elenco a discesa Tabella contiene un riquadro sottostante contenente il nome della tabella selezionata.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**Specificate le autorizzazioni senza filtraggio dei dati.**
Nella sezione **Autorizzazioni, seleziona la tabella autorizzazioni** da concedere e, facoltativamente, seleziona le autorizzazioni concedibili.
![\[La sezione Autorizzazioni per tabelle e colonne contiene due sottosezioni: Autorizzazioni per tabelle e Autorizzazioni concedibili. Ogni sottosezione ha una casella di controllo per ogni possibile autorizzazione di Lake Formation: Alter, Insert, Drop, Delete, Select, Descrivi e Super. L'autorizzazione Super è impostata a destra delle altre autorizzazioni e ha una descrizione: «Questa autorizzazione consente al principale di concedere qualsiasi autorizzazione a sinistra e sostituisce quelle consentite».\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
**Se concedi **Select**, la sezione Autorizzazioni **ai dati viene visualizzata sotto la sezione Autorizzazioni** per **tabelle e colonne, con l'opzione di accesso** a tutti i dati selezionata per impostazione predefinita.** Accetta l'impostazione predefinita.
![\[La sezione contiene tre riquadri, disposti orizzontalmente, ciascuno con un pulsante di opzione e una descrizione. I pulsanti di opzione sono: Accesso a tutti i dati (selezionato), Accesso semplice basato su colonne e filtri avanzati a livello di cella.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. Scegliere **Concedi**.
1.
**Specificare l'autorizzazione **Seleziona con filtraggio dei dati****
Seleziona l'autorizzazione **Seleziona**. Non selezionare altre autorizzazioni.
La sezione **Autorizzazioni per i dati viene visualizzata sotto la sezione Autorizzazioni** per **tabelle e colonne**.
1. Esegui una delle seguenti operazioni:
+ Applica solo un semplice filtraggio delle colonne.
1. Scegli Accesso **semplice basato su colonne**.
![\[La sezione superiore è la sezione Autorizzazioni per tabelle e colonne. È descritto nella schermata precedente. Contiene caselle di controllo per i permessi delle tabelle e i permessi concedibili. La sezione inferiore, Autorizzazioni dati, ha tre riquadri disposti orizzontalmente, in cui ogni riquadro ha un pulsante di opzione e una descrizione. Le opzioni sono Accesso a tutti i dati, Accesso semplice basato su colonne e Filtri avanzati a livello di cella. È selezionata l'opzione di accesso semplice basato su colonne. Sotto i riquadri c'è un gruppo di pulsanti di opzione con l'etichetta Scegli il filtro di autorizzazione. Le opzioni sono Includi colonne ed Escludi colonne. Sotto il gruppo di opzioni c'è un elenco a discesa Seleziona colonne, al di sotto di esso c'è una sottosezione Autorizzazioni concesse, che contiene una singola casella di controllo denominata Seleziona.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. Scegli se includere o escludere le colonne, quindi scegli le colonne da includere o escludere.
Quando si concedono le autorizzazioni a un AWS account o a un'organizzazione esterni, sono supportati solo gli elenchi di inclusione.
1. (Facoltativo) In **Autorizzazioni concedibili**, attiva l'opzione di concessione per l'autorizzazione Seleziona.
Se includi l'opzione di concessione, il destinatario della concessione può concedere le autorizzazioni solo nelle colonne che gli concedi.
**Nota**
Puoi anche applicare il filtro delle colonne solo creando un filtro dati che specifichi un filtro di colonna e specifichi tutte le righe come filtro di riga. Tuttavia, ciò richiede ulteriori passaggi.
+ Applica il filtraggio di colonne, righe o celle.
1. Scegli filtri **avanzati a livello di cella**.
![\[Questa sezione, intitolata Autorizzazioni per i dati, si trova sotto la sezione Autorizzazioni della tabella. Ha tre riquadri disposti orizzontalmente, dove ogni riquadro ha un pulsante di opzione e una descrizione. Le opzioni sono Accesso a tutti i dati, Accesso semplice basato su colonne e Filtri avanzati a livello di cella. L'opzione Filtri avanzati a livello di cella è selezionata. Sotto i riquadri c'è l'etichetta Visualizza le autorizzazioni esistenti con un triangolo di esposizione a sinistra. Le autorizzazioni esistenti non sono esposte. Di seguito è riportata una sezione intitolata Filtri di dati da concedere. A destra del titolo ci sono tre pulsanti: Aggiorna, Gestisci filtri e Crea nuovo filtro. Sotto il titolo e i pulsanti c'è un campo di testo con il testo segnaposto «Trova filtro». Di seguito è riportata una tabella dei filtri esistenti. Ogni riga ha una casella di controllo a sinistra. Le intestazioni delle colonne sono Filter name, Table, Database e Table catalog ID. Sono presenti due righe. Il nome del filtro nella prima riga è restrict-pharma. Il nome nella seconda riga è no-pharma.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (Facoltativo) Espandi **Visualizza le autorizzazioni esistenti**.
1. (Facoltativo) Scegli **Crea nuovo filtro**.
1. (Facoltativo) Per visualizzare i dettagli dei filtri elencati o per creare nuovi filtri o eliminare filtri esistenti, scegli **Gestisci filtri**.
La pagina **Filtri dati** si apre in una nuova finestra del browser.
Al termine della pagina **Filtri dati**, torna alla pagina **Concedi autorizzazioni** e, se necessario, aggiorna la pagina per visualizzare i nuovi filtri di dati che hai creato.
1. Seleziona uno o più filtri di dati da applicare alla concessione.
**Nota**
Se non ci sono filtri di dati nell'elenco, significa che non sono stati creati filtri di dati per la tabella selezionata.
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
È possibile concedere le autorizzazioni per la tabella utilizzando il metodo di risorsa denominato e il AWS Command Line Interface (AWS CLI).
**Per concedere i permessi alle tabelle utilizzando il AWS CLI**
+ Eseguite un `grant-permissions` comando e specificate una tabella come risorsa.
**Example — Concessione su una singola tabella, senza filtri**
L'esempio seguente concede `SELECT` e `ALTER` all'utente `datalake_user1` nell' AWS account 1111-2222-3333 sulla tabella del database. `inventory` `retail`
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Se concedi l'`ALTER`autorizzazione su una tabella i cui dati sottostanti si trovano in una posizione registrata, assicurati di concedere anche ai principali i permessi di localizzazione dei dati sulla posizione. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
**Example — Concedi su tutte le tabelle con l'opzione Grant: nessun filtro**
L'esempio successivo concede `SELECT` con l'opzione grant su tutte le tabelle del database. `retail`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example — Grant con un semplice filtraggio delle colonne**
Questo esempio successivo concede autorizzazioni `SELECT` su un sottoinsieme di colonne della tabella. `persons` Utilizza un semplice filtraggio delle colonne.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example — Concedi con un filtro dati**
Questo esempio concede `SELECT` sulla `orders` tabella e applica il filtro `restrict-pharma` dati.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Di seguito è riportato il contenuto del file`grant-params.json`.
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**Consulta anche**
[Panoramica delle autorizzazioni di Lake Formation](lf-permissions-overview.md)
[Filtraggio dei dati e sicurezza a livello di cella in Lake Formation](data-filtering.md)
[Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md)
[Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
[Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
# Concessione delle autorizzazioni sulle viste utilizzando il metodo di risorsa denominato
I passaggi seguenti spiegano come concedere le autorizzazioni sulle viste utilizzando il metodo della risorsa denominata e la pagina **Concedi** le autorizzazioni. La pagina è suddivisa nelle seguenti sezioni:
+ **Tipi principali**: utenti, ruoli, utenti e gruppi IAM Identity Center Account AWS, organizzazioni o unità organizzative a cui concedere le autorizzazioni. Puoi anche concedere autorizzazioni ai responsabili con attributi corrispondenti.
+ **Tag LF o risorse di catalogo**: database, tabelle, viste o collegamenti alle risorse a cui concedere le autorizzazioni.
+ **Autorizzazioni: le autorizzazioni** del data lake da concedere.
## Apri la pagina **Concedi le autorizzazioni**
1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake, creatore del database o utente IAM con **autorizzazioni Grantable** sul database.
1. Esegui una delle seguenti operazioni:
+ **Nel pannello di navigazione, in Autorizzazioni, scegli **Autorizzazioni dati**.** Quindi scegli **Concedi**.
+ Nel riquadro di navigazione, scegli **Visualizzazioni** in **Data** Catalog. Quindi, nella pagina **Visualizzazioni**, scegli una visualizzazione e dal menu **Azioni, in **Autorizzazioni****, scegli **Concedi**.
**Nota**
Puoi concedere le autorizzazioni per una vista tramite il relativo link alla risorsa. A tale scopo, nella pagina **Visualizzazioni**, scegli un collegamento a una risorsa e nel menu **Azioni** scegli **Concedi all'obiettivo**. Per ulteriori informazioni, consulta [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
## Specificate i tipi principali
Nella sezione **Tipi principali**, scegli Principali o Principali per attributi. Se scegli Principal, sono disponibili le seguenti opzioni:
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**.
**Centro identità IAM **
Scegli uno o più utenti o gruppi dall'elenco **Utenti e gruppi**.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o per utenti o gruppi ARNs Amazon Quick. Premi Invio dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **Account AWS, AWS organizzazione** o **IAM Principal** inserisci uno o più AWS account IDs, organizzazione IDs IDs, unità organizzativa o ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4—32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
**Vedi anche**
+ [Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
**Principi per attributi**
Specificare la chiave e i valori dell'attributo. Se scegli più di un valore, stai creando un'espressione di attributo con un operatore OR. Ciò significa che se uno qualsiasi dei valori dei tag degli attributi assegnati a un ruolo o utente IAM corrisponde, role/user ottiene i permessi di accesso alla risorsa
Scegli l'ambito delle autorizzazioni specificando se stai concedendo le autorizzazioni ai responsabili con attributi corrispondenti nello stesso account o in un altro account.
## Specificate le visualizzazioni
Nella sezione **LF-Tags o risorse del catalogo**, scegliete una o più viste a cui concedere le autorizzazioni.
1. Scegliete **Named data catalog resources**.
1. Scegliete una o più viste dall'elenco **Visualizzazioni**. Puoi anche scegliere uno o più cataloghi, database, tabelle, filtri di and/or dati.
La concessione delle autorizzazioni per il data lake all'`All tables`interno di un database comporterà che il beneficiario disponga delle autorizzazioni su tutte le tabelle e le viste all'interno del database.
## Specificare le autorizzazioni
Nella sezione **Autorizzazioni**, seleziona le autorizzazioni e le autorizzazioni concedibili.
![\[La sezione Autorizzazioni contiene un gruppo di caselle di controllo per visualizzare le autorizzazioni da concedere. Le caselle di controllo includono Select, Descrivi, Drop e Super. Sotto quel gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/view-permissions.png)
1. In **Visualizza autorizzazioni, seleziona una o più autorizzazioni** da concedere.
1. (Facoltativo) In Autorizzazioni **concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione** può concedere ad altri responsabili del proprio territorio. Account AWS Questa opzione non è supportata quando si concedono autorizzazioni a un principale IAM da un account esterno.
1. Scegliere **Concedi**.
**Vedi anche**
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
[Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account](regranting-shared-resources.md)
# Controllo degli accessi basato su tag Lake Formation
Il controllo degli accessi basato su tag di Lake Formation (LF-TBAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In Lake Formation, questi attributi sono chiamati *LF-tag*. È possibile allegare tag LF alle risorse del Data Catalog e concedere autorizzazioni ai responsabili di Lake Formation su tali risorse utilizzando questi tag LF. Lake Formation consente operazioni su tali risorse quando il principale ha concesso l'accesso a un valore di tag che corrisponde al valore del tag della risorsa.
LF-TBAC è utile in ambienti in rapida crescita e aiuta in situazioni in cui la gestione delle politiche diventa complicata.
LF-TBAC è il metodo consigliato da utilizzare per concedere le autorizzazioni di Lake Formation quando è presente un numero elevato di oggetti Data Catalog, inclusi cataloghi federati, database, tabelle e viste. Lake Formation supporta il controllo degli accessi basato su tag per cataloghi federati di tabelle Amazon S3, Amazon Redshift data warehouse e fonti di dati federate come Amazon DynamoDB SQL Server e Snowflake.
**Nota**
I tag IAM non sono uguali ai tag LF. Questi tag non sono intercambiabili. I tag LF vengono utilizzati per concedere i permessi di Lake Formation e i tag IAM vengono utilizzati per definire le politiche IAM.
## Come funziona il controllo degli accessi basato su tag Lake Formation
Ogni tag LF è una coppia chiave-valore, ad esempio o. `department=sales` `classification=restricted` Una chiave può avere più valori definiti, ad esempio. `department=sales,marketing,engineering,finance`
Per utilizzare il metodo LF-TBAC, gli amministratori del data lake e i data engineer eseguono le seguenti attività.
| Operazione | Dettagli dell'attività |
| --- | --- |
| 1. Definire le proprietà e le relazioni dei tag LF. | - |
| 2. Crea i creatori di tag LF in Lake Formation. | [Aggiungere creatori di tag LF](TBAC-adding-tag-creator.md) |
| 3. Crea il tag LF in Lake Formation. | [Creazione di tag LF](TBAC-creating-tags.md) |
| 4. Assegna i tag LF alle risorse del Data Catalog. | [Assegnazione di tag LF alle risorse del Data Catalog](TBAC-assigning-tags.md) |
| 5. Concedi le autorizzazioni ad altri principali per assegnare i tag LF alle risorse, opzionalmente con l'opzione grant. | [Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md) |
| 6. Concedi le espressioni dei tag LF ai principali, opzionalmente con l'opzione grant. | [Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md) |
| 7. (Consigliato) Dopo aver verificato che i principali abbiano accesso alle risorse corrette tramite il metodo LF-TBAC, revocate le autorizzazioni concesse utilizzando il metodo della risorsa denominata. | - |
Si consideri il caso in cui è necessario concedere le autorizzazioni a tre principali su tre database e sette tabelle.
![\[Tre figure di utenti sono a sinistra, disposte verticalmente. A destra ci sono tre database denominati A, B e C, disposti verticalmente. Il database A ha due tabelle denominate A.1 e A.2, il database B ha le etichette delle tabelle B.1 e B.2 e il database C ha tre tabelle etichettate C.1, C.2 e C.3. Diciassette frecce collegano gli utenti ai database e alle tabelle, indicando agli utenti le concessioni sui database e le tabelle.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/TBAC_example_discreet.png)
Per ottenere le autorizzazioni indicate nel diagramma precedente utilizzando il metodo named resource, è necessario concedere 17 concessioni, come segue (in pseudo-codice).
```
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1
...
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2
GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2
...
GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
```
Considerate ora come concedereste le autorizzazioni utilizzando LF-TBAC. Il diagramma seguente indica che avete assegnato i tag LF a database e tabelle e avete concesso le autorizzazioni sui tag LF ai principali.
In questo esempio, i tag LF rappresentano aree del data lake che contengono analisi per diversi moduli di una suite di applicazioni ERP (Enterprise Resource Planning). È possibile utilizzarli per controllare l'accesso ai dati di analisi per i vari moduli. Tutti i tag LF hanno la chiave `module` e i valori `Sales` possibili e. `Orders` `Customers` Un esempio di tag LF ha il seguente aspetto:
```
module=Sales
```
Il diagramma mostra solo i valori del tag LF.
![\[Come nel diagramma precedente, tre figure di utenti sono a sinistra, disposte verticalmente, mentre a destra ci sono tre database etichettati A, B e C, disposti verticalmente. Il database A ha due tabelle etichettate A.1 e A.2, il database B ha le tabelle con etichette B.1 e B.2 e il database C ha tre tabelle etichettate C.1, C.2 e C.3. Non ci sono frecce tra gli utenti e i database e le tabelle. Invece, le «bandiere» etichettate accanto agli utenti indicano che all'utente 1 sono state concesse le vendite LF-Tag Sales and Customers, all'utente 2 sono state concesse le LF-Tag Orders e all'utente 3 sono state concesse le LF-Tag Customers. I flag accanto ai database e alle tabelle indicano le seguenti assegnazioni di tag LF a database e tabelle: Database A: Vendite. Tabella A1: un contrassegno oscurato indica che Sales è stato ereditato dal database A. Tabella A2: Ordini, mentre un contrassegno oscurato indica che Sales è stato ereditato dal database A. Database B: Ordini. La Tabella B.1 e B.2 ereditano gli ordini, mentre la Tabella B.2 contiene i Clienti. Il database C ha clienti e le tabelle C.1, C.2 e C.3 ereditano clienti. Le tabelle C non hanno altre assegnazioni.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/TBAC_example_tags.png)
**Assegnazione di tag alle risorse e all'ereditarietà di Data Catalog**
Le tabelle ereditano i tag LF dai database e le colonne ereditano i tag LF dalle tabelle. I valori ereditati possono essere sovrascritti. Nel diagramma precedente, i tag LF oscurati vengono ereditati.
A causa dell'ereditarietà, l'amministratore del data lake deve effettuare solo le seguenti cinque assegnazioni di tag LF alle risorse (in pseudo-codice).
```
ASSIGN TAGS module=Sales TO database A
ASSIGN TAGS module=Orders TO table A.2
ASSIGN TAGS module=Orders TO database B
ASSIGN TAGS module=Customers TO table B.2
ASSIGN TAGS module=Customers TO database C
```
**Contributi di tag ai committenti**
Dopo aver assegnato i tag LF ai database e alle tabelle, l'amministratore del data lake deve concedere solo quattro tag LF ai principali, come segue (in pseudo-codice).
```
GRANT TAGS module=Sales TO Principal 1
GRANT TAGS module=Customers TO Principal 1
GRANT TAGS module=Orders TO Principal 2
GRANT TAGS module=Customers TO Principal 3
```
Ora, un principale con il tag `module=Sales` LF può accedere alle risorse del Data Catalog con il tag LF (ad esempio, il database A), un principale con il `module=Sales` tag LF può accedere alle risorse con il tag LF e così via. `module=Customers` `module=Customers`
I comandi di concessione precedenti sono incompleti. Questo perché, sebbene indichino tramite LF-Tags le risorse del Data Catalog su cui i responsabili hanno i permessi, non indicano esattamente quali `SELECT` permessi di Lake Formation (ad esempio`ALTER`) i principali hanno su tali risorse. Pertanto, i seguenti comandi in pseudo-codice sono una rappresentazione più accurata del modo in cui le autorizzazioni di Lake Formation vengono concesse alle risorse del Data Catalog tramite i tag LF.
```
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Sales TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Orders TO Principal 2
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 3
```
**Mettere insieme: autorizzazioni risultanti sulle risorse**
Dati i tag LF assegnati ai database e alle tabelle nel diagramma precedente e i tag LF concessi ai principali del diagramma, la tabella seguente elenca i permessi di Lake Formation che i principali hanno sui database e sulle tabelle.
| Principale | Autorizzazioni concesse tramite LF-Tags |
| --- | --- |
| Principale 1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/tag-based-access-control.html) |
| Principal 2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/tag-based-access-control.html) |
| Principal 3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/tag-based-access-control.html) |
**Conclusione**
In questo semplice esempio, utilizzando cinque operazioni di assegnazione e otto operazioni di concessione, l'amministratore del data lake è stato in grado di specificare 17 autorizzazioni. Quando ci sono decine di database e centinaia di tabelle, il vantaggio del metodo LF-TBAC rispetto al metodo delle risorse denominate diventa evidente. Nel caso ipotetico della necessità di concedere a ogni risorsa l'accesso principale, e `n(P)` dov'è il numero di principali e il numero di risorse: `n(R)`
+ Con il metodo Named Resource, il numero di sovvenzioni richieste è ✕. `n(P)` `n(R)`
+ Con il metodo LF-TBAC, utilizzando un singolo tag LF, il totale del numero di sovvenzioni ai committenti e di assegnazioni alle risorse è \$1. `n(P)` `n(R)`
**Consulta anche**
[Gestione dei tag LF per il controllo dell'accesso ai metadati](managing-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
**Topics**
+ [Come funziona il controllo degli accessi basato su tag Lake Formation](#how-TBAC-works)
+ [Gestione dei tag LF per il controllo dell'accesso ai metadati](managing-tags.md)
+ [Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati](managing-tag-expressions.md)
+ [Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
# Gestione dei tag LF per il controllo dell'accesso ai metadati
Per utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere oggetti del Data Catalog come cataloghi, database, tabelle, viste e colonne, devi creare tag LF, assegnarli alle risorse e concedere le autorizzazioni LF-Tag ai principali.
Prima di poter assegnare LF-Tags agli oggetti del Data Catalog o concedere le autorizzazioni ai principali, è necessario definire i tag LF. Solo un amministratore del data lake o un responsabile con i permessi di creazione di LF-Tag può creare LF-Tag.
**Creatori di tag LF**
LF-Tag creator è un amministratore non amministratore che dispone delle autorizzazioni per creare e gestire i tag LF. Gli amministratori di Data Lake possono aggiungere creatori di tag LF utilizzando la console di Lake Formation o la CLI. I creatori di LF-Tag hanno i permessi impliciti di Lake Formation per aggiornare ed eliminare i tag LF, per assegnare i tag LF alle risorse e per concedere i permessi dei tag LF e i permessi per i valori dei tag LF ad altri principali.
Con i ruoli di creatore di LF-Tag, gli amministratori del data lake possono delegare attività di gestione dei tag come la creazione e l'aggiornamento di chiavi e valori dei tag a responsabili non amministratori. Gli amministratori di Data Lake possono anche concedere autorizzazioni valide ai creatori di LF-Tag. `Create LF-Tag` Quindi, il creatore del tag LF può concedere il permesso di creare tag LF ad altri mandanti.
È possibile concedere due tipi di autorizzazioni sui tag LF:
+ Autorizzazioni LF-Tag -, e. `Create LF-Tag` `Alter` `Drop` Queste autorizzazioni sono necessarie per creare, aggiornare ed eliminare i tag LF.
Gli amministratori di Data Lake e i creatori di LF-Tag dispongono implicitamente di queste autorizzazioni sui tag LF che creano e possono concedere queste autorizzazioni esplicitamente ai responsabili della gestione dei tag nel data lake.
+ `Grant with LF-Tag expressions`Autorizzazioni `Assign` della `Describe` coppia chiave-valore LF-Tag -,, e. Queste autorizzazioni sono necessarie per assegnare i tag LF agli oggetti del Data Catalog e per concedere le autorizzazioni sulle risorse ai responsabili che utilizzano il controllo degli accessi basato su tag Lake Formation. I creatori di LF-Tag ricevono implicitamente queste autorizzazioni durante la creazione di LF-Tag.
Dopo aver ricevuto l'`Create LF-Tag`autorizzazione e aver creato con successo i tag LF, il creatore di LF-Tag può assegnare i tag LF alle risorse e concedere le autorizzazioni LF-Tag (`Create LF-Tag`,, e) ad altri soggetti non amministrativi per gestire i tag nel data lake. `Alter` `Drop` Puoi gestire i tag LF utilizzando la console Lake Formation, l'API o AWS Command Line Interface ()AWS CLI.
**Nota**
Gli amministratori di Data Lake dispongono delle autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF, assegnare i tag LF alle risorse e concedere i permessi LF-Tag ai principali.
Per le migliori pratiche e considerazioni, consulta [Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation](lf-tag-considerations.md)
**Topics**
+ [Aggiungere creatori di tag LF](TBAC-adding-tag-creator.md)
+ [Creazione di tag LF](TBAC-creating-tags.md)
+ [Aggiornamento dei tag LF](TBAC-updating-tags.md)
+ [Eliminazione dei tag LF](TBAC-deleting-tags.md)
+ [Elenco dei tag LF](TBAC-listing-tags.md)
+ [Assegnazione di tag LF alle risorse del Data Catalog](TBAC-assigning-tags.md)
+ [Visualizzazione dei tag LF assegnati a una risorsa](TBAC-view-resource-tags.md)
+ [Visualizzazione delle risorse a cui è assegnato un LF-Tag](TBAC-view-tag-resources.md)
+ [Ciclo di vita di un tag LF](#lf-tag-life-cycle)
+ [Confronto tra il controllo degli accessi basato su tag Lake Formation e il controllo degli accessi basato sugli attributi IAM](#TBAC-comparison-ABAC)
**Consulta anche**
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
# Aggiungere creatori di tag LF
Per impostazione predefinita, gli amministratori del data lake possono creare, aggiornare ed eliminare i tag LF, assegnare tag agli oggetti del Data Catalog e concedere le autorizzazioni relative ai tag ai principali. Se desideri delegare le operazioni di creazione e gestione dei tag a responsabili non amministratori, l'amministratore del data lake può creare ruoli di creatore di tag LF e concedere l'autorizzazione a Lake Formation ai ruoli. `Create LF-Tag` Con l'`Create LF-Tag`autorizzazione concessa, i creatori di LF-Tag possono delegare le attività di creazione e manutenzione dei tag ad altri responsabili non amministrativi.
Affinché gli amministratori del data lake assegnino i tag LF alle risorse del Data Catalog, devono concedersi le autorizzazioni di associazione sui tag LF che non sono stati creati da loro.
**Nota**
Le concessioni di autorizzazioni per più account possono includere solo autorizzazioni e. `Describe` `Associate` Non puoi concedere`Create LF-Tag`, `Drop``Alter`, e `Grant with LFTag expressions` autorizzazioni ai responsabili di un altro account.
**Topics**
+ [Autorizzazioni IAM necessarie per creare tag LF](#tag-creator-permissions)
+ [Aggiungi creatori di tag LF](#add-lf-tag-creator)
**Consulta anche**
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
## Autorizzazioni IAM necessarie per creare tag LF
È necessario configurare le autorizzazioni per consentire a un responsabile di Lake Formation di creare tag LF. Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per il principale che deve essere un creatore di LF-Tag.
**Nota**
Sebbene gli amministratori dei data lake abbiano le autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF, assegnare i tag LF alle risorse e concedere i tag LF ai principali, gli amministratori del data lake necessitano anche delle seguenti autorizzazioni IAM.
Per ulteriori informazioni, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
```
I principali che assegnano i tag LF alle risorse e concedono i tag LF ai principali devono avere le stesse autorizzazioni, ad eccezione delle autorizzazioni, e. `CreateLFTag` `UpdateLFTag` `DeleteLFTag`
## Aggiungi creatori di tag LF
Un creatore di tag LF può creare un tag LF, aggiornare la chiave e i valori dei tag, eliminare tag, associare tag alle risorse del Data Catalog e concedere le autorizzazioni sulle risorse del Data Catalog ai principali utilizzando il metodo LF-TBAC. Il creatore di LF-Tag può anche concedere queste autorizzazioni ai principali.
È possibile creare ruoli di creatore di LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ console ]
**Per aggiungere un creatore di tag LF**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore di datalake.
1. Nel pannello di navigazione, in **Autorizzazioni, scegli **LF-tags** e permessi**.
**Nella pagina **LF-Tag e permessi**, scegli la sezione LF-Tag Creators e scegli Aggiungi creatori **LF-Tag**.**
![\[LF-Tag creator details form with Utente IAM selection and permission options.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-lf-tag-creator.png)
1. Nella pagina **Aggiungi creatori di LF-Tag**, scegli un ruolo o un utente IAM con le autorizzazioni necessarie per creare LF-Tag.
1. Abilita `Create LF-Tag` la casella di controllo delle autorizzazioni.
1. (Facoltativo) Per consentire ai responsabili selezionati di concedere l'`Create LF-Tag`autorizzazione ai mandanti, scegli Autorizzazione `Create LF-Tag` concedibile.
1. Scegliere **Aggiungi**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTag"
],
"PermissionsWithGrantOption": [
"CreateLFTag"
]
}
```
------
Le seguenti sono le autorizzazioni disponibili per il ruolo di creatore di LF-Tag:
| Autorizzazione | Description |
| --- | --- |
| Drop | Un principale con questa autorizzazione su un LF-Tag può eliminare un LF-Tag dal data lake. Il principale ottiene l'Describeautorizzazione implicita su tutti i valori dei tag di una risorsa LF-Tag. |
| Alter | Un principale con questa autorizzazione su un tag LF può aggiungere o rimuovere un valore di tag da un tag LF. Il principale ottiene l'Alterautorizzazione implicita su tutti i valori dei tag di un tag LF. |
| Describe | Un principale con questa autorizzazione su un tag LF può visualizzare il tag LF e i suoi valori quando assegna tag LF alle risorse o concede autorizzazioni sui tag LF. È possibile concedere su tutti i valori chiave o su valori specifici. Describe |
| Associate | Un principale con questa autorizzazione su un tag LF può assegnare il tag LF a una risorsa del catalogo dati. AssociateDescribeConcedere concessioni implicite. |
| Grant with LF-Tag expression | Un principale con questa autorizzazione su un LF-Tag può concedere autorizzazioni sulle risorse di un Data Catalog utilizzando la chiave e i valori LF-Tag. Grant with LF-Tag expressionLa concessione implicita di concessioni. Describe |
Queste autorizzazioni sono concesse. Un preside a cui sono state concesse queste autorizzazioni con l'opzione di concessione può concederle ad altri committenti.
# Creazione di tag LF
Tutti i tag LF devono essere definiti in Lake Formation prima di poter essere utilizzati. Un tag LF è composto da una chiave e da uno o più valori possibili per la chiave.
Dopo che l'amministratore del data lake ha configurato le autorizzazioni IAM e le autorizzazioni Lake Formation richieste per il ruolo di creatore di LF-Tag, il responsabile può creare un LF-Tag. Il creatore del tag LF ottiene l'autorizzazione implicita ad aggiornare o rimuovere qualsiasi valore di tag dal tag LF e ad eliminare il tag LF.
È possibile creare tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per creare un tag LF**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come principale con i permessi di creazione di LF-Tag o come amministratore del data lake.
1. **Nel pannello di navigazione, in Autorizzazioni, LF-Tag e **autorizzazioni**, scegli **LF-Tags**.**
Viene visualizzata **la** pagina LF-Tags.
![\[La pagina presenta una tabella a 4 colonne con le intestazioni delle colonne Chiave, Valori, ID account proprietario e autorizzazioni LF-Tag. La tabella è composta da 2 righe. Sopra la tabella ci sono 4 pulsanti disposti orizzontalmente: Elimina (in grigio), Modifica (in grigio), Concedi autorizzazioni (in grigio) e Aggiungi tag. La pagina ha anche un campo di ricerca con il testo segnaposto «Trova tag». A destra del campo di ricerca c'è un selettore di pagina, che mostra il valore «1" tra i pulsanti sinistro e destro, e un'icona Impostazioni.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/policy-tags-page-2.png)
1. Scegli **Aggiungi** tag LF.
1. Nella finestra di dialogo **Aggiungi LF-tag**, inserite una chiave e uno o più valori.
Ogni chiave deve avere almeno un valore. Per inserire più valori, inserisci un elenco delimitato da virgole e premi **Invio oppure inserisci** un valore alla volta e scegli **Aggiungi** dopo ognuno di essi. Il numero massimo di valori consentito è 1000.
1. Seleziona **Aggiungi tag**.
------
#### [ AWS CLI ]
**Per creare un tag LF**
+ Inserire un comando`create-lf-tag`.
L'esempio seguente crea un tag LF con chiave `module` e valori `Customers` e. `Orders`
```
aws lakeformation create-lf-tag --tag-key module --tag-values Customers Orders
```
------
In qualità di creatore di tag, il principale ottiene l'`Alter`autorizzazione per questo tag LF e può aggiornare o rimuovere qualsiasi valore di tag da questo tag LF. Il responsabile del creatore di LF-Tag può anche concedere `Alter` il permesso a un altro principale di aggiornare e rimuovere i valori dei tag su questo LF-Tag.
# Aggiornamento dei tag LF
Aggiorna un tag LF per il quale hai l'`Alter`autorizzazione aggiungendo o eliminando i valori chiave consentiti. Non è possibile modificare la chiave LF-Tag. Per cambiare la chiave, elimina il tag LF e aggiungine uno con la chiave richiesta. Oltre all'`Alter`autorizzazione, è necessaria anche l'autorizzazione `lakeformation:UpdateLFTag` IAM per aggiornare i valori.
Quando si elimina un valore del tag LF, non viene eseguito alcun controllo per verificare la presenza di tale valore in alcuna risorsa del Data Catalog. Se il valore del tag LF eliminato è associato a una risorsa, non è più visibile per la risorsa e tutti i principali a cui sono state concesse le autorizzazioni per quella coppia chiave-valore non dispongono più delle autorizzazioni.
Prima di eliminare un valore del tag LF, è possibile utilizzare facoltativamente il [`remove-lf-tags-from-resource`comando](TBAC-assigning-tags.md#remove-tag-command) comando per rimuovere il tag LF dalle risorse del Catalogo dati che hanno il valore che si desidera eliminare, quindi rietichettare la risorsa con i valori che si desidera conservare.
Solo gli amministratori del data lake, il creatore del tag LF e i responsabili che dispongono delle autorizzazioni per l'LF-Tag possono aggiornare un LF-Tag. `Alter`
È possibile aggiornare un LF-Tag utilizzando la console, l'API o il (). AWS Lake Formation AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per aggiornare un LF-tag (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore di LF-Tag o principale con l'`Alter`autorizzazione per l'LF-Tag.
1. **Nel pannello di navigazione, in Autorizzazioni, LF-Tag e **autorizzazioni, scegli** **LF-Tags**.**
1. **Nella pagina **LF-Tags, selezionate un tag** LF, quindi scegliete Modifica.**
1. Nella finestra di dialogo **Modifica LF-Tag, aggiungete o rimuovete i valori del tag** LF.
****Per aggiungere più valori, nel campo Valori, inserite un elenco delimitato da virgole e premete **Invio**, oppure inserite un valore alla volta o scegliete Aggiungi dopo ognuno di essi.****
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per aggiornare un tag LF ()AWS CLI**
+ Immettete un comando`update-lf-tag`. Fornite uno o entrambi i seguenti argomenti:
+ `--tag-values-to-add`
+ `--tag-values-to-delete`
**Example**
L'esempio seguente sostituisce il valore `vp` con il valore della chiave `vice-president` LF-Tag. `level`
```
aws lakeformation update-lf-tag --tag-key level --tag-values-to-add vice-president
--tag-values-to-delete vp
```
------
# Eliminazione dei tag LF
È possibile eliminare i tag LF che non sono più in uso. Non viene eseguito alcun controllo per la presenza del tag LF su una risorsa del Data Catalog. Se il tag LF eliminato è associato a una risorsa, non è più visibile per la risorsa e tutti i principali a cui sono state concesse le autorizzazioni su quel tag LF non dispongono più delle autorizzazioni.
Prima di eliminare un tag LF, è possibile utilizzare facoltativamente il comando per rimuovere il tag LF da tutte le risorse. [`remove-lf-tags-from-resource`](TBAC-assigning-tags.md#remove-tag-command)
Solo gli amministratori del data lake, il creatore del tag LF o un principale che dispone `Drop` dell'autorizzazione per l'LF-Tag possono eliminare un LF-Tag. Oltre all'autorizzazione, il principale `lakeformation:DeleteLFTag` necessita anche dell'`Drop`autorizzazione IAM per eliminare un LF-Tag.
È possibile eliminare un tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per eliminare un LF-tag (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake.
1. **Nel pannello di navigazione, in Autorizzazioni, **LF-Tag e **autorizzazioni**, scegli LF-Tags**.**
1. **Nella pagina **LF-Tags, selezionate un tag** LF, quindi scegliete Elimina.**
1. **Nell'ambiente Delete tag?** **nella finestra di dialogo, per confermare l'eliminazione, inserite il valore della chiave LF-Tag nel campo designato, quindi scegliete Elimina.**
------
#### [ AWS CLI ]
**Per eliminare un tag LF ()AWS CLI**
+ Immettete un comando`delete-lf-tag`. Fornisci la chiave del tag LF da eliminare.
**Example**
L'esempio seguente elimina il tag LF con la chiave. `region`
```
aws lakeformation delete-lf-tag --tag-key region
```
------
# Elenco dei tag LF
Puoi elencare i tag LF su cui hai i permessi o. `Describe` `Associate` I valori elencati con ogni chiave LF-Tag sono i valori per i quali avete i permessi.
LF-Tag creator ha i permessi impliciti per vedere i tag LF che ha creato.
Gli amministratori di Data Lake possono vedere tutti i tag LF definiti nell' AWS account locale e tutti i tag LF per i quali sono state concesse le `Associate` autorizzazioni `Describe` e all'account locale da account esterni. L'amministratore del data lake può vedere tutti i valori di tutti i tag LF.
È possibile elencare i tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per elencare i tag LF (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come creatore di LF-tag, come amministratore del data lake o come responsabile a cui sono state concesse le autorizzazioni per i tag LF e che dispone dell'autorizzazione IAM. `lakeformation:ListLFTags`
1. **Nel pannello di navigazione, sotto Autorizzazioni, LF-tags e **permessi**, scegliete **LF-Tags**.**
Viene visualizzata **la** pagina LF-Tags.
![\[La pagina presenta una tabella a 3 colonne con le intestazioni di colonna Chiave, Valori e ID dell'account del proprietario. La tabella è composta da 2 righe. Sopra la tabella ci sono 4 pulsanti disposti orizzontalmente: Ricarica pagina, Elimina (oscurato), Modifica (oscurato) e Aggiungi tag. La pagina ha anche un campo di ricerca con il testo segnaposto «Trova tag». A destra del campo di ricerca c'è un selettore di pagina, che mostra il valore «1" tra i pulsanti sinistro e destro, e un'icona Impostazioni.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/policy-tags-page-2.png)
Controlla la colonna **Owner account ID** per determinare i tag LF condivisi con il tuo account da un account esterno.
------
#### [ AWS CLI ]
**Per elencare i tag LF ()AWS CLI**
+ Esegui il comando seguente come amministratore del data lake o come responsabile a cui sono state concesse le autorizzazioni sui tag LF e che dispone dell'autorizzazione IAM. `lakeformation:ListLFTags`
```
aws lakeformation list-lf-tags
```
L'output è simile a quello riportato di seguito.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
]
}
```
Per vedere anche i tag LF concessi da account esterni, includi l'opzione di comando. `--resource-share-type ALL`
```
aws lakeformation list-lf-tags --resource-share-type ALL
```
L'output è simile a quello riportato di seguito. Notate la `NextToken` chiave, che indica che ce ne sono altre da elencare.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
],
"NextToken": "eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ=="
}
```
Ripetete il comando e aggiungete l'`--next-token`argomento per visualizzare gli eventuali tag LF e tag LF locali rimanenti concessi da account esterni. I tag LF degli account esterni si trovano sempre su una pagina separata.
```
aws lakeformation list-lf-tags --resource-share-type ALL
--next-token eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ==
```
```
{
"LFTags": [
{
"CatalogId": "123456789012",
"TagKey": "region",
"TagValues": [
"central",
"south"
]
}
]
}
```
------
#### [ API ]
Puoi utilizzare l'opzione SDKs available for Lake Formation per elencare i tag che il richiedente è autorizzato a visualizzare.
```
import boto3
client = boto3.client('lakeformation')
...
response = client.list_lf_tags(
CatalogId='string',
ResourceShareType='ALL',
MaxResults=50'
)
```
Questo comando restituisce un `dict` oggetto con la seguente struttura:
```
{
'LFTags': [
{
'CatalogId': 'string',
'TagKey': 'string',
'TagValues': [
'string',
]
},
],
'NextToken': 'string'
}
```
------
Per ulteriori informazioni sulle autorizzazioni richieste, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
# Assegnazione di tag LF alle risorse del Data Catalog
È possibile assegnare LF-tags alle risorse del Data Catalog (database, tabelle e colonne) per controllare l'accesso a tali risorse. Solo i principali a cui sono concessi i tag LF corrispondenti (e i principali a cui è concesso l'accesso con il metodo della risorsa denominata) possono accedere alle risorse.
Se una tabella eredita un tag LF da un database o una colonna eredita un tag LF da una tabella, è possibile sovrascrivere il valore ereditato assegnando un nuovo valore alla chiave LF-Tag.
Il numero massimo di LF-Tag che è possibile assegnare a una risorsa è 50.
**Topics**
+ [Requisiti per la gestione dei tag assegnati alle risorse](#manage-tags-reqs)
+ [Assegnate i tag LF a una colonna della tabella](#assign-tag-column)
+ [Assegnate i tag LF a una risorsa del catalogo dati](#assign-tag-catalog-resource)
+ [Aggiornamento dei tag LF per una risorsa](#update-tags)
+ [Rimozione del tag LF da una risorsa](#remove-tag)
## Requisiti per la gestione dei tag assegnati alle risorse
Per assegnare un tag LF a una risorsa del catalogo dati, è necessario:
+ Ottieni il `ASSOCIATE` permesso di Lake Formation sull'LF-Tag.
+ Avere l'autorizzazione IAM`lakeformation:AddLFTagsToResource`.
+ Have Glue: GetDatabase autorizzazione su un database Glue.
+ Sii il proprietario della risorsa (creatore), disponi dell'autorizzazione `Super` Lake Formation sulla risorsa con l'`GRANT`opzione o disponi delle seguenti autorizzazioni con l'`GRANT`opzione:
+ Per i database nello stesso AWS account:`DESCRIBE`, `CREATE_TABLE``ALTER`, e `DROP`
+ Per i database in un account esterno:`DESCRIBE`, `CREATE_TABLE` e `ALTER`
+ Per tabelle (e colonne): `DESCRIBE``ALTER`,`DROP`,`INSERT`,`SELECT`, e `DELETE`
Inoltre, il tag LF e la risorsa a cui viene assegnato devono trovarsi nello stesso AWS account.
Per rimuovere un LF-tag da una risorsa del Data Catalog, è necessario soddisfare questi requisiti e disporre anche dell'autorizzazione IAM. `lakeformation:RemoveLFTagsFromResource`
## Assegnate i tag LF a una colonna della tabella
**Per assegnare tag LF a una colonna della tabella (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come utente che soddisfa i requisiti sopra elencati.
1. Nel pannello di navigazione, seleziona **Tabelle**.
1. Scegli un nome per la tabella (non il pulsante di opzione accanto al nome della tabella).
1. Nella pagina dei dettagli della tabella, nella sezione **Schema**, scegli **Modifica schema**.
1. Nella pagina **Modifica schema**, seleziona una o più colonne, quindi scegli **Modifica tag LF**.
**Nota**
Se intendete aggiungere o eliminare colonne e salvare una nuova versione, fatelo prima. Quindi modificate i tag LF.
Viene visualizzata la finestra di dialogo **Modifica LF-Tag**, che mostra tutti i tag LF ereditati dalla tabella.
![\[L'immagine è uno screenshot della finestra di dialogo Modifica LF-Tags. La parte superiore della finestra mostra due chiavi ereditate. La prima chiave ereditata ha la chiave «level» e il valore «director (inherited)». La seconda chiave ereditata ha la chiave «module» e il valore «Orders (inherited)». Sotto questi campi c'è un pulsante «Assegna nuovo LF-tag». In basso e a destra ci sono i pulsanti Annulla e Salva.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2a.png)
1. (Facoltativo) Per l'elenco dei **valori** accanto a un campo **Chiavi ereditate**, scegliete un valore per sostituire il valore ereditato.
1. (Facoltativo) Scegliete **Assegna** nuovo tag LF. Quindi, per **Tasti assegnati**, scegliete una chiave e per **Valori**, scegliete un valore per la chiave.
![\[L'immagine è uno screenshot della finestra di dialogo Modifica LF-Tags. La parte superiore della finestra mostra due chiavi ereditate. La prima chiave ereditata ha la chiave «level» e il valore «director (inherited)». La seconda chiave ereditata ha la chiave «module» e il valore «Orders (inherited)». Sotto questa sezione, allineati orizzontalmente, ci sono questi campi e controlli: il campo «Chiavi assegnate», il campo «Valori» e il pulsante Rimuovi. Il campo Tasti assegnati contiene il testo «ambiente». Il campo Valori è un elenco a discesa, con i valori «Produzione» (evidenziato) e «Clienti». Un pulsante «Assegna nuovo LF-tag» appare sotto il campo Tasti assegnati. In basso a destra della finestra ci sono i pulsanti Annulla e Salva.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2b.png)
1. (Facoltativo) Scegliete nuovamente **Assegna nuovo tag LF per aggiungere un altro tag** LF.
1. Scegli **Save** (Salva).
## Assegnate i tag LF a una risorsa del catalogo dati
------
#### [ Console ]
**Per assegnare LF-Tags a un database o a una tabella del Data Catalog**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come utente che soddisfa i requisiti elencati in precedenza.
1. Nel riquadro di navigazione, in **Catalogo dati**, esegui una delle seguenti operazioni:
+ **Per assegnare tag LF ai database, scegliete Database.**
+ **Per assegnare i tag LF alle tabelle, scegliete Tabelle.**
1. **Scegliete un database o una tabella e nel menu **Azioni**, scegliete Modifica tag LF.**
**Viene visualizzata la finestra di dialogo Modifica tag LF: *resource-name***.
Se una tabella eredita i tag LF dal database che la contiene, la finestra mostra i tag LF ereditati. Altrimenti, visualizza il testo «Non ci sono tag LF ereditati associati alla risorsa».
![\[L'immagine è uno screenshot della finestra di dialogo «Modifica LF-Tags: inventario». In alto ci sono i campi «Chiavi ereditate» (oscurati) e «Valori». Il campo Chiavi ereditate ha il valore «livello» e il campo Valori ha il valore «director (ereditato)». Sotto questa sezione, allineati orizzontalmente, ci sono questi campi e controlli: il campo «Chiavi assegnate», il campo «Valori» e il pulsante Rimuovi. Il campo Tasti assegnati contiene il testo «modulo». Il campo Valori è un elenco a discesa, con i valori «Ordini», «Vendite» e «Clienti» (evidenziati). Il pulsante «Assegna nuovo LF-tag» si trova sotto il campo Tasti assegnati. In basso a destra della finestra ci sono i pulsanti Annulla e Salva.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/edit-policy-tags-for-tables-2.png)
1. (Facoltativo) Se una tabella ha ereditato i tag LF, per l'elenco **Valori** accanto a un campo **Chiavi ereditate**, è possibile scegliere un valore per sostituire il valore ereditato.
1. Per assegnare nuovi LF-Tag, effettuate le seguenti operazioni:
1. Scegliete **Assegna** nuovo LF-tag.
1. Nel campo **Chiavi assegnate**, scegliete una chiave LF-Tag e nel campo **Valori** scegliete un valore.
1. (Facoltativo) Scegliete nuovamente **Assegna nuovo LF-tag per assegnare un tag** LF aggiuntivo.
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
**Per assegnare tag LF a una risorsa del Data Catalog**
+ Esegui il comando `add-lf-tags-to-resource`.
L'esempio seguente assegna il tag LF `module=orders` alla tabella del database. `orders` `erp` Per l'argomento viene utilizzata la sintassi della scorciatoia. `--lf-tags` La `CatalogID` proprietà for `--lf-tags` è facoltativa. Se non viene fornito, viene utilizzato l'ID di catalogo della risorsa (in questo caso, la tabella).
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"orders"}}' --lf-tags CatalogId=111122223333,TagKey=module,TagValues=orders
```
Quanto segue è l'output se il comando ha esito positivo.
```
{
"Failures": []
}
```
L'esempio successivo assegna due tag LF alla `sales` tabella e utilizza la sintassi JSON per l'argomento. `--lf-tags`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"sales"}}' --lf-tags '[{"TagKey": "module","TagValues": ["sales"]},{"TagKey": "environment","TagValues": ["development"]}]'
```
L'esempio successivo assegna il tag LF alla colonna della tabella`level=director`. `total` `sales`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "TableWithColumns": {"DatabaseName":"erp", "Name":"sales", "ColumnNames":["total"]}}' --lf-tags TagKey=level,TagValues=director
```
------
## Aggiornamento dei tag LF per una risorsa
**Per aggiornare un tag LF per una risorsa del catalogo dati ()AWS CLI**
+ Utilizzate il `add-lf-tags-to-resource` comando, come descritto nella procedura precedente.
L'aggiunta di un tag LF con la stessa chiave di un tag LF esistente, ma con un valore diverso, aggiorna il valore esistente.
## Rimozione del tag LF da una risorsa
**Per rimuovere un tag LF per una risorsa del Data Catalog ()AWS CLI**
+ Esegui il comando `remove-lf-tags-from-resource`.
Se una tabella ha un valore di tag LF che sostituisce il valore ereditato dal database principale, la rimozione di tale tag LF dalla tabella ripristina il valore ereditato. Questo comportamento si applica anche a una colonna che sostituisce i valori chiave ereditati dalla tabella.
L'esempio seguente rimuove il tag LF `level=director` dalla colonna della `total` tabella. `sales` La `CatalogID` proprietà for `--lf-tags` è facoltativa. Se non viene fornito, viene utilizzato l'ID di catalogo della risorsa (in questo caso, la tabella).
```
aws lakeformation remove-lf-tags-from-resource
--resource ' { "TableWithColumns":
{ "DatabaseName": "erp", "Name": "sales", "ColumnNames":[ "total"]}}'
--lf-tags CatalogId=111122223333,TagKey=level,TagValues=director
```
# Visualizzazione dei tag LF assegnati a una risorsa
È possibile visualizzare i tag LF assegnati a una risorsa del Data Catalog. È necessario disporre dell'`ASSOCIATE`autorizzazione `DESCRIBE` o dell'autorizzazione su un LF-Tag per visualizzarlo.
------
#### [ Console ]
**Per visualizzare i tag LF assegnati a una risorsa (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, proprietario della risorsa o utente a cui sono state concesse le autorizzazioni di Lake Formation sulla risorsa.
1. Nel riquadro di navigazione, sotto l'intestazione **Catalogo dati**, esegui una delle seguenti operazioni:
+ **Per visualizzare i tag LF assegnati a un database, scegliete Database.**
+ **Per visualizzare i tag LF assegnati a una tabella, scegliete Tabelle.**
1. Nella pagina **Tabelle** o **Database**, scegliete il nome del database o della tabella. Quindi, nella pagina dei dettagli, scorri verso il basso fino alla sezione **LF-Tags**.
La schermata seguente mostra i tag LF assegnati a una `customers` tabella, contenuta nel database. `retail` Il `module` tag LF viene ereditato dal database. Alla `credit_limit` colonna è assegnato il tag LF`level=vp`.
![\[L'immagine è uno screenshot della sezione LF-Tags della pagina di dettaglio della tabella. customers La sezione LF-Tags contiene una tabella con le seguenti colonne: Resource, Key, Value e Inherited from. La tabella è composta da 3 righe. Sopra la tabella c'è un campo di immissione del testo con il testo segnaposto «Trova tag» e un pulsante Modifica tag. Il paragrafo che precede l'immagine descrive i valori della tabella mostrati nello screenshot.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/tags-for-resource-2.png)
------
#### [ AWS CLI ]
**Per visualizzare i tag LF assegnati a una risorsa ()AWS CLI**
+ Utilizzare un comando simile al seguente:
```
aws lakeformation get-resource-lf-tags --show-assigned-lf-tags --resource '{ "Table": {"CatalogId":"111122223333", "DatabaseName":"erp", "Name":"sales"}}'
```
Questo comando restituisce il seguente output.
```
{
"TableTags": [
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"sales"
]
},
{
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"development"
]
}
],
"ColumnTags": [
{
"Name": "total",
"Tags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director"
]
}
]
}
]
}
```
Questo output mostra solo i tag LF assegnati in modo esplicito, non ereditati. Se volete vedere tutti i tag LF su tutte le colonne, compresi i tag LF ereditati, omettete l'opzione. `--show-assigned-lf-tags`
------
# Visualizzazione delle risorse a cui è assegnato un LF-Tag
È possibile visualizzare tutte le risorse del Data Catalog a cui è assegnata una particolare chiave LF-Tag. A tale scopo, sono necessarie le seguenti autorizzazioni di Lake Formation:
+ `Describe`o `Associate` sul tag LF.
+ `Describe`o qualsiasi altra autorizzazione di Lake Formation sulla risorsa.
Inoltre, sono necessarie le seguenti autorizzazioni AWS Identity and Access Management (IAM):
+ `lakeformation:SearchDatabasesByLFTags`
+ `lakeformation:SearchTablesByLFTags`
------
#### [ Console ]
**Per visualizzare le risorse a cui è assegnato un tag LF (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake o come utente che soddisfa i requisiti elencati in precedenza.
1. **Nel pannello di navigazione, in Autorizzazioni e **LF-Tag e autorizzazioni**, **scegli LF-Tags**.**
1. Scegliete una chiave LF-Tag (non il pulsante di opzione accanto al nome della chiave).
La pagina dei dettagli del tag LF mostra un elenco di risorse a cui è stato assegnato il tag LF.
![\[L'immagine è uno screenshot della pagina dei dettagli del tag LF per il tasto «modulo». La pagina dei dettagli di LF-Tag è composta da due sezioni. La sezione superiore mostra la chiave e i valori LF-Tag. La sezione inferiore mostra le risorse associate a quel tag LF in una tabella con le seguenti colonne: Chiave, Valori, Tipo di risorsa e Risorsa. La tabella ha 12 righe, ma solo 7 sono mostrate nello screenshot. Le righe della tabella mostrano che il tag LF è assegnato a un database, a due tabelle del database e, per ereditarietà, alle colonne di tali tabelle.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/resources-on-tags-2.png)
------
#### [ AWS CLI ]
**Per visualizzare le risorse a cui è assegnato un tag LF**
+ Esegui un comando `search-tables-by-lf-tags` or. `search-databases-by-lf-tags`
**Example**
L'esempio seguente elenca le tabelle e le colonne a cui è assegnato il `level=vp` tag LF. Per ogni tabella e colonna elencate, vengono emessi tutti i tag LF assegnati alla tabella o alla colonna, non solo l'espressione di ricerca.
```
aws lakeformation search-tables-by-lf-tags --expression TagKey=level,TagValues=vp
```
------
Per ulteriori informazioni sulle autorizzazioni richieste, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
## Ciclo di vita di un tag LF
1. Il creatore del tag LF Michael crea un tag LF. `module=Customers`
1. Michael concede l'LF-Tag all'`Associate`ingegnere dei dati Eduardo. Concedere sovvenzioni implicitamente. `Associate` `Describe`
1. Michael concede `Super` `Custs` a Eduardo l'opzione grant, in modo che Eduardo possa assegnare dei tag LF al tavolo. Per ulteriori informazioni, consulta [Assegnazione di tag LF alle risorse del Data Catalog](TBAC-assigning-tags.md).
1. Eduardo assegna il tag LF alla tabella. `module=customers` `Custs`
1. Michael concede la seguente concessione all'ingegnere dei dati Sandra (in pseudo-codice).
```
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
```
1. Sandra concede la seguente concessione all'analista di dati Maria.
```
GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria
```
Maria ora può eseguire interrogazioni sul tavolo. `Custs`
**Consulta anche**
[Controllo dell'accesso ai metadati](access-control-metadata.md)
## Confronto tra il controllo degli accessi basato su tag Lake Formation e il controllo degli accessi basato sugli attributi IAM
Il controllo dell’accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. *In AWS, questi attributi sono chiamati tag.* Puoi allegare tag alle risorse IAM, incluse le entità IAM (utenti o ruoli) e alle AWS risorse. È possibile creare una singola policy ABAC o un piccolo insieme di policy per i principali IAM. Queste policy ABAC possono essere definite affinché autorizzino le operazioni quando il tag dell'entità corrisponde al tag della risorsa. La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.
I team di sicurezza e governance del cloud utilizzano IAM per definire le policy di accesso e le autorizzazioni di sicurezza per tutte le risorse, inclusi i bucket Amazon S3, le istanze Amazon EC2 e tutte le risorse a cui puoi fare riferimento con un ARN. Le policy IAM definiscono autorizzazioni ampie (granulari) per le risorse del data lake, ad esempio per consentire o negare l'accesso a livello di bucket o prefisso Amazon S3 o a livello di database. [Per ulteriori informazioni su IAM ABAC, consulta A cosa serve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella Guida per l'*utente di IAM*.
Ad esempio, è possibile creare tre ruoli associando a essi un tag con la chiave `project-access` e impostando il valore del tag del primo ruolo a `Dev`, del secondo a `Marketing` e del terzo a `Support`. Assegna tag con il valore appropriato alle risorse. È quindi possibile utilizzare una singola policy che consenta l'accesso quando il ruolo e la risorsa sono contrassegnati con lo stesso valore del tag `project-access`.
I team di governance dei dati utilizzano Lake Formation per definire autorizzazioni granulari per specifiche risorse di data lake. I tag LF sono assegnati alle risorse del Data Catalog (database, tabelle e colonne) e sono concessi ai principali. Un principale con tag LF che corrispondono ai tag LF di una risorsa può accedere a quella risorsa. Le autorizzazioni Lake Formation sono secondarie rispetto alle autorizzazioni IAM. Ad esempio, se le autorizzazioni IAM non consentono a un utente di accedere a un data lake, Lake Formation non concede l'accesso a nessuna risorsa all'interno di quel data lake a quell'utente, anche se il principale e la risorsa hanno tag LF corrispondenti.
Il controllo degli accessi basato su tag di Lake Formation (LF-TBAC) funziona con IAM ABAC per fornire livelli aggiuntivi di autorizzazioni per i dati e le risorse di Lake Formation.
+ **Le autorizzazioni TBAC di Lake Formation si adattano all'innovazione.** Non è più necessario che un amministratore aggiorni le policy esistenti per consentire l'accesso a nuove risorse. Ad esempio, supponiamo di utilizzare una strategia IAM ABAC con il `project-access` tag per fornire l'accesso a database specifici all'interno di Lake Formation. Utilizzando LF-TBAC, il tag LF `Project=SuperApp` viene assegnato a tabelle o colonne specifiche e lo stesso tag LF viene concesso a uno sviluppatore per quel progetto. Tramite IAM, lo sviluppatore può accedere al database e le autorizzazioni LF-TBAC garantiscono allo sviluppatore un ulteriore accesso a tabelle o colonne specifiche all'interno delle tabelle. Se viene aggiunta una nuova tabella al progetto, l'amministratore di Lake Formation deve solo assegnare il tag alla nuova tabella affinché lo sviluppatore possa accedere alla tabella.
+ **Lake Formation TBAC richiede meno policy IAM.** Poiché utilizzi le policy IAM per garantire un accesso di alto livello alle risorse di Lake Formation e Lake Formation TBAC per gestire un accesso più preciso ai dati, crei meno policy IAM.
+ **Utilizzando Lake Formation TBAC, i team possono cambiare e crescere rapidamente.** Questo perché le autorizzazioni per le nuove risorse vengono concesse automaticamente in base agli attributi. Ad esempio, se un nuovo sviluppatore si unisce al progetto, è facile concedere a tale sviluppatore l'accesso associando il ruolo IAM all'utente e quindi assegnandogli i tag LF richiesti. Non è necessario modificare la policy IAM per supportare un nuovo progetto o creare nuovi LF-tag.
+ **Autorizzazioni più dettagliate sono possibili utilizzando Lake Formation TBAC.** Le policy IAM garantiscono l'accesso alle risorse di primo livello, come i database o le tabelle del Data Catalog. Utilizzando **Lake Formation TBAC**, puoi concedere l'accesso a tabelle o colonne specifiche che contengono valori di dati specifici.
**Nota**
I tag IAM non sono gli stessi dei tag LF. Questi tag non sono intercambiabili. I tag LF vengono utilizzati per concedere i permessi di Lake Formation e i tag IAM vengono utilizzati per definire le politiche IAM.
# Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati
Le espressioni LF-tag sono espressioni logiche composte da uno o più tag LF (coppie chiave-valore) utilizzate per concedere autorizzazioni sulle risorse. AWS Glue Data Catalog Le espressioni LF-Tag consentono di definire regole che regolano l'accesso alle risorse di dati in base ai relativi tag di metadati. È possibile salvare queste espressioni e riutilizzarle in più concessioni di autorizzazioni, garantendo la coerenza e semplificando la gestione delle modifiche all'ontologia dei tag nel tempo.
All'interno di una determinata espressione del tag LF, le chiavi dei tag vengono combinate utilizzando l'operazione AND, mentre i valori vengono combinati utilizzando l'operazione OR. Ad esempio, l'espressione tag `content_type:Sales AND location:US` rappresenta risorse relative ai dati di vendita negli Stati Uniti.
È possibile creare fino a 1000 espressioni di tag LF in un. Account AWS Queste espressioni forniscono un modo flessibile e scalabile per gestire le autorizzazioni basate sui tag di metadati, garantendo che solo gli utenti o le applicazioni autorizzati possano accedere a risorse di dati specifiche in base alle regole di tag definite.
Le espressioni LF-Tag offrono i seguenti vantaggi:
+ **Riusabilità**: definendo e salvando le espressioni dei tag LF, non è più necessario replicare manualmente le stesse espressioni quando si assegnano le autorizzazioni ad altre risorse o principali.
+ **Coerenza: il riutilizzo delle espressioni LF-Tag su più concessioni di autorizzazioni garantisce la coerenza** nel modo in cui le autorizzazioni vengono concesse e gestite.
+ **Gestione dell'ontologia dei tag**: le espressioni LF-Tag aiutano a gestire le modifiche all'ontologia dei tag nel tempo, poiché è possibile aggiornare le espressioni salvate anziché modificare le concessioni di autorizzazioni individuali.
Per ulteriori informazioni sul controllo degli accessi basato su tag, consulta. [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
**Creatori di espressioni con tag LF**
Il creatore di espressioni LF-Tag è un preside che dispone delle autorizzazioni per creare e gestire espressioni LF-Tag. Gli amministratori di Data Lake possono aggiungere creatori di espressioni LF-Tag utilizzando la console, la CLI, l'API o l'SDK di Lake Formation. I creatori di espressioni LF-Tag hanno i permessi impliciti di Lake Formation per creare, aggiornare ed eliminare espressioni LF-Tag e per concedere i permessi di espressione LF-Tag ad altri principali.
I creatori di espressioni LF-Tag che non sono amministratori di Data Lake ricevono autorizzazioni implicite e solo per le espressioni che hanno creato. `Alter` `Drop` `Describe` `Grant with LF-Tag expression`
Gli amministratori di Data Lake possono anche concedere autorizzazioni valide ai creatori di espressioni LF-Tag. `Create LF-Tag expression` Quindi, il creatore di espressioni LF-Tag può concedere il permesso di creare espressioni LF-Tag ad altri responsabili.
**Topics**
+ [Autorizzazioni IAM necessarie per creare espressioni con tag LF](#tag-expression-creator-permissions)
+ [Aggiungi i creatori di espressioni LF-Tag](#add-lf-tag-expression-creator)
+ [Creazione di espressioni con tag LF](TBAC-creating-tag-expressions.md)
+ [Aggiornamento delle espressioni del tag LF](TBAC-updating-expressions.md)
+ [Eliminazione delle espressioni dei tag LF](TBAC-deleting-expressions.md)
+ [Elenco delle espressioni dei tag LF](TBAC-listing-expressions.md)
**Consulta anche**
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
## Autorizzazioni IAM necessarie per creare espressioni con tag LF
È necessario configurare le autorizzazioni per consentire a un preside di Lake Formation di creare espressioni di tag LF. Aggiungi la seguente dichiarazione alla politica di autorizzazione per il principale che deve essere un creatore di espressioni LF-Tag.
**Nota**
Sebbene gli amministratori dei data lake abbiano le autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF e le espressioni dei tag LF, per assegnare i tag LF alle risorse e per concedere l'autorizzazione alle espressioni LF-Tag e LF-Tag ai principali, gli amministratori del data lake necessitano anche delle seguenti autorizzazioni IAM.
Per ulteriori informazioni, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
```
## Aggiungi i creatori di espressioni LF-Tag
I creatori di espressioni LF-Tag possono creare e salvare espressioni di tag LF riutilizzabili, aggiornare chiavi e valori dei tag, eliminare espressioni e concedere autorizzazioni sulle risorse del Data Catalog ai principali utilizzando il metodo LF-TBAC. Il creatore di espressioni LF-Tag può anche concedere queste autorizzazioni ai principali.
È possibile creare ruoli di creatore di espressioni LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ console ]
**Per aggiungere un creatore di espressioni LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake.
1. Nel riquadro di navigazione, in **Autorizzazioni, scegli **LF-tags** e permessi**.
1. **Scegliete la scheda Espressioni LF-Tag.**
1. **Nella sezione Creatori di espressioni con **tag LF, scegliete Aggiungi creatori di espressioni** con tag LF.**
![\[Form to add LF-Tag expression creators with Utente IAM selection and permissions.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)
1. Nella pagina **Aggiungi creatori di espressioni LF-Tag**, scegli un ruolo o un utente IAM con le autorizzazioni necessarie per creare espressioni LF-Tag.
1. Seleziona `Create LF-Tag expression` la casella di controllo delle autorizzazioni.
1. (Facoltativo) Per consentire ai responsabili selezionati di concedere l'`Create LF-Tag expression`autorizzazione ai mandanti, scegli Autorizzazione `Create LF-Tag expression` concedibile.
1. Scegliere **Aggiungi**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTagExpression"
],
"PermissionsWithGrantOption": [
"CreateLFTagExpression"
]
}
```
------
Il ruolo di creatore di espressioni LF-Tag consente di creare, aggiornare o eliminare espressioni LF-Tag.
| Autorizzazione | Description |
| --- | --- |
| Create | Un principale con questa autorizzazione può aggiungere espressioni di tag LF nel data lake. |
| Drop | Un principale con questa autorizzazione su un'espressione LF-Tag può eliminare un'espressione LF-Tag dal data lake. |
| Alter | Un principale con questa autorizzazione su un'espressione LF-Tag può aggiornare il corpo dell'espressione di un'espressione LF-Tag. |
| Describe | Un principale con questa autorizzazione su un'espressione LF-Tag può visualizzare il contenuto di un'espressione LF-Tag. |
| Grant with LF-Tag expression | Questa autorizzazione consente al destinatario di utilizzare l'espressione del tag come risorsa per concedere le autorizzazioni di accesso ai dati o ai metadati. Concedere concessioni Grant with LF-Tag expression implicite. Describe |
| Super | Per le espressioni LF-Tag, l'Superautorizzazione concede la possibilità di Describe AlterDrop, e concede le autorizzazioni sull'espressione del tag ad altri principali. |
Queste autorizzazioni sono concesse. Un preside a cui sono state concesse queste autorizzazioni con l'opzione di concessione può concederle ad altri committenti.
# Creazione di espressioni con tag LF
È necessario definire tutti i tag LF in Lake Formation e assegnarli alle risorse del Data Catalog prima che possano essere utilizzati per creare espressioni. Un'espressione LF-Tag è composta da un'altra chiave e uno o più valori possibili per ogni chiave.
Dopo che l'amministratore del data lake ha impostato le autorizzazioni IAM e le autorizzazioni Lake Formation richieste per il ruolo di creatore di espressioni LF-Tag, il responsabile può creare espressioni LF-Tag riutilizzabili. Il creatore dell'espressione LF-Tag ottiene le autorizzazioni implicite per aggiornare il corpo dell'espressione ed eliminare l'espressione LF-Tag.
È possibile creare espressioni LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per creare un'espressione LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come principale con i permessi di creazione di espressioni LF-Tag o come amministratore del data lake.
1. Nel pannello di navigazione, sotto Autorizzazioni, **scegli LF-Tag e** **autorizzazioni**.
1. **Scegliete le espressioni LF-Tag.** Viene visualizzata la **pagina Aggiungi espressioni con tag LF**.
![\[La pagina contiene campi per aggiungere un nome, una descrizione e un menu a discesa per selezionare il corpo dell'espressione. Gli utenti possono anche avere la possibilità di concedere le autorizzazioni.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-tag-expression.png)
1. Immetti le seguenti informazioni:
+ Nome: immettere un nome univoco per l'espressione. Non è possibile aggiornare il nome dell'espressione.
+ Descrizione: fornisce una descrizione facoltativa dell'espressione con i dettagli dell'espressione.
+ Espressione: crea l'espressione specificando le chiavi dei tag e i valori associati. È possibile aggiungere fino a 50 chiavi per espressione. È necessario disporre dell'autorizzazione `Grant with LF-Tags` Lake Formation per tutti i tag nel corpo dell'espressione.
Ogni chiave deve avere almeno un valore. Per inserire più valori, inserisci un elenco delimitato da virgole e premi **Invio oppure inserisci** un valore alla volta e scegli **Aggiungi** dopo ognuno di essi. Il numero massimo di valori consentiti per chiave è 1000.
Lake Formation utilizza la AND/OR logica per combinare più chiavi e valori in un'espressione. All'interno di una singola coppia (chiave: elenco di valori), i valori vengono combinati utilizzando l'operatore logico OR. Ad esempio, se la coppia è (Dipartimento: [Vendite, Marketing]), significa che il tag corrisponde se la risorsa ha il tag Department con valore Sales OR Marketing.
Quando si specificano più chiavi, le chiavi vengono unite da un operatore logico AND. Quindi, se l'espressione completa è (Department: [Sales, Marketing]) AND (Location: [US, Canada]), corrisponde alle risorse che hanno il tag Department con valore Sales OR Marketing e hanno anche il tag Location con valore US OR Canada. Di seguito è riportato un altro esempio con più chiavi e valori:
Espressione LF-tag: (ContentType : [Video, Audio]) AND (Regione: [Europa, Asia]) AND (Dipartimento: [Ingegneria, ProductManagement]).
Questa espressione corrisponderebbe a risorse che hanno: - Il ContentType tag con valore Video OR Audio AND - Il tag Region con valore Europe OR Asia AND - Il tag Department con valore Engineering OR. ProductManagement
È inoltre possibile salvare un'espressione di tag quando si concedono le autorizzazioni per il data lake utilizzando i tag LF. Scegliete le coppie chiave e valore e scegliete l'opzione **Salva come nuova espressione**. Immettete un nome che descriva l'espressione.
![\[La pagina contiene campi per selezionare il corpo dell'espressione e un campo per inserire un nome.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/save-expression-grant.png)
1. (Facoltativo) Quindi, scegli gli utenti/ruoli e le autorizzazioni sull'espressione che desideri concedere loro nell'account. Puoi anche scegliere autorizzazioni concedibili che consentano agli utenti di concedere tali autorizzazioni ad altri utenti dell'account. Non puoi concedere autorizzazioni tra account per le espressioni dei tag.
![\[La pagina mostra i campi per selezionare l'autorizzazione da concedere ad altri destinatari.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-expression-permissions.png)
1. Scegliere **Aggiungi**.
------
#### [ AWS CLI ]
**Per creare un'espressione LF-tag**
+ Immettete un comando`create-lf-tag-expression`.
L'esempio seguente crea un'espressione LF-tag con il tag `Department` con valori `Sales` e AND `Marketing` il tag `Location` con il valore. `US`
```
aws lakeformation create-lf-tag-expression \
-- name "my-tag-expression" \
-- catalog-id "123456789012" \
-- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
```
Questo comando CLI crea una nuova espressione LF-tag in. AWS Glue Data Catalog L'espressione può essere utilizzata per concedere autorizzazioni a risorse del catalogo dati come database, tabelle, viste o colonne in base ai tag associati. In questo esempio, l'espressione corrisponderà alle risorse che hanno la `Department` chiave con valori `Sales` o `Marketing` e la `Location` chiave con il valore`US`.
------
In qualità di creatore di espressioni di tag, il responsabile ottiene l'`Alter`autorizzazione per questa espressione di tag LF e può aggiornare o rimuovere l'espressione. Il responsabile del creatore dell'espressione LF-Tag può anche concedere `Alter` il permesso a un altro principale di aggiornare e rimuovere questa espressione.
# Aggiornamento delle espressioni del tag LF
Solo gli amministratori del data lake, il creatore dell'espressione LF-Tag e i responsabili che dispongono `Alter` o hanno l'`Super`autorizzazione sull'espressione LF-Tag possono aggiornare un'espressione LF-Tag. Oltre all'`Alter`autorizzazione, è necessaria anche l'autorizzazione `lakeformation:UpdateLFTagExpression` IAM e l'`Grant with LF-Tag`autorizzazione su tutte le chiavi-valori sottostanti sul nuovo corpo dell'espressione per aggiornare le espressioni.
È possibile aggiornare un'espressione LF-Tag aggiornando la descrizione, il corpo dell'espressione e le autorizzazioni concesse all'espressione. Non è possibile modificare il nome dell'espressione LF-Tag. Per cambiare il nome, eliminate l'espressione del tag LF e aggiungetene una con i parametri richiesti.
È possibile aggiornare un'espressione LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per aggiornare un'espressione LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore del tag LF o principale con l'`Alter`autorizzazione per l'LF-Tag.
1. **Nel pannello di navigazione, sotto autorizzazioni, scegli LF-Tag e autorizzazioni.**
1. **Scegliete la scheda Espressioni LF-Tag.**
1. **Nella sezione **Espressioni di tag LF**, selezionate un'espressione di tag LF, quindi scegliete Modifica.**
1. Nella finestra di dialogo **Modifica espressione LF-tag**, aggiornate la descrizione e aggiorna il corpo dell'espressione aggiungendo o rimuovendo chiavi e valori.
Per aggiungere più valori, nel campo **Valori**, scegliete i valori dal menu a discesa.
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
Il update-lf-tag-expression comando in Lake Formation consente di aggiornare un'espressione di tag LF esistente.
```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```
Ecco cosa significano i parametri del comando fornito:
+ name: il nome dell'espressione di tag denominata esistente che desideri aggiornare.
+ description — Una nuova descrizione per l'espressione.
catalog-id — L'ID del Data Catalog in cui risiede l'espressione del tag denominata.
+ expression — La nuova stringa di espressioni di tag con cui si desidera aggiornare l'espressione.
------
# Eliminazione delle espressioni dei tag LF
È possibile eliminare espressioni di tag LF che non sono più in uso. Se hai concesso le autorizzazioni ai principali sulle risorse del Data Catalog utilizzando l'espressione LF-Tag, non avranno più le autorizzazioni.
Solo gli amministratori del data lake, il creatore dell'espressione LF-Tag o un responsabile con l'`Drop`autorizzazione sull'espressione LF-Tag possono eliminare un'espressione LF-Tag. Oltre all'autorizzazione, il principale necessita anche dell'`Drop`autorizzazione `lakeformation:DeleteLFTagExpression` IAM per eliminare un'espressione LF-Tag.
È possibile eliminare un'espressione LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per eliminare un'espressione LF-Tag (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore dell'espressione LF-Tag o principale che dispone delle autorizzazioni per eliminare l'espressione.
1. **Nel pannello di navigazione, in Autorizzazioni, scegli **LF-Tag e autorizzazioni**.**
1. **Scegliete la scheda delle espressioni LF-Tag.**
1. **Nella sezione **Espressioni di tag LF**, selezionate un'espressione di tag LF, quindi scegliete Elimina.**
1. **Nell'espressione Elimina tag LF?** **nella finestra di dialogo, per confermare l'eliminazione, inserite il nome dell'espressione LF-Tag nel campo designato, quindi scegliete Elimina.**
------
#### [ AWS CLI ]
**Per eliminare un tag LF ()AWS CLI**
+ Immettete un comando`delete-lf-tag-expression`. Fornite il nome dell'espressione e l'ID del catalogo da eliminare.
**Example**
L'esempio seguente elimina l'espressione LF-Tag con il nome `my-tag-expression` dal Data Catalog with ID. `123456789012` Il `catalog-id` parametro è facoltativo se utilizzi lo stesso account della configurazione. AWS CLI Dopo aver eliminato un'espressione LF-tag, Lake Formation pulisce i record di autorizzazione associati per quell'espressione. Ciò include sia i record di autorizzazioni individuali che i record di autorizzazioni aggregati che contengono l'espressione eliminata.
```
aws lakeformation delete-lf-tag-expression \
--name "my-tag-expression" \
--catalog-id "123456789012"
```
------
# Elenco delle espressioni dei tag LF
È possibile elencare le espressioni del tag LF per le quali si dispone dei permessi Descrivi. Gli amministratori di Data Lake, i creatori di espressioni LF-Tag e gli amministratori di sola lettura possono vedere implicitamente tutte le espressioni di tag nel proprio account.
È possibile elencare le espressioni LF-Tag utilizzando la console, l' AWS Lake Formation API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per elencare le espressioni dei tag LF (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come creatore di espressioni LF-Tag, come amministratore del data lake o come responsabile a cui sono state concesse le autorizzazioni per le espressioni LF-Tag e che dispone dell'autorizzazione IAM. `lakeformation:ListLFTagExpressions`
1. **Nel pannello di navigazione, sotto **Autorizzazioni, LF-tags e autorizzazioni**.**
1. Scegliete la **scheda Espressioni LF-Tag per vedere le espressioni**. Questa sezione mostra le informazioni sulle espressioni di tag LF esistenti, incluso il nome dell'espressione, l'espressione stessa con i collegamenti ai tag inclusi e le opzioni per creare, modificare o eliminare le espressioni.
------
#### [ AWS CLI ]
**Per elencare i tag LF ()AWS CLI**
+ Per elencare le espressioni dei tag LF usando il AWS CLI, puoi usare il comando. list-lf-tag-expressions La sintassi della richiesta è:
```
aws lakeformation list-lf-tag-expressions \
-- catalog-id "123456789012" \
-- max-items "100" \
-- next-token "next-token"
```
Dove:
+ `catalog-id`è l'ID dell' AWS account del Data Catalog per il quale desideri elencare le espressioni dei tag.
+ `max-items`specifica il numero massimo di espressioni di tag da restituire. Se questo parametro non viene utilizzato, il valore predefinito è 100.
+ `next-token`è un token di continuazione se i risultati sono stati troncati in una richiesta precedente.
La risposta includerà un elenco di espressioni di tag LF e un token successivo, se applicabile.
------
# Gestione delle autorizzazioni per i valori del tag LF
È possibile concedere le `Drop` `Alter` autorizzazioni sui tag LF ai responsabili per gestire le espressioni di valore dei tag LF. È inoltre possibile concedere `Describe` `Grant with LF-Tag expressions` le autorizzazioni relative ai tag LF ai principali per visualizzare i tag LF e assegnarli alle risorse del Data Catalog (database, tabelle e colonne). `Associate` Quando i tag LF vengono assegnati alle risorse del Data Catalog, è possibile utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere tali risorse. Per ulteriori informazioni, consulta [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md).
È possibile concedere queste autorizzazioni con l'opzione di concessione in modo che altri responsabili possano concederle. Le `Associate` autorizzazioni `Grant with LF-Tag expressions``Describe`, e sono spiegate in. [Aggiungi creatori di tag LF](TBAC-adding-tag-creator.md#add-lf-tag-creator)
È possibile concedere le `Associate` autorizzazioni `Describe` and su un tag LF a un account esterno. AWS Un amministratore di data lake in quell'account può quindi concedere tali autorizzazioni ad altri responsabili dell'account. I responsabili a cui l'amministratore del data lake dell'account esterno concede l'`Associate`autorizzazione possono quindi assegnare LF-Tags alle risorse del Data Catalog che hai condiviso con il loro account.
Quando si concede a un account esterno, è necessario includere l'opzione di concessione.
Puoi concedere le autorizzazioni sui tag LF utilizzando la console Lake Formation, l'API o il AWS Command Line Interface ().AWS CLI
**Topics**
+ [Elencare le autorizzazioni LF-Tag utilizzando la console](TBAC-listing-tag-perms-console.md)
+ [Concessione delle autorizzazioni LF-Tag tramite la console](TBAC-granting-tags-console.md)
+ [Gestione delle autorizzazioni LF-Tag utilizzando il AWS CLI](TBAC-granting-revoking-tags-cli.md)
Per ulteriori informazioni, consulta [Gestione dei tag LF per il controllo dell'accesso ai metadati](managing-tags.md) e [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md).
# Elencare le autorizzazioni LF-Tag utilizzando la console
Puoi usare la console Lake Formation per visualizzare le autorizzazioni concesse sui tag LF. Devi essere un creatore di LF-Tag, un amministratore di data lake o avere l'`Associate`autorizzazione `Describe` o l'autorizzazione su un LF-Tag per vederlo.
**Per elencare le autorizzazioni LF-Tag (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come creatore di LF-tag, amministratore del data lake o come utente a cui sono state concesse le`Drop`, `Alter``Associate`, o `Describe` le autorizzazioni per i tag LF.
1. **Nel pannello di navigazione, in Autorizzazioni, scegli LF-Tag e **permessi** **e scegli la sezione Autorizzazioni LF-Tag**.**
La sezione delle **autorizzazioni LF-Tag mostra una tabella che contiene il principale, le chiavi dei tag**, i valori e le autorizzazioni.
![\[La pagina include una tabella di autorizzazioni con le seguenti colonne: Principal, Principal type, Keys, Values, Permissions e Grantable. Sono presenti cinque righe. A sinistra di ogni riga c'è un pulsante radio. Sopra la tabella ci sono un campo di ricerca e questi pulsanti: Refresh, View, Revoke e Grant. Poiché inizialmente non è selezionata alcuna riga, i pulsanti Visualizza e Revoca sono disabilitati. I valori nella prima riga sono: principal=ARN:AWS:iam: :111122223333:user/datalake_admin, principal=1111ake_admin, Principal Type=IAM user, keys=Environment, Values=All values, Permissions=describe, grantable=describe.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/list-tag-permissions-page.png)
# Concessione delle autorizzazioni LF-Tag tramite la console
I passaggi seguenti spiegano come concedere le autorizzazioni sui tag LF utilizzando la pagina **Grant LF-tag permissions sulla** console Lake Formation. La pagina è suddivisa nelle seguenti sezioni:
+ **Tipi di autorizzazione**: il tipo di autorizzazione da concedere.
+ **Principali**: gli utenti o i ruoli IAM o gli utenti o i ruoli SAML a cui concedere le autorizzazioni.
+ Autorizzazioni per le coppie **chiave-valore LF-Tag: le coppie chiave-valore LF-Tag su cui concedere le autorizzazioni**.
+ Autorizzazioni **LF-Tag** — I tag LF su cui concedere le autorizzazioni.
+ Autorizzazioni per le espressioni **LF-Tag — Autorizzazioni per le espressioni LF-Tag su cui concedere le autorizzazioni**.
+ **Autorizzazioni: le autorizzazioni da concedere.**
## Apri la pagina **Concedi le autorizzazioni del tag LF**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come creatore di LF-Tag, amministratore di data lake o come utente Le autorizzazioni LF-Tag o la coppia chiave-valore LF-Tag su LF-Tag sono state concesse con l'opzione. `Grant`
1. ****Nel pannello di navigazione, scegli LF-Tag e autorizzazioni, scegli la sezione Autorizzazioni LF-Tag.****
1. Scegli **Concedi autorizzazioni**.
## Specificate il tipo di autorizzazione
Nella sezione **Tipo di autorizzazione**, scegli un tipo di autorizzazione.
Autorizzazioni LF-Tag
Scegli le **autorizzazioni LF-Tag per consentire ai mandanti di aggiornare i valori dei tag** LF o eliminare i tag LF.
Autorizzazioni per la coppia chiave-valore LF-Tag
Scegliete i **permessi della coppia chiave-valore LF-Tag** per consentire ai mandanti di assegnare LF-Tags alle risorse del Data Catalog, visualizzare i tag e i valori LF-Tag e concedere ai principali autorizzazioni basate sui tag LF sulle risorse del Data Catalog.
Le opzioni disponibili nelle **seguenti** sezioni dipendono dal tipo di autorizzazione.
Autorizzazioni per le espressioni LF-Tag
Scegliete i **permessi di espressione LF-Tag per consentire ai principali di aggiornare le** espressioni o eliminare le espressioni.
## Specificate i principali
**Nota**
Non puoi concedere autorizzazioni LF-Tag (`Alter`and`Drop`) ad account o responsabili esterni di un altro account.
Nella sezione **Principali**, scegli un tipo principale e specifica i principali a cui concedere le autorizzazioni.
![\[La sezione principals contiene tre riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro Utenti e ruoli IAM è selezionato e un elenco a discesa di utenti e ruoli IAM si trova sotto i riquadri.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-tags-principals-section.png)
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o ARNs per utenti o gruppi Quick. Premi **Invio** dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **AWS account**, inserisci uno o più AWS account validi IDs. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
Per il principale IAM, inserisci l'ARN per l'utente o il ruolo IAM.
## Specificate i tag LF
Per concedere le autorizzazioni sui tag LF, nella sezione Autorizzazioni dei tag LF, **specifica i tag LF su cui concedere le autorizzazioni**.
![\[La sezione LF-Tags mostra due righe di campi, in cui ogni riga, da sinistra a destra, ha un campo Chiave, un campo Valore e un pulsante Rimuovi. Il campo Valore è un elenco a discesa. Sotto le due righe di campi c'è un pulsante Aggiungi tag LF. La prima riga mostra «modulo» nel campo Chiave e sotto il campo Valori ci sono due piccoli riquadri che contengono rispettivamente Orders e Sales, a indicare che l'utente ha scelto Orders e Sales come valori per il modulo chiave. Ogni riquadro ha una X su cui è possibile fare clic (come in una casella di chiusura) per eliminare il riquadro. La seconda riga di campi è vuota.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)
+ Scegli uno o più tag LF utilizzando il menu a discesa.
## Specificate le coppie chiave-valore del tag LF
1. Per concedere i permessi sulle coppie chiave-valore LF-Tag, (devi prima scegliere Scegli i **permessi della coppia chiave-valore LF-Tag come **Tipo di autorizzazione**) scegli Aggiungi coppia chiave-valore** **LF-Tag per visualizzare la prima riga di campi per specificare la chiave e i valori del tag LF**.
![\[Interface for adding LF-Tag key-value pairs and setting associated permissions.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/tag-key-value-pair.png)
1. Posizionate il cursore nel campo Chiave, facoltativamente iniziate a digitare per restringere l'elenco di selezione e selezionate una **chiave** LF-Tag.
1. Nell'elenco **Valori**, selezionate uno o più valori, quindi premete **Tab** oppure fate clic o toccate all'esterno del campo per salvare i valori selezionati.
**Nota**
Se una delle righe dell'elenco **Valori** è attiva, premendo **Invio** si seleziona o deseleziona la casella di controllo.
I valori selezionati vengono visualizzati sotto forma di riquadri sotto l'elenco **Valori**. Scegli ✖ per rimuovere un valore. Scegli **Rimuovi** per rimuovere l'intero tag LF.
1. Per aggiungere un altro tag LF, scegliete nuovamente **Aggiungi tag LF** e ripetete i due passaggi precedenti.
## Specificate le espressioni del tag LF
1. **Per concedere i permessi sulle espressioni con tag LF, (devi prima scegliere i permessi per le **espressioni con tag LF** come tipo di autorizzazione).**
![\[Permission type selection interface with LF-Tag expression permissions highlighted.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/tag-expression.png)
1. Scegliete un'espressione LF-Tag.
1. Le espressioni selezionate appaiono come riquadri sotto l'elenco delle espressioni del tag **LF**. Scegliete ✖ per rimuovere un'espressione.
1. Per aggiungere un'altra espressione del tag LF, scegliete un'altra espressione.
## Specificate le autorizzazioni
Questa sezione mostra le autorizzazioni del **tag LF o le autorizzazioni** con **valore del tag LF** in base al **tipo di autorizzazione scelto nel passaggio precedente**.
**A seconda del **tipo di autorizzazione** che hai scelto di concedere, seleziona le autorizzazioni LF-Tag o la coppia chiave-valore **LF-Tag, le autorizzazioni e le autorizzazioni** concedibili.**
1. **In** Autorizzazioni LF-Tag, seleziona le autorizzazioni da concedere.
****La concessione di **Drop and Alter implica la concessione implicita** di Describe.****
È necessario concedere le autorizzazioni **Alter** and **Drop** su tutti i valori dei tag.
1. In **LT-Tag key-value permissions, seleziona le autorizzazioni** da concedere.
****Granting Associate concede implicitamente Describe.**** Scegliete **Grant with LF-Tag expression** per consentire al destinatario della concessione di concedere o revocare le autorizzazioni di accesso alle risorse del Data Catalog utilizzando il metodo LF-TBAC.
1. In Autorizzazioni di espressione **LF-Tag**, seleziona le autorizzazioni da concedere.
****La concessione di **Drop and Alter implica la concessione implicita** di Describe.****
Concedendo l'autorizzazione **Super**, vengono concesse tutte le autorizzazioni disponibili.
1. (Facoltativo) In Autorizzazioni **concedibili, seleziona le autorizzazioni che il destinatario della sovvenzione** può concedere agli altri responsabili del proprio account. AWS
1. Scegliere **Concedi**.
# Gestione delle autorizzazioni LF-Tag utilizzando il AWS CLI
È possibile concedere, revocare ed elencare le autorizzazioni sui tag LF utilizzando (). AWS Command Line Interface AWS CLI
**Per elencare le autorizzazioni LF-Tag ()AWS CLI**
+ Immettete un comando. `list-permissions` Devi essere il creatore del tag LF, un amministratore del data lake o avere l'`Grant with LF-Tag permissions`autorizzazione`Drop`,, `Alter` `Describe``Associate`, per un tag LF per vederlo.
Il comando seguente richiede tutti i tag LF per i quali disponete delle autorizzazioni.
```
aws lakeformation list-permissions --resource-type LF_TAG
```
Di seguito è riportato un esempio di output per un amministratore di data lake, che vede tutti i tag LF concessi a tutti i principali. Gli utenti non amministrativi vedono solo i tag LF concessi loro. Le autorizzazioni LF-Tag concesse da un account esterno vengono visualizzate in una pagina dei risultati separata. Per vederli, ripetete il comando e inserite nell'`--next-token`argomento il token restituito dalla precedente esecuzione del comando.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"*"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": [
"ASSOCIATE"
]
},
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"DESCRIBE"
],
"PermissionsWithGrantOption": []
},
...
],
"NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}
```
È possibile elencare tutte le concessioni per una chiave LF-Tag specifica. Il comando seguente restituisce tutte le autorizzazioni concesse per il tag LF. `module`
```
aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
È inoltre possibile elencare i valori del tag LF concessi a un principale specifico per un tag LF specifico. Quando si fornisce l'`--principal`argomento, è necessario fornire l'argomento. `--resource` Pertanto, il comando può richiedere efficacemente solo i valori concessi a un principale specifico per una chiave LF-Tag specifica. Il comando seguente mostra come eseguire questa operazione per la chiave principale `datalake_user1` e per la chiave LF-Tag. `module`
```
aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Di seguito è riportato un output di esempio.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": []
}
]
}
```
**Per concedere i permessi sui tag LF ()AWS CLI**
1. Utilizzare un comando simile al seguente: Questo esempio concede all'utente l'`Associate`autorizzazione per l'uso `datalake_user1` del tag LF con la chiave. `module` Concede le autorizzazioni per visualizzare e assegnare tutti i valori per quella chiave, come indicato dall'asterisco (\$1).
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
La concessione dell'autorizzazione implica la concessione implicita dell'`Associate`autorizzazione. `Describe`
L'esempio successivo concede `Associate` all' AWS account esterno 1234-5678-9012 sul tag LF con la chiave, con l'opzione grant. `module` Concede le autorizzazioni per visualizzare e assegnare solo i valori e. `sales` `orders`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. La concessione dell'autorizzazione implica la concessione implicita `GrantWithLFTagExpression` dell'autorizzazione. `Describe`
L'esempio successivo concede `GrantWithLFTagExpression` a un utente il tag LF con la chiave`module`, con l'opzione grant. Concede le autorizzazioni per visualizzare e concedere le autorizzazioni sulle risorse del Data Catalog utilizzando solo i valori e. `sales` `orders`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. L'esempio successivo concede `Drop` le autorizzazioni a un utente sul tag LF con la chiave, con l'opzione grant. `module` Concede le autorizzazioni per eliminare il tag LF. Per eliminare un tag LF, sono necessarie le autorizzazioni su tutti i valori di quella chiave.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
1. L'esempio successivo concede `Alter` le autorizzazioni all'utente sul tag LF con la chiave, con l'opzione grant. `module` Concede le autorizzazioni per eliminare il tag LF. Per aggiornare un LF-tag, sono necessarie le autorizzazioni su tutti i valori di quella chiave.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
**Per revocare le autorizzazioni su LF-Tags ()AWS CLI**
+ Utilizzare un comando simile al seguente: Questo esempio revoca l'`Associate`autorizzazione sul tag LF con la chiave dell'utente. `module` `datalake_user1`
```
aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
# Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC
Puoi concedere le autorizzazioni `DESCRIBE` e `ASSOCIATE` Lake Formation sui tag LF ai mandanti in modo che possano visualizzare i tag LF e assegnarli alle risorse del Data Catalog (database, tabelle, viste e colonne). Quando i tag LF vengono assegnati alle risorse del Data Catalog, è possibile utilizzare il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per proteggere tali risorse. Per ulteriori informazioni, consulta [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md).
Inizialmente, solo l'amministratore del data lake può concedere queste autorizzazioni. Se l'amministratore del data lake concede queste autorizzazioni con l'opzione di concessione, altri responsabili possono concederle. Le `ASSOCIATE` autorizzazioni `DESCRIBE` e sono spiegate in. [Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation](lf-tag-considerations.md)
È possibile concedere le `ASSOCIATE` autorizzazioni `DESCRIBE` and su un tag LF a un account esterno. AWS Un amministratore di data lake in quell'account può quindi concedere tali autorizzazioni ad altri responsabili dell'account. I responsabili a cui l'amministratore del data lake dell'account esterno concede l'`ASSOCIATE`autorizzazione possono quindi assegnare LF-Tags alle risorse del Data Catalog che hai condiviso con il loro account.
Quando si concede a un account esterno, è necessario includere l'opzione di concessione.
È possibile concedere le autorizzazioni sui tag LF utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
**Nota**
I seguenti passaggi non sono necessari per i cataloghi di S3 Tables. Puoi usare LF-Tags per concedere le autorizzazioni sui cataloghi S3 Tables esistenti senza eliminarli e ricrearli.
**Abilitazione del supporto dei tag LF per i cataloghi federati esistenti che utilizzano le autorizzazioni Lake Formation**
Segui questi passaggi, se disponi di cataloghi federati esistenti che utilizzano le autorizzazioni di Lake Formation, come Amazon Redshift o Amazon DynamoDB cataloghi creati prima che il supporto LF-Tags fosse disponibile per i cataloghi federati.
1. Elimina il catalogo esistente: richiama l'operazione `deleteCatalog` API per rimuovere il catalogo federato esistente che utilizza le autorizzazioni Lake Formation.
1. Crea un nuovo catalogo federato: crea un nuovo catalogo e indirizza il nuovo catalogo al tuo namespace/datashare esistente.
Usa un nuovo nome per il catalogo: questo processo aggiorna i cataloghi federati preesistenti per supportare la funzionalità LF-Tag. Se desideri utilizzare lo stesso nome di catalogo, contatta AWS il team di supporto per ricevere assistenza.
**Topics**
+ [Concessione delle autorizzazioni per Data Catalog](#granting-cat-perms-TBAC-console)
**Consulta anche**
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Gestione dei tag LF per il controllo dell'accesso ai metadati](managing-tags.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
## Concessione delle autorizzazioni per Data Catalog
Usa la console Lake Formation o AWS CLI concedi le autorizzazioni di Lake Formation su database, tabelle, viste e colonne di Data Catalog utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC).
------
#### [ Console ]
I passaggi seguenti spiegano come concedere le autorizzazioni utilizzando il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) e la **pagina Grant data lake permissions sulla console Lake** Formation. La pagina è suddivisa nelle seguenti sezioni:
+ **Principi: utenti, ruoli e autorizzazioni** Account AWS a cui concedere le autorizzazioni.
+ **Tag LF o risorse del catalogo**: database, tabelle o collegamenti a risorse a cui concedere le autorizzazioni.
+ **Autorizzazioni: autorizzazioni** da concedere a The Lake Formation.
1.
**Apri la pagina Concedi le autorizzazioni del data lake.**
Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake o come utente a cui sono state concesse le autorizzazioni Lake Formation sulle risorse del Data Catalog tramite LF-TBAC con l'opzione di concessione.
**Nel pannello di navigazione, sotto Autorizzazioni, scegli **Autorizzazioni Data Lake**.** Quindi scegli **Concedi**.
1.
**Specificate i principi.**
Nella sezione **Principali**, scegli un tipo principale, quindi specifica i principali a cui concedere le autorizzazioni.
![\[La sezione Principi contiene quattro riquadri denominati nel testo seguente. Ogni riquadro contiene un pulsante di opzione e un testo. Il riquadro IAM Identity Center è selezionato e l'elenco a discesa di utenti e gruppi si trova sotto i riquadri.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utenti e ruoli IAM**
Scegli uno o più utenti o ruoli dall'elenco **degli utenti e dei ruoli IAM**.
**Centro identità IAM **
Scegli uno o più utenti o dall'elenco **Utenti e gruppi**.
**Utenti e gruppi SAML**
Per **utenti e gruppi SAML e Quick**, inserisci uno o più Amazon Resource Names (ARNs) per utenti o gruppi federati tramite SAML o ARNs per utenti o gruppi Quick. Premi Invio dopo ogni ARN.
Per informazioni su come costruire il, consulta. ARNs [I comandi di concessione e AWS CLI revoca di Lake Formation](lf-permissions-reference.md#perm-command-format)
L'integrazione di Lake Formation con Quick è supportata solo per Quick Enterprise Edition.
**Account esterni**
Per **Account AWS, AWS organizzazione** o **responsabile IAM,** inserisci una o più organizzazioni Account AWS IDs IDs IDs, unità organizzative o ARN validi per l'utente o il ruolo IAM. Premi **Invio** dopo ogni ID.
Un ID dell'organizzazione è composto da «o-» seguito da 10-32 lettere o cifre minuscole.
L'ID di un'unità organizzativa inizia con «ou-» seguito da 4 a 32 lettere o cifre minuscole (l'ID della radice che contiene l'unità organizzativa). Questa stringa è seguita da un secondo trattino «-» e da 8 a 32 lettere o cifre minuscole aggiuntive.
1.
**Specificate i tag LF.**
Assicuratevi che sia selezionata l'**opzione Risorse abbinate ai tag LF**. **Scegliete le coppie **chiave-valore del tag LF o le espressioni di tag LF salvate**.**
1. Se scegliete l'opzione delle coppie chiave-valore **LF-Tag, scegliete le chiavi** e i valori.
Se scegliete più di un valore, state creando un'espressione LF-tag con un operatore. `OR` Ciò significa che se uno qualsiasi dei valori del tag LF corrisponde a un tag LF assegnato a una risorsa del Data Catalog, all'utente vengono concesse le autorizzazioni sulla risorsa.
![\[La sezione delle risorse del tag LF o del catalogo contiene due riquadri disposti orizzontalmente, in cui ogni riquadro contiene un pulsante di opzione e un testo descrittivo. Le opzioni sono Risorse abbinate ai tag LF (consigliate) e Risorse nominate del catalogo di dati. Sono selezionate le risorse corrispondenti ai tag LF. Sotto i riquadri ci sono un campo Chiave e un campo Valori disposti orizzontalmente. Il campo Chiave contiene «modulo» e il campo Valori è un elenco a discesa che contiene tre voci: Ordini, Vendite e Clienti. A ogni voce è associata una casella di controllo. La casella di controllo Clienti è selezionata. A destra di questi due campi c'è un pulsante Rimuovi. Nella parte inferiore è presente il pulsante Aggiungi tag LF, che indica che è possibile aggiungere un'altra riga contenente i campi Chiave e Valori e un pulsante Rimuovi.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)
1. (Facoltativo) Scegliete nuovamente **Aggiungi coppia chiave-valore LF-tag per specificare** un altro tag LF.
Se specificate più di un tag LF, state creando un'espressione di tag LF con un operatore. `AND` Al principale vengono concesse le autorizzazioni su una risorsa del Data Catalog solo se alla risorsa è stato assegnato un tag LF corrispondente per ogni tag LF nell'espressione del tag LF.
1. Scegliete l'opzione **Salva come nuova espressione per riutilizzare** l'espressione.
È necessario `Create LF-Tag expression` salvare le espressioni.
Per ulteriori informazioni sulle espressioni dei tag LF, vedere. [Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati](managing-tag-expressions.md)
1.
**Specificare le autorizzazioni.**
Specificate le autorizzazioni che desiderate concedere al principale per le risorse del Data Catalog corrispondenti. Le risorse corrispondenti sono quelle a cui sono stati assegnati tag LF che corrispondono a una delle espressioni LF-Tag concesse al principale.
È possibile specificare le autorizzazioni da concedere ai database corrispondenti, alle tabelle corrispondenti e alle viste corrispondenti.
![\[Vengono mostrate due sezioni della pagina. La sezione Autorizzazioni del database contiene le caselle di controllo per le autorizzazioni del database e le autorizzazioni concedibili. Sotto la sezione Database, la sezione Autorizzazioni per le tabelle mostra le caselle di controllo per le autorizzazioni relative alle tabelle e alle autorizzazioni concedibili.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)
In Autorizzazioni **database, seleziona le autorizzazioni** del database da concedere al principale sui database corrispondenti.
In Autorizzazioni per le **tabelle, seleziona le autorizzazioni** per la tabella o la visualizzazione da concedere al principale per le tabelle e le viste corrispondenti.
Puoi anche scegliere tra `Select` le `Describe` `Drop` autorizzazioni della **tabella e applicare alle viste le autorizzazioni**.
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
Puoi utilizzare il metodo AWS Command Line Interface (AWS CLI) e il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere le autorizzazioni di Lake Formation su database, tabelle e colonne di Data Catalog.
**Concessione delle autorizzazioni per il data lake utilizzando il metodo e il metodo LF-TBAC AWS CLI**
+ Utilizza il comando `grant-permissions`.
**Example**
L'esempio seguente concede all'utente l'espressione LF-Tag "`module=*`" (tutti i valori della chiave LF-Tag). `module` `datalake_user1` Quell'utente avrà l'`CREATE_TABLE`autorizzazione su tutti i database corrispondenti, ovvero i database a cui è stato assegnato il tag LF con la chiave, con qualsiasi valore. `module`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'
```
**Example**
L'esempio successivo concede l'espressione LF-Tag "" all'utente. `(level=director) AND (region=west OR region=south)` `datalake_user1` Quell'utente disporrà delle `DROP` autorizzazioni `SELECT``ALTER`, e con l'opzione grant sulle tabelle corrispondenti, ossia tabelle a cui sono stati assegnati sia (che). `level=director` `region=west` `region=south`
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
```
**Example**
Il prossimo esempio concede l'espressione LF-tag "" all'account 1234-5678-9012. `module=orders` AWS L'amministratore del data lake di quell'account può quindi concedere l'espressione "" ai responsabili del proprio account. `module=orders` Tali responsabili avranno quindi l'`CREATE_TABLE`autorizzazione a far corrispondere i database di proprietà dell'account 1111-2222-3333 e condivisi con l'account 1234-5678-9012 utilizzando il metodo della risorsa denominata o il metodo LF-TBAC.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
```
------
# Controllo dell’accesso basato sugli attributi
In AWS Lake Formation, puoi concedere l'accesso a AWS Glue Data Catalog oggetti come cataloghi, database, tabelle e filtri di dati utilizzando attributi che sono tag IAM e tag di sessione associati a entità IAM come ruoli e utenti.
Per ulteriori informazioni sull'utilizzo dei tag di sessione, consulta [assume-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) nella guida per l'utente. AWS CLI
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. AWS *chiama questi attributi tag.* È possibile utilizzare ABAC per concedere l'accesso ai principali all'interno dello stesso account o di un altro account sulle risorse del Data Catalog. Qualsiasi principale IAM con chiavi e valori del tag IAM o del tag di sessione corrispondenti ottiene l'accesso alla risorsa. È necessario disporre di autorizzazioni concedibili sulle risorse per effettuare queste sovvenzioni.
ABAC ti consente di concedere l'accesso a più utenti contemporaneamente. Quando nuovi utenti entrano a far parte dell'organizzazione, il loro accesso ai dati può essere determinato automaticamente in base ai loro attributi, come la funzione lavorativa o il reparto, senza richiedere agli amministratori di assegnare manualmente ruoli o autorizzazioni specifici. Utilizzando gli attributi anziché i ruoli, ABAC offre un modo più semplificato e gestibile per gestire l'accesso ai dati tra diversi sistemi e ambienti, migliorando in ultima analisi la governance e la conformità dei dati.
Per ulteriori informazioni sulla definizione degli attributi, vedere Definire le [autorizzazioni in base](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) agli attributi con l'autorizzazione ABAC.
Per informazioni su limitazioni, considerazioni e AWS regioni supportate, consulta. [Considerazioni, limitazioni e aree supportate sul controllo degli accessi basato sugli attributi](abac-considerations.md)
**Topics**
+ [Prerequisiti per la concessione di autorizzazioni tramite attributi](abac-prerequisites.md)
+ [Concessione delle autorizzazioni utilizzando il controllo degli accessi basato sugli attributi](abac-granting-permissions.md)
# Prerequisiti per la concessione di autorizzazioni tramite attributi
Per concedere le autorizzazioni utilizzando il controllo degli accessi basato sugli attributi (ABAC), è necessario completare i seguenti prerequisiti:
+ Aggiorna le **impostazioni** del **Data Catalog** per abilitare le autorizzazioni Lake Formation per gli oggetti Data Catalog. Per ulteriori informazioni, consulta la sezione [Modifica del modello di autorizzazione predefinito o utilizzo della modalità di accesso ibrida](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#setup-change-cat-settings).
+ Imposta le impostazioni della versione per più account su due o più.
+ [Allega gli attributi](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) alle entità IAM che richiedono l'accesso.
+ Solo un amministratore del data lake o un utente IAM con le autorizzazioni richieste può concedere l'accesso agli oggetti del Data Catalog. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Autorizzazioni [IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/required-permissions-for-grant.html).
# Concessione delle autorizzazioni utilizzando il controllo degli accessi basato sugli attributi
Questo argomento descrive i passaggi da seguire per concedere le autorizzazioni di accesso basate sugli attributi alle risorse del Data Catalog. Puoi usare la console Lake Formation o la AWS Command Line Interface (AWS CLI).
## Concessione delle autorizzazioni tramite ABAC ()Console di gestione AWS
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e accedi come amministratore del data lake, creatore di risorse o utente IAM con **autorizzazioni Grantable** sulla risorsa.
1. Esegui una delle seguenti operazioni:
+ **Nel riquadro di navigazione, in **Autorizzazioni, scegli Autorizzazioni** Data Lake.** Quindi scegli **Concedi**.
+ **Nel riquadro di navigazione, scegli **Cataloghi in Data Catalog.**** **Quindi, scegli un oggetto del catalogo (cataloghi, database, tabelle e filtri di dati) e dal menu **Azioni in **Autorizzazioni****, scegli Concedi.**
1. Nella pagina **Concedi autorizzazioni**, scegli **Principali** per attributo.
1. Specificate la chiave e i valori dell'attributo. Se scegli più di un valore, stai creando un'espressione di attributo con un `OR` operatore. Ciò significa che se uno qualsiasi dei valori dei tag degli attributi assegnati a un ruolo o utente IAM corrisponde, role/user ottiene i permessi di accesso alla risorsa.
Se specifichi più di un tag di attributo, stai creando un'espressione di attributo con un `AND` operatore. Al principale vengono concesse le autorizzazioni su una risorsa del Data Catalog solo se all'IAM role/user è stato assegnato un tag corrispondente per ogni tag di attributo nell'espressione dell'attributo.
Esamina l'espressione di policy Cedar risultante mostrata nella console.
![\[Nella finestra di dialogo Concedi autorizzazioni, viene creata un'espressione di attributo.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/abac-grant-permissions.png)
1. Scegliete l'ambito delle autorizzazioni. Se i beneficiari appartengono a un account esterno, scegli **Account esterno** e inserisci l'ID dell' AWS account.
1. Quindi, scegli l'account Data Catalog o gli account esterni. È necessario disporre delle autorizzazioni corrispondenti sulle risorse per completare correttamente le concessioni di autorizzazione.
1. Specificate le azioni che desiderate consentire ai principali (utenti o ruoli) con attributi corrispondenti. L'accesso è concesso alle entità IAM a cui sono stati assegnati tag e valori che corrispondono ad almeno una delle espressioni di attributo specificate. Esamina l'espressione della policy Cedar nella console. Per ulteriori informazioni su Cedar, vedi [Cos'è Cedar? \$1 Cedar Policy](https://docs.cedarpolicy.com/) Language Reference. GuideLink
1. Quindi scegli le risorse del Data Catalog a cui concedere l'accesso. Puoi definire queste autorizzazioni per varie risorse del Data Catalog, inclusi cataloghi, database, tabelle e filtri di dati.
1. Scegliere **Concedi**.
Questo approccio consente di controllare l'accesso in base agli attributi, garantendo che solo gli utenti o i ruoli con i tag appropriati possano eseguire azioni specifiche sulle risorse designate.
## Concessione delle autorizzazioni tramite ABAC ()AWS CLI
L'esempio seguente mostra un'espressione di attributo che deve essere soddisfatta per ricevere tutte le autorizzazioni disponibili sulla risorsa. In alternativa, è possibile specificare autorizzazioni individuali come `Select``Describe`, o. `Drop` L'espressione utilizza l'espressione politica Cedar. Per ulteriori informazioni su Cedar, vedere [Cos'è Cedar? \$1 Cedar Policy](https://docs.cedarpolicy.com/) Language Reference. GuideLink
Questa condizione verifica se il principale IAM ha un `department` tag e il valore del `department` tag è uguale`sales`.
```
aws lakeformation grant-permissions
--principal '{"DataLakePrincipalIdentifier": "111122223333:IAMPrincipals"}' \
--resource '{"Database": {"CatalogId": 111122223333, "Name": "abac-db"}}' \
--permissions ALL \
--condition '{"Expression": "context.iam.principalTags.hasTag(\"department\") \
&& context.iam.principalTags.getTag(\"department\") == \"sales\""}'
```
# Scenario di esempio di autorizzazioni
Lo scenario seguente aiuta a dimostrare come è possibile impostare le autorizzazioni per proteggere l'accesso ai dati in. AWS Lake Formation
Shirley è un'amministratore di dati. Vuole creare un data lake per la sua azienda,. AnyCompany Attualmente, tutti i dati sono archiviati in Amazon S3. John è un responsabile marketing e deve accedere per iscritto alle informazioni sugli acquisti dei clienti (contenute in`s3://customerPurchases`). Un analista di marketing, Diego, si unisce a John quest'estate. John deve poter concedere a Diego l'accesso per eseguire interrogazioni sui dati senza coinvolgere Shirley.
Mateo, del reparto finanziario, ha bisogno di accedere ai dati contabili interrogativi (ad esempio,). `s3://transactions` Vuole interrogare i dati delle transazioni nelle tabelle di un database (`Finance_DB`) utilizzato dal team finanziario. Il suo manager, Arnav, può dargli accesso a. `Finance_DB` Sebbene non dovrebbe essere in grado di modificare i dati contabili, ha bisogno della capacità di convertire i dati in un formato (schema) adatto alla previsione. Questi dati verranno archiviati in un bucket separato (`s3://financeForecasts`) che potrà modificare.
Per riassumere:
+ Shirley è l'amministratore del data lake.
+ John richiede `CREATE_DATABASE` `CREATE_TABLE` l'autorizzazione per creare nuovi database e tabelle nel Data Catalog.
+ John richiede `SELECT` anche le autorizzazioni e `DELETE` le autorizzazioni per le tabelle che crea. `INSERT`
+ Diego richiede `SELECT` l'autorizzazione sul tavolo per eseguire le interrogazioni.
I dipendenti di AnyCompany eseguono le seguenti azioni per impostare le autorizzazioni. Le operazioni API mostrate in questo scenario mostrano una sintassi semplificata per motivi di chiarezza.
1. Shirley registra il percorso Amazon S3 contenente le informazioni sugli acquisti dei clienti con Lake Formation.
```
RegisterResource(ResourcePath("s3://customerPurchases"), false, Role_ARN )
```
1. Shirley concede a John l'accesso al percorso Amazon S3 contenente le informazioni di acquisto dei clienti.
```
GrantPermissions(John, S3Location("s3://customerPurchases"), [DATA_LOCATION_ACCESS]) )
```
1. Shirley concede a John il permesso di creare database.
```
GrantPermissions(John, catalog, [CREATE_DATABASE])
```
1. John crea il database. `John_DB` John ha automaticamente `CREATE_TABLE` l'autorizzazione per quel database perché lo ha creato.
```
CreateDatabase(John_DB)
```
1. John crea la tabella `John_Table` che punta a. `s3://customerPurchases` Poiché ha creato la tabella, dispone di tutte le autorizzazioni e può concedere le autorizzazioni necessarie.
```
CreateTable(John_DB, John_Table)
```
1. John consente al suo analista, Diego, di accedere alla tabella. `John_Table`
```
GrantPermissions(Diego, John_Table, [SELECT])
```
1. John consente al suo analista, Diego, di accedere a. `s3://customerPurchases/London/` Poiché Shirley è già registrata`s3://customerPurchases`, le sue sottocartelle sono registrate con Lake Formation.
```
GrantDataLakePrivileges( 123456789012/datalake, Diego, [DATA_LOCATION_ACCESS], [], S3Location("s3://customerPurchases/London/") )
```
1. John consente al suo analista, Diego, di creare tabelle nel database. `John_DB`
```
GrantDataLakePrivileges( 123456789012/datalake, Diego, John_DB, [CREATE_TABLE], [] )
```
1. Diego crea una tabella `John_DB` in `s3://customerPurchases/London/` e ottiene automaticamente`ALTER`,, `DROP` `SELECT``INSERT`, e le `DELETE` autorizzazioni.
```
CreateTable( 123456789012/datalake, John_DB, Diego_Table )
```
# Filtraggio dei dati e sicurezza a livello di cella in Lake Formation
Quando concedi le autorizzazioni di Lake Formation su una tabella Data Catalog, puoi includere specifiche di filtraggio dei dati per limitare l'accesso a determinati dati nei risultati delle query e nei motori integrati con Lake Formation. Lake Formation utilizza il filtraggio dei dati per ottenere la sicurezza a livello di colonna, la sicurezza a livello di riga e la sicurezza a livello di cella. Puoi definire e applicare filtri di dati sulle colonne nidificate se i dati di origine contengono strutture nidificate.
Con le funzionalità di filtraggio dei dati di Lake Formation, puoi implementare i seguenti livelli di sicurezza dei dati.
**Sicurezza a livello di colonna**
La concessione delle autorizzazioni su una tabella del Catalogo dati con sicurezza a livello di colonna (filtro delle colonne) consente agli utenti di visualizzare solo colonne specifiche e colonne nidificate a cui hanno accesso nella tabella. Prendiamo in considerazione una `persons` tabella utilizzata in più applicazioni per una grande società di comunicazioni multiregionale. La concessione di autorizzazioni per le tabelle di Data Catalog con filtro a colonne può impedire agli utenti che non lavorano nel reparto risorse umane di visualizzare informazioni di identificazione personale (PII) come il numero di previdenza sociale o la data di nascita. È inoltre possibile definire politiche di sicurezza e concedere l'accesso solo a sottostrutture parziali di colonne annidate.
**Sicurezza a livello di riga**
La concessione delle autorizzazioni su una tabella del Catalogo dati con sicurezza a livello di riga (filtro di riga) consente agli utenti di visualizzare solo righe di dati specifiche a cui hanno accesso nella tabella. Il filtraggio si basa sui valori di una o più colonne. È possibile includere strutture di colonne annidate quando si definiscono espressioni di filtro di riga. Ad esempio, se diversi uffici regionali della società di comunicazioni hanno i propri reparti delle risorse umane, è possibile limitare i record relativi alle persone che i dipendenti delle risorse umane possono vedere ai soli record relativi ai dipendenti della propria regione.
**Sicurezza a livello di cella**
La sicurezza a livello di cella combina il filtraggio di righe e il filtraggio di colonne per un modello di autorizzazioni altamente flessibile. Se si visualizzano le righe e le colonne di una tabella come griglia, utilizzando la sicurezza a livello di cella, è possibile limitare l'accesso ai singoli elementi (celle) della griglia in qualsiasi punto delle due dimensioni. In altre parole, è possibile limitare l'accesso a diverse colonne a seconda della riga. Ciò è illustrato dal diagramma seguente, in cui le colonne con restrizioni sono ombreggiate.
![\[Viene mostrata una griglia con 5 righe e 6 colonne. Le righe e le colonne hanno intestazioni come Col1, Col2, Row1, Row2 e così via. Le celle della griglia con le seguenti coordinate sono ombreggiate: R3, C1; R3, C2; R3, C3; R5, C1; R5; C2; R5, C5; R5, C6.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cells-diagram.png)
Continuando l'esempio della tabella delle persone, puoi creare un *filtro dati* a livello di cella che limita l'accesso alla colonna dell'indirizzo se la riga ha la colonna del paese impostata su «UK», ma consente l'accesso alla colonna dell'indirizzo se la riga ha la colonna del paese impostata su «US».
I filtri si applicano solo alle operazioni di lettura. Pertanto, puoi concedere solo l'autorizzazione `SELECT` Lake Formation con filtri.
**Sicurezza a livello di cella sulle colonne annidate**
Lake Formation consente di definire e applicare filtri di dati con sicurezza a livello di cella su colonne annidate. Tuttavia, i motori analitici integrati come Amazon Athena, Amazon EMR e Amazon Redshift Spectrum supportano l'esecuzione di query su tabelle nidificate gestite da Lake Formation con sicurezza a livello di riga e colonna.
Per le limitazioni, consulta [Limitazioni del filtraggio dei dati](data-filtering-notes.md).
**Topics**
+ [Filtri di dati in Lake Formation](#data-filters-about)
+ [Supporto PartiQL nelle espressioni di filtro di riga](partiql-support.md)
+ [Autorizzazioni necessarie per eseguire interrogazioni su tabelle con filtraggio a livello di cella](row-filtering-prereqs.md)
+ [Gestione dei filtri di dati](managing-filters.md)
## Filtri di dati in Lake Formation
Puoi implementare la sicurezza a livello di colonna, riga e cella tramite la creazione di *filtri di dati*. Quando concedi l'autorizzazione `SELECT` Lake Formation sulle tabelle, selezioni un filtro dati. Se la tabella contiene strutture di colonne nidificate, è possibile definire un filtro dati includendo o escludendo le colonne secondarie e definire espressioni di filtro a livello di riga sugli attributi nidificati.
Ogni filtro di dati appartiene a una tabella specifica del Data Catalog. Un filtro dati include le seguenti informazioni:
+ Nome del filtro
+ Il catalogo IDs della tabella associata al filtro
+ Nome tabella
+ Nome del database che contiene la tabella
+ Specificazione delle colonne: un elenco di colonne e colonne annidate (con `struct` tipi di dati) da includere o escludere nei risultati della query.
+ Espressione di filtro di riga: un'espressione che specifica le righe da includere nei risultati della query. Con alcune restrizioni, l'espressione ha la sintassi di una `WHERE` clausola nel linguaggio PartiQL. Per specificare tutte le righe, scegli **Accesso a tutte le righe** in **Accesso a livello di riga** nella console o Utilizza nelle chiamate API. `AllRowsWildcard`
Per ulteriori informazioni su ciò che è supportato nelle espressioni di filtro di riga, consulta. [Supporto PartiQL nelle espressioni di filtro di riga](partiql-support.md)
Il livello di filtraggio ottenuto dipende da come si popola il filtro dati.
+ Quando specifichi il carattere jolly "tutte le colonne" e fornisci un'espressione di filtro di riga, stabilisci solo la sicurezza a livello di riga (filtraggio di riga).
+ Quando si includono o si escludono colonne specifiche e colonne nidificate e si specifica «tutte le righe» utilizzando il carattere jolly per tutte le righe, si stabilisce solo la sicurezza a livello di colonna (filtraggio delle colonne).
+ Quando includi o escludi colonne specifiche e fornisci anche un'espressione di filtro di riga, stabilisci la sicurezza a livello di cella (filtraggio delle celle).
La seguente schermata della console Lake Formation mostra un filtro dati che esegue il filtraggio a livello di cella. Per le interrogazioni sulla `orders` tabella, limita l'accesso alla `customer_name` colonna e i risultati della query restituiscono solo le righe in cui la colonna contiene «pharma». `product_type`
![\[La finestra del filtro dei dati contiene i seguenti campi, disposti verticalmente: Nome del filtro dati; Database di destinazione; Tabella di destinazione; Gruppo di pulsanti di opzione con le opzioni Accesso a tutte le colonne, Includi colonne ed Escludi colonne; Seleziona colonne (elenco a discesa); Espressione del filtro di riga (casella di testo multilinea). L'opzione Escludi colonne è selezionata, la colonna customer_name è selezionata per l'esclusione e il campo di espressione del filtro Row contiene. 'product_type='pharma'\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/data-filter-sample-pharma.png)
Nota l'uso di virgolette singole per racchiudere la stringa letterale,. `'pharma'`
Puoi utilizzare la console Lake Formation per creare questo filtro di dati oppure puoi fornire il seguente oggetto di richiesta all'operazione `CreateDataCellsFilter` API.
```
{
"Name": "restrict-pharma",
"DatabaseName": "sales",
"TableName": "orders",
"TableCatalogId": "111122223333",
"RowFilter": {"FilterExpression": "product_type='pharma'"},
"ColumnWildcard": {
"ExcludedColumnNames": ["customer_name"]
}
}
```
Puoi creare tutti i filtri di dati di cui hai bisogno per una tabella. A tal fine, è necessaria l'`SELECT`autorizzazione con l'opzione di concessione su una tabella. Per impostazione predefinita, gli amministratori di Data Lake dispongono dell'autorizzazione per creare *filtri di dati* su tutte le tabelle di quell'account. In genere si utilizza solo un sottoinsieme dei possibili filtri di dati quando si concedono le autorizzazioni sulla tabella a un responsabile. Ad esempio, è possibile creare un secondo filtro di dati per la `orders` tabella che è un row-security-only filtro di dati. Facendo riferimento alla schermata precedente, è possibile scegliere l'opzione **Accesso a tutte le colonne** e includere un'espressione di filtro di riga di. `product_type<>pharma` Il nome di questo filtro di dati potrebbe essere. `no-pharma` Limita l'accesso a tutte le righe la cui `product_type` colonna è impostata su «pharma».
L'oggetto di richiesta per l'operazione `CreateDataCellsFilter` API per questo filtro di dati è il seguente.
```
{
"Name": "no-pharma",
"DatabaseName": "sales",
"TableName": "orders",
"TableCatalogId": "111122223333",
"RowFilter": {"FilterExpression": "product_type<>'pharma'"},
"ColumnNames": ["customer_id", "customer_name", "order_num"
"product_id", "purchase_date", "product_type",
"product_manufacturer", "quantity", "price"]
}
```
È quindi possibile concedere la licenza `SELECT` sulla `orders` tabella con il filtro `restrict-pharma` dati a un utente amministrativo e `SELECT` sulla `orders` tabella con il filtro `no-pharma` dati a utenti non amministrativi. Agli utenti del settore sanitario, potresti `SELECT` concedere alla `orders` tabella l'accesso completo a tutte le righe e le colonne (nessun filtro per i dati) o magari aggiungere un altro filtro di dati che limiti l'accesso alle informazioni sui prezzi.
È possibile includere o escludere colonne annidate quando si specifica la sicurezza a livello di colonna e di riga all'interno di un filtro dati. Nell'esempio seguente, l'accesso al `product.offer` campo viene specificato utilizzando nomi di colonna qualificati (racchiusi tra virgolette doppie). Questo è importante per i campi annidati per evitare che si verifichino errori quando i nomi delle colonne contengono caratteri speciali e per mantenere la compatibilità con le versioni precedenti delle definizioni di sicurezza a livello di colonna.
```
{
"Name": "example_dcf",
"DatabaseName": "example_db",
"TableName": "example_table",
"TableCatalogId": "111122223333",
"RowFilter": { "FilterExpression": "customer.customerName <> 'John'" },
"ColumnNames": ["customer", "\"product\".\"offer\""]
}
```
**Consulta anche**
[Gestione dei filtri di dati](managing-filters.md)
# Supporto PartiQL nelle espressioni di filtro di riga
È possibile creare espressioni di filtro di riga utilizzando un sottoinsieme di tipi di dati, operatori e aggregazioni PartiQL. Lake Formation non consente alcuna funzione PartiQL definita dall'utente o standard nell'espressione del filtro. È possibile utilizzare gli operatori di confronto per confrontare le colonne con costanti (ad esempio,`views >= 10000`), ma non è possibile confrontare le colonne con altre colonne.
Un'espressione di filtro Row può essere un'espressione semplice o un'espressione composita. La lunghezza totale dell'espressione deve essere inferiore a 2048 caratteri.
**Espressione semplice**
Un'espressione semplice avrà il seguente formato: ` `
+ **Nome della colonna**
Può essere una colonna di dati di primo livello, una colonna di partizione o una colonna nidificata presente nello schema della tabella e deve appartenere alle colonne [Tipi di dati supportati](#row-filter-supported-datatypes) elencate di seguito.
+ **Operatore di confronto**
Gli operatori supportati sono i seguenti: `=, >, <, >=, <=, <>,!=, BETWEEN, IN, LIKE, NOT, IS [NOT] NULL`
+ Tutti i confronti tra stringhe e le corrispondenze di `LIKE` modelli fanno distinzione tra maiuscole e minuscole. Non è possibile utilizzare l'operatore IS [NOT] NULL sulle colonne di partizione.
+ **Valore della colonna**
Il valore della colonna deve corrispondere al tipo di dati del nome della colonna.
**Espressione composita**
Un'espressione composita avrà il formato:`( ) ()`. Le espressioni composite possono essere ulteriormente combinate utilizzando operatori logici`AND/OR`.
## Tipi di dati supportati
I filtri di riga che fanno riferimento a una AWS Glue Data Catalog tabella che contiene un tipo di dati non supportato genereranno un errore. Di seguito sono riportati i tipi di dati supportati per le colonne e le costanti della tabella, che sono mappati ai Amazon Redshift tipi di dati:
+ `STRING, CHAR, VARCHAR`
+ `INT, LONG, BIGINT, FLOAT, DECIMAL, DOUBLE`
+ `BOOLEAN`
+ `STRUCT`
Per ulteriori informazioni sui tipi di dati in Amazon Redshift, consulta Tipi di [dati nella Amazon Redshift Database](https://docs.aws.amazon.com/redshift/latest/dg/c_Supported_data_types.html) *Developer Guide*.
## Espressioni di filtro di riga
**Example**
Di seguito sono riportati alcuni esempi di espressioni di filtro di riga valide per una tabella con colonne: ` country (String), id (Long), year (partition column of type Integer), month (partition column of type Integer)`
+ `year > 2010 and country != 'US'`
+ `(year > 2010 and country = 'US') or (month < 8 and id > 23)`
+ `(country between 'Z' and 'U') and (year = 2018)`
+ `(country like '%ited%') and (year > 2000)`
**Example**
Di seguito sono riportati alcuni esempi validi di espressioni di filtro di riga per una tabella con colonne annidate: `year > 2010 and customer.customerId <> 1 `
Non è necessario fare riferimento ai campi nidificati nelle colonne di partizione quando si definiscono espressioni nidificate a livello di riga.
Le costanti di stringa devono essere racchiuse tra virgolette singole.
## Parole chiave riservate
Se l'espressione del filtro di riga contiene parole chiave PartiQL, riceverai un errore di analisi poiché i nomi delle colonne potrebbero essere in conflitto con le parole chiave. Quando ciò accade, evita i nomi delle colonne usando le virgolette doppie. Alcuni esempi di parole chiave riservate sono «first», «last», «asc», «missing». Vedi la specifica PartiQL per un elenco di parole chiave riservate.
## Riferimento PartiQL
Per ulteriori informazioni su PartiQL, vedere. [https://partiql.org/](https://partiql.org/)
# Autorizzazioni necessarie per eseguire interrogazioni su tabelle con filtraggio a livello di cella
Le seguenti autorizzazioni AWS Identity and Access Management (IAM) sono necessarie per eseguire query su tabelle con filtraggio a livello di cella.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:StartQueryPlanning",
"lakeformation:GetQueryState",
"lakeformation:GetWorkUnits",
"lakeformation:GetWorkUnitResults"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sui permessi di Lake Formation, vedere[Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
# Gestione dei filtri di dati
Per implementare la sicurezza a livello di colonna, riga e cella, puoi creare e gestire filtri di dati. Ogni filtro di dati appartiene a una tabella Data Catalog. È possibile creare più filtri di dati per una tabella e quindi utilizzarne uno o più per concedere le autorizzazioni sulla tabella. È inoltre possibile definire e applicare filtri di dati su colonne nidificate con `struct` tipi di dati che consentono agli utenti di accedere solo alle sottostrutture delle colonne nidificate.
È necessaria `SELECT` l'autorizzazione con l'opzione di concessione per creare o visualizzare un filtro dati. Per consentire ai responsabili del tuo account di visualizzare e utilizzare un filtro dati, puoi concedere l'`DESCRIBE`autorizzazione su di esso.
**Nota**
Lake Formation non supporta la concessione `Describe` dell'autorizzazione su un filtro dati, che viene condiviso da un altro account.
Puoi gestire i filtri dei dati utilizzando la AWS Lake Formation console, l'API o AWS Command Line Interface (AWS CLI).
Per informazioni sui filtri di dati, consulta [Filtri di dati in Lake Formation](data-filtering.md#data-filters-about)
# Creazione di un filtro dati
È possibile creare uno o più filtri di dati per ogni tabella del Data Catalog.
**Per creare un filtro dati per una tabella Data Catalog (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, proprietario della tabella di destinazione o principale che dispone dell'autorizzazione Lake Formation sulla tabella di destinazione.
1. Nel riquadro di navigazione, in **Catalogo dati**, scegli **Filtri dati**.
1. Nella pagina **Filtri dati**, scegli **Crea nuovo filtro**.
1. Nella finestra di dialogo **Crea filtro dati**, inserisci le seguenti informazioni:
+ Nome del filtro dati
+ Database di destinazione: specifica il database che contiene la tabella.
+ Tabella di destinazione
+ Accesso a livello di colonna: lascia questa impostazione su **Accesso a tutte le colonne per** specificare solo il filtraggio delle righe. Scegliete **Includi colonne** o **Escludi colonne** per specificare il filtraggio di colonne o celle, quindi specificate le colonne da includere o escludere.
Colonne nidificate: se applichi il filtro a una tabella che contiene colonne nidificate, puoi specificare in modo esplicito le sottostrutture delle colonne struct nidificate all'interno di un filtro dati.
Quando concedi l'autorizzazione SELECT a un principale su questo filer, il principale che esegue la seguente query vedrà solo i dati relativi e non. `customer.customerName` `customer.customerId`
```
SELECT "customer" FROM "example_db"."example_table";
```
![\[Column-level access settings with options to include specific columns and filter rows.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/nested-column-filter.png)
Quando concedi le autorizzazioni alla `customer` colonna, il principale riceve l'accesso alla colonna e ai campi annidati sotto la colonna (`customerName`e). `customerID`
+ Espressione di filtro di riga: immettere un'espressione di filtro per specificare il filtraggio di righe o celle. Per i tipi di dati e gli operatori supportati, vedere[Supporto PartiQL nelle espressioni di filtro di riga](partiql-support.md). Scegli **Accesso a tutte le righe** per concedere l'accesso a tutti.
È possibile includere strutture di colonne parziali provenienti da colonne nidificate in un'espressione di filtro di riga per filtrare le righe che contengono un valore specifico.
Quando a un'entità vengono concesse le autorizzazioni per una tabella con un'espressione `Select * from example_nestedtable where customer.customerName <>'John'` di filtro di riga e l'accesso a **livello di colonna** è impostato su **Accesso a tutte le colonne**, i risultati della query mostrano solo le righe il cui risultato è true. `customerName <>'John'`
La schermata seguente mostra un filtro dati che implementa il filtraggio delle celle. Nelle interrogazioni sulla `orders` tabella, nega l'accesso alla `customer_name` colonna e mostra solo le righe che contengono «pharma» nella colonna. `product_type`
![\[La finestra del filtro dei dati contiene i seguenti campi, disposti verticalmente: Nome del filtro dati; Database di destinazione; Tabella di destinazione; Gruppo di pulsanti di opzione con le opzioni Accesso a tutte le colonne, Includi colonne ed Escludi colonne; Seleziona colonne (elenco a discesa); Espressione del filtro di riga (casella di testo multilinea). L'opzione Escludi colonne è selezionata, la colonna customer_name è selezionata per l'esclusione e il campo di espressione del filtro Row contiene 'product_type='pharma'.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/data-filter-sample-pharma.png)
1. Scegli **Create Filter** (Crea filtro).
**Per creare un filtro dati con politiche di filtro cellulare su un campo annidato**
Questa sezione utilizza lo schema di esempio seguente per mostrare come creare un filtro di celle di dati:
```
[
{ name: "customer", type: "struct" },
{ name: "customerApplication", type: "struct" },
{ name: "product", type: "struct,type:string>" },
{ name: "purchaseId", type: "string" },
]
```
1. Nella pagina **Crea un filtro dati**, inserisci un nome per il filtro dati.
1. Successivamente, utilizza il menu a discesa per scegliere il nome del database e il nome della tabella.
1. Nella sezione **Accesso a livello di colonna**, scegli Colonne incluse e seleziona una colonna nidificata (). `customer.customerName`
1. **Nella sezione **Accesso a livello di riga, scegli l'opzione Accesso** a tutte le righe.**
1. Scegli **Create Filter** (Crea filtro).
Quando concedi `SELECT` l'autorizzazione per questo filtro, il principale ottiene l'accesso a tutte le righe della `customerName` colonna.
1. Successivamente, definisci un altro filtro dati per lo stesso database/tabella.
1. Nella sezione **Accesso a livello di colonna**, scegli Colonne incluse e seleziona un'altra colonna nidificata (). `customer.customerid`
1. Nella sezione **Accesso a livello di riga**, scegliete **Filtra righe e immettete un'espressione di filtro** di **riga** (). `customer.customerid <> 5`
1. Scegli **Create Filter** (Crea filtro).
Quando concedete `SELECT` l'autorizzazione per questo filtro, il principale riceve l'accesso a tutte le righe e ai `customerId` campi ad eccezione della cella in cui il valore è 5 nella `customerId` colonna. `customerName`
# Concessione delle autorizzazioni per il filtro dei dati
Puoi concedere le autorizzazioni`SELECT`, `DESCRIBE` e `DROP` Lake Formation sui filtri di dati ai responsabili.
All'inizio, solo tu puoi visualizzare i filtri di dati che crei per una tabella. Per consentire a un altro principale di visualizzare un filtro di dati e concedere le autorizzazioni di Data Catalog con il filtro dati, devi:
+ `SELECT`Concedi una tabella al principale con l'opzione di concessione e applica il filtro dati alla concessione.
+ Concedi l'`DROP`autorizzazione `DESCRIBE` o l'autorizzazione sul filtro dati al responsabile.
È possibile concedere l'`SELECT`autorizzazione a un AWS account esterno. Un amministratore del data lake di quell'account può quindi concedere tale autorizzazione ad altri responsabili dell'account. Quando si concede a un account esterno, è necessario includere l'opzione di concessione in modo che l'amministratore dell'account esterno possa trasferire ulteriormente l'autorizzazione agli altri utenti dell'account. his/her Quando concedi la concessione a un titolare del tuo account, la concessione con l'opzione di concessione è facoltativa.
Puoi concedere e revocare le autorizzazioni sui filtri di dati utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
1. Accedi a Console di gestione AWS e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Nel pannello di navigazione, in **Autorizzazioni**, scegli **Autorizzazioni Data lake**.
1. **Nella pagina **Autorizzazioni**, nella sezione **Autorizzazioni dati, scegli** Concedi.**
1. Nella pagina **Concedi le autorizzazioni per i dati**, scegli i principali a cui concedere le autorizzazioni.
1. **Nella sezione LF-Tags o risorse del catalogo, scegliete Risorse del catalogo dati denominate.** Scegliete quindi il database, la tabella e il filtro dati per i quali desiderate concedere le autorizzazioni.
![\[\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-data-filter-perms-step2.png)
1. Nella sezione **Autorizzazioni del filtro dati**, scegli le autorizzazioni che desideri concedere ai principali selezionati.
![\[\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-perms-on-filters.png)
------
#### [ AWS CLI ]
+ Inserisci un comando. `grant-permissions` Specificate `DataCellsFilter` per l'`resource`argomento e specificate `DESCRIBE` o `DROP` per l'`Permissions`argomento e, facoltativamente, per l'`PermissionsWithGrantOption`argomento.
L'esempio seguente concede l'opzione `DESCRIBE` di concessione all'utente `datalake_user1` sul filtro dati`restrict-pharma`, che appartiene alla `orders` tabella del `sales` database dell' AWS account 1111-2222-3333.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Di seguito è riportato il contenuto del file. `grant-params.json`
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["DESCRIBE"],
"PermissionsWithGrantOption": ["DESCRIBE"]
}
```
------
# Concessione delle autorizzazioni relative ai dati fornite dai filtri di dati
I filtri di dati rappresentano un sottoinsieme di dati all'interno di una tabella. Per fornire l'accesso ai dati ai principali, è necessario concedere `SELECT` le autorizzazioni a tali responsabili. Con questa autorizzazione i responsabili possono:
+ Visualizza il nome effettivo della tabella nell'elenco delle tabelle condivise con il loro account.
+ Crea filtri di dati sulla tabella condivisa e concedi le autorizzazioni ai relativi utenti su tali filtri di dati.
------
#### [ Console ]
**Per concedere le autorizzazioni SELECT**
1. Vai alla pagina **Autorizzazioni** nella console di Lake Formation, quindi scegli **Concedi**.
![\[\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/permissions-grant-action.png)
1. Seleziona i principali a cui desideri fornire l'accesso e seleziona **Named data catalog resources**.
![\[\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-data-filter-perms-step2.png)
1. ****Per fornire l'accesso ai dati rappresentati dal filtro, scegli Seleziona in Autorizzazioni del filtro dati.****
![\[\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-data-filter-perms-step3.png)
------
#### [ CLI ]
Inserisci `grant-permissions` un comando. `DataCellsFilter`Specificate l'argomento risorsa e specificate `SELECT` l'argomento Autorizzazioni.
L'esempio seguente concede `SELECT` l'opzione grant all'utente `datalake_user1` sul filtro dati`restrict-pharma`, che appartiene alla `orders` tabella del `sales` database in. Account AWS `1111-2222-3333`
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Di seguito sono riportati i contenuti del file`grant-params.json`.
```
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"]
}
```
------
# Visualizzazione dei filtri di dati
Puoi utilizzare la console Lake Formation o AWS CLI l'API Lake Formation per visualizzare i filtri dei dati.
Per visualizzare i filtri di dati, devi essere un amministratore di Data Lake o disporre delle autorizzazioni richieste sui filtri di dati.
------
#### [ Console ]
1. Accedi a Console di gestione AWS e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Nel pannello di navigazione, in **Catalogo dati**, scegli **Filtri dati**.
La pagina mostra i filtri di dati a cui hai accesso.
![\[La pagina Filtri dati mostra i filtri di dati disponibili con le seguenti colonne: nome del filtro, tabella, database e ID del catalogo delle tabelle. La schermata mostra un singolo filtro di dati con i seguenti valori: test-df, cloudtrailtest_cloudtrail, lakeformation_cloudtrail, ID account redatto. Sopra la tabella ci sono quattro pulsanti (da sinistra a destra): Refresh/reload, View (in grigio), Delete (in grigio) e «Crea nuovo filtro». C'è anche un campo di ricerca, che è vuoto.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/list-data-filters.jpg)
1. Per visualizzare i dettagli del filtro dati, scegli il filtro dati, quindi scegli Visualizza. Viene visualizzata una nuova finestra con informazioni dettagliate sul filtro dati.
![\[La finestra «Visualizza filtro dati» mostra informazioni aggiuntive sul filtro dati selezionato. Le informazioni visualizzate includono il nome, il database, la tabella, l'impostazione di accesso a livello di colonna, l'espressione del filtro di riga e le colonne.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/list-data-filters-details.jpg)
------
#### [ AWS CLI ]
Immettete un `list-data-cells-filter` comando e specificate una risorsa della tabella.
L'esempio seguente elenca i filtri di dati per la `cloudtrailtest_cloudtrail` tabella.
```
aws lakeformation list-data-cells-filter --table '{ "CatalogId":"123456789012",
"DatabaseName":"lakeformation_cloudtrail", "Name":"cloudtrailtest_cloudtrail"}'
```
------
#### [ API/SDK ]
Utilizzate l'`ListDataCellsFilter`API e specificate una risorsa per la tabella.
L'esempio seguente usa Python per elencare i primi 20 filtri di dati per la `myTable` tabella.
```
response = client.list_data_cells_filter(
Table = {
'CatalogId': '111122223333',
'DatabaseName': 'mydb',
'Name': 'myTable'
},
MaxResults=20
)
```
------
# Elenco delle autorizzazioni per il filtro dei dati
Puoi utilizzare la console Lake Formation per visualizzare le autorizzazioni concesse sui filtri di dati.
Per visualizzare le autorizzazioni su un filtro dati, devi essere un amministratore di Data Lake o disporre delle autorizzazioni richieste sul filtro dati.
------
#### [ Console ]
1. Accedi a Console di gestione AWS e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Nel pannello di navigazione, sotto **Autorizzazioni, scegli Autorizzazioni** **dati**.
1. **Nella pagina **Autorizzazioni dati**, fai clic o tocca nel campo di ricerca e nel menu **Proprietà** scegli Tipo di risorsa.**
1. Nel menu **Tipo di risorsa**, scegli **Tipo di risorsa: filtro delle celle di dati**.
Sono elencati i filtri di dati per i quali disponi delle autorizzazioni. **Potrebbe essere necessario scorrere orizzontalmente per visualizzare le colonne **Autorizzazioni** e Concedibili.**
![\[La pagina Autorizzazioni dati visualizza una tabella di autorizzazioni con le seguenti colonne: Principal, Tipo di risorsa, Database, Tabella, Risorsa, Catalogo e Autorizzazioni. La colonna Tipo di risorsa mostra il «Filtro delle celle di dati» in tutte e quattro le righe. Le autorizzazioni per la prima e la seconda riga sono Describe, Drop e Select. Le autorizzazioni per la terza riga sono Descrivi. Sopra la tabella sono presenti un pulsante Cancella filtro e un riquadro che indica che la ricerca corrente è per Tipo di risorsa: Filtro per celle di dati. Sopra di essi c'è un campo di ricerca (testo) e sopra ci sono i pulsanti Aggiorna, Revoca e Concedi.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/data-permissions-cell-filters.png)
------
#### [ AWS CLI ]
+ Immettete un comando. `list-permissions` Specificate `DataCellsFilter` per l'`resource`argomento e specificate `DESCRIBE` o `DROP` per l'`Permissions`argomento e, facoltativamente, per l'`PermissionsWithGrantOption`argomento.
L'esempio seguente elenca `DESCRIBE` le autorizzazioni con l'opzione grant sul filtro dati. `restrict-pharma` I risultati sono limitati alle autorizzazioni concesse per il principale `datalake_user1` e la `orders` tabella del `sales` database nell' AWS account 1111-2222-3333.
```
aws lakeformation list-permissions --cli-input-json file://list-params.json
```
Di seguito sono riportati i contenuti del file. `grant-params.json`
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["DESCRIBE"],
"PermissionsWithGrantOption": ["DESCRIBE"]
}
```
------
# Visualizzazione delle autorizzazioni per database e tabelle in Lake Formation
È possibile visualizzare le autorizzazioni di Lake Formation concesse su un database o una tabella di Data Catalog. Puoi farlo utilizzando la console Lake Formation, l'API o il AWS Command Line Interface (AWS CLI).
Utilizzando la console, è possibile visualizzare le autorizzazioni a partire dalle pagine **Database** o **Tabelle** o dalla pagina **Autorizzazioni dati**.
**Nota**
Se non sei un amministratore di database o il proprietario della risorsa, puoi visualizzare le autorizzazioni che altri principali hanno sulla risorsa solo se disponi dell'autorizzazione Lake Formation sulla risorsa con l'opzione di concessione.
Oltre alle autorizzazioni Lake Formation richieste, sono necessarie le autorizzazioni AWS Identity and Access Management (IAM)`glue:GetDatabases`,, `glue:GetDatabase` `glue:GetTables``glue:GetTable`, e. `lakeformation:ListPermissions`
**Per visualizzare le autorizzazioni su un database (console, a partire dalla pagina Database)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore del database o come utente che dispone di un'autorizzazione Lake Formation sul database con l'opzione di concessione.
1. Nel pannello di navigazione, seleziona **Database**.
1. Scegli un database e nel menu **Azioni** scegli **Visualizza autorizzazioni**.
**Nota**
Se scegli un link alla risorsa del database, Lake Formation visualizza le autorizzazioni sul link alla risorsa, non sul database di destinazione del link alla risorsa.
La pagina delle **autorizzazioni dei dati** elenca tutte le autorizzazioni di Lake Formation per il database. Il nome del database e l'ID del catalogo (ID AWS account) del proprietario del database vengono visualizzati come etichette sotto la casella di ricerca. I riquadri indicano che è stato applicato un filtro alle autorizzazioni di elenco solo per quel database. Puoi regolare il filtro chiudendo un riquadro o scegliendo **Cancella filtro**.
![\[La pagina Autorizzazioni dati mostra una casella di ricerca nella parte superiore, con due riquadri al di sotto. I riquadri sono denominati Database:Logs e Catalog ID: 111122223333. Accanto ai riquadri c'è un pulsante Cancella filtro. Di seguito è riportato l'elenco dei database e delle relative autorizzazioni. Questo esempio ha una sola riga nell'elenco. È per il database dei log e le autorizzazioni Alter, Create table e Drop sono concesse all'utente IAM Administrator con l'opzione grant. L'elenco include una colonna relativa all'ID dell'account proprietario e l'unica riga contiene 11112222333.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/permissions-page-database.png)
**Per visualizzare le autorizzazioni su un database (console, a partire dalla pagina Autorizzazioni dati)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore del database o come utente che dispone di un'autorizzazione Lake Formation sul database con l'opzione di concessione.
1. Nel riquadro di navigazione, scegli **Autorizzazioni dati**.
1. **Posiziona il cursore nella casella di ricerca nella parte superiore della pagina e nel menu **Proprietà** visualizzato, scegli Database.**
1. Nel menu **Database** visualizzato, scegli un database.
**Nota**
Se scegli un link alla risorsa del database, Lake Formation visualizza le autorizzazioni sul link alla risorsa, non sul database di destinazione del link alla risorsa.
La pagina delle **autorizzazioni dei dati** elenca tutte le autorizzazioni di Lake Formation per il database. Il nome del database viene visualizzato come riquadro sotto la casella di ricerca. Il riquadro indica che è stato applicato un filtro per elencare le autorizzazioni solo per quel database. Puoi rimuovere il filtro chiudendo il riquadro o scegliendo **Cancella filtro**.
**Per visualizzare le autorizzazioni su una tabella (console, a partire dalla pagina Tabelle)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore della tabella o come utente con un'autorizzazione Lake Formation sulla tabella con l'opzione di concessione.
1. Nel pannello di navigazione, seleziona **Tabelle**.
1. Scegli una tabella e nel menu **Azioni** scegli **Visualizza autorizzazioni**.
**Nota**
Se scegli un link alla risorsa alla tabella, Lake Formation visualizza le autorizzazioni sul link alla risorsa, non sulla tabella di destinazione del link alla risorsa.
La pagina **Autorizzazioni dati elenca tutte le autorizzazioni** di Lake Formation per la tabella. Il nome della tabella, il nome del database che contiene la tabella e l'ID del catalogo (ID AWS account) del proprietario della tabella vengono visualizzati come etichette sotto la casella di ricerca. Le etichette indicano che è stato applicato un filtro alle autorizzazioni di elenco solo per quella tabella. Puoi regolare il filtro chiudendo un'etichetta o scegliendo **Cancella filtro**.
![\[La pagina Autorizzazioni dati mostra un campo di ricerca nella parte superiore, con tre riquadri sottostanti. I riquadri sono denominati Database:Logs, Table:Alexa-Logs e Catalog ID: 111122223333, da sinistra a destra. Accanto ai riquadri c'è il pulsante Cancella filtro. Di seguito è riportato l'elenco delle tabelle e delle relative autorizzazioni. Questo esempio ha una sola riga nell'elenco. È per la tabella alexa-logs e le autorizzazioni Super vengono concesse all'utente IAM Administrator con l'opzione grant. L'elenco include una colonna relativa all'ID dell'account proprietario e l'unica riga contiene 11112222333.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/permissions-page-table.png)
**Per visualizzare le autorizzazioni su una tabella (console, a partire dalla pagina Autorizzazioni dati)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore della tabella o come utente con un'autorizzazione Lake Formation sulla tabella con l'opzione di concessione.
1. Nel riquadro di navigazione, scegli **Autorizzazioni dati**.
1. **Posiziona il cursore nella casella di ricerca nella parte superiore della pagina e nel menu **Proprietà** visualizzato, scegli Database.**
1. Nel menu **Database** visualizzato, scegli un database.
**Importante**
Se desideri visualizzare le autorizzazioni su una tabella condivisa con il tuo AWS account da un account esterno, devi scegliere il database nell'account esterno che contiene la tabella, non un collegamento di risorsa al database.
La pagina delle **autorizzazioni dei dati** elenca tutte le autorizzazioni di Lake Formation per il database.
1. **Posiziona nuovamente il cursore nella casella di ricerca e nel menu **Proprietà** visualizzato, scegli Tabella.**
1. Nel menu **Tabelle** visualizzato, scegli una tabella.
La pagina **Autorizzazioni dati elenca tutte le autorizzazioni** di Lake Formation per la tabella. Il nome della tabella e il nome del database che contiene la tabella vengono visualizzati come riquadri sotto la casella di ricerca. I riquadri indicano che è stato applicato un filtro alle autorizzazioni di elenco solo per quella tabella. Puoi regolare il filtro chiudendo un riquadro o scegliendo **Cancella filtro**.
**Per visualizzare le autorizzazioni su una tabella ()AWS CLI**
+ Immettere un `list-permissions` comando.
L'esempio seguente elenca le autorizzazioni su una tabella condivisa da un account esterno. La `CatalogId` proprietà è l' AWS ID dell'account esterno e il nome del database si riferisce al database dell'account esterno che contiene la tabella.
```
aws lakeformation list-permissions --resource-type TABLE --resource '{ "Table": {"DatabaseName":"logs", "Name":"alexa-logs", "CatalogId":"123456789012"}}'
```
# Revoca dell'autorizzazione utilizzando la console Lake Formation
Puoi utilizzare la console per revocare tutti i tipi di autorizzazioni di Lake Formation: autorizzazioni Data Catalog, autorizzazioni per policy tag, autorizzazioni per filtri dati e autorizzazioni relative alla posizione.
**Per revocare le autorizzazioni di Lake Formation su una risorsa (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake o come utente a cui sono state concesse le autorizzazioni con l'opzione di concessione sulla risorsa.
1. **Nel pannello di navigazione, in **Autorizzazioni, scegli Autorizzazioni** **Data lake, Tag e autorizzazioni** **LF** o Posizioni dati.**
1. **Seleziona l'autorizzazione o la posizione, quindi scegli Revoca.**
1. **Nella finestra di dialogo che si apre, scegli Revoca.**
# Condivisione dei dati tra account in Lake Formation
Le funzionalità cross-account di Lake Formation consentono agli utenti di condividere in modo sicuro i data lake distribuiti tra più AWS organizzazioni o direttamente con i responsabili IAM in un altro account Account AWS, fornendo un accesso granulare ai metadati del Data Catalog e ai dati sottostanti. Le grandi aziende in genere utilizzano più Account AWS account e molti di questi account potrebbero aver bisogno di accedere a un data lake gestito da un singolo account. Account AWS Gli utenti e i job di AWS Glue estrazione, trasformazione e caricamento (ETL) possono eseguire query e unire tabelle su più account e sfruttare comunque le protezioni dei dati a livello di tabella e colonna di Lake Formation.
Quando concedi le autorizzazioni di Lake Formation su una risorsa Data Catalog a un account esterno o direttamente a un responsabile IAM in un altro account, Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa. Se l’account assegnatario appartiene alla stessa organizzazione dell’account concedente, la risorsa condivisa è immediatamente disponibile per l’assegnatario. Se l'account del beneficiario non appartiene alla stessa organizzazione, AWS RAM invia un invito all'account del beneficiario per accettare o rifiutare la concessione di risorse. Quindi, per rendere disponibile la risorsa condivisa, l'amministratore del data lake nell'account del beneficiario deve utilizzare la console o accettare l' AWS RAM invito. AWS CLI
Lake Formation supporta la condivisione delle risorse del Data Catalog con account esterni in modalità di accesso ibrido. La modalità di accesso ibrido offre la flessibilità necessaria per abilitare selettivamente le autorizzazioni di Lake Formation per database e tabelle del tuo. AWS Glue Data Catalog
Con la modalità di accesso ibrida, ora disponi di un percorso incrementale che ti consente di impostare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti.
Per ulteriori informazioni, consulta [Modalità di accesso ibrida](hybrid-access-mode.md).
**Condivisione diretta tra account**
I responsabili autorizzati possono condividere le risorse in modo esplicito con un responsabile IAM in un account esterno. Questa funzionalità è utile quando il proprietario di un account desidera avere il controllo su chi nell'account esterno può accedere alle risorse. Le autorizzazioni ricevute dal preside IAM saranno costituite da un'unione di concessioni dirette e concessioni a livello di account, che verranno trasferite a cascata ai principali. Solo il destinatario della concessione di autorizzazione può visualizzare le concessioni dirette tra account. Il principale che riceve la condivisione di risorse non può condividere la risorsa con altri destinatari.
**Metodi per condividere le risorse del Data Catalog**
Con un'unica operazione di concessione di Lake Formation, puoi concedere autorizzazioni tra account sulle seguenti risorse del Data Catalog.
+ Un database
+ Una tabella singola (con filtro opzionale per le colonne)
+ Alcune tabelle selezionate
+ Tutte le tabelle di un database (utilizzando il carattere jolly Tutte le tabelle)
Esistono due opzioni per condividere database e tabelle con un altro account Account AWS o con i principali IAM di un altro account.
+ Controllo degli accessi basato su tag Lake Formation (LF-TBAC) (consigliato)
Il controllo degli accessi basato su tag Lake Formation è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. Puoi utilizzare il controllo degli accessi basato su tag per condividere le risorse del Data Catalog (database, tabelle e colonne) con responsabili IAM esterni, Account AWS Organizzazioni e unità organizzative (OUs). In Lake Formation, questi attributi sono chiamati LF-tag. Per ulteriori informazioni, consulta [Gestione di un data lake utilizzando il controllo degli accessi basato su tag Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/managing-dl-tutorial.html).
**Nota**
Il metodo LF-TBAC per la concessione delle autorizzazioni di Data Catalog viene utilizzato per le concessioni tra account. AWS Resource Access Manager
Lake Formation ora supporta la concessione di autorizzazioni tra account a Organizzazioni e unità organizzative utilizzando il metodo LF-TBAC.
**Per abilitare questa funzionalità, è necessario aggiornare le impostazioni della versione dell'**account Cross alla versione** 3 o successiva.**
Per ulteriori informazioni, consulta [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md).
+ Risorse denominate Lake Formation
La condivisione dei dati tra account di Lake Formation utilizzando il metodo delle risorse denominate consente di concedere le autorizzazioni di Lake Formation con un'opzione di concessione su tabelle e database di Data Catalog a dirigenti Account AWS, organizzazioni o unità organizzative IAM esterni. L'operazione di concessione condivide automaticamente tali risorse.
**Nota**
Puoi anche consentire al AWS Glue crawler di accedere a un data store in un account diverso utilizzando le credenziali di Lake Formation. Per ulteriori informazioni, consulta la sezione Scansione [tra account nella Guida per gli sviluppatori](https://docs.aws.amazon.com/glue/latest/dg/crawler-configuration.html#cross-account-crawling). AWS Glue
I servizi integrati come Athena e Amazon Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. Per ulteriori informazioni sui link alle risorse, consulta. [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)
Per considerazioni e limitazioni, vedere[Buone pratiche e considerazioni sulla condivisione dei dati tra account](cross-account-notes.md).
**Topics**
+ [Prerequisiti](cross-account-prereqs.md)
+ [Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md)
+ [Condivisione delle tabelle e dei database del Data Catalog tra i nostri principali IAM provenienti Account AWS da account esterni](cross-account-data-share-steps.md)
+ [Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account](regranting-shared-resources.md)
+ [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
+ [Accesso ai dati sottostanti di una tabella condivisa](cross-account-read-data.md)
+ [Registrazione su più account CloudTrail](cross-account-logging.md)
+ [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md)
+ [Visualizzazione di tutte le sovvenzioni tra account utilizzando l'operazione API GetResourceShares](cross-account-getresourcepolicies.md)
**Argomenti correlati**
[Panoramica delle autorizzazioni di Lake Formation](lf-permissions-overview.md)
[Accesso e visualizzazione di tabelle e database di Data Catalog condivisi](viewing-shared-resources.md)
[Creazione di collegamenti alle risorse](creating-resource-links.md)
[Risoluzione dei problemi di accesso tra account](troubleshooting.md#trouble-cross-account)
# Prerequisiti
Prima che l' AWS account possa condividere le risorse di Data Catalog (cataloghi, database e tabelle) con un altro account o i responsabili di un altro account e prima di poter accedere alle risorse condivise con il proprio account, devono essere soddisfatti i seguenti prerequisiti.
**Requisiti generali per la condivisione dei dati tra account**
+ **Per condividere i database e le tabelle di Data Catalog in modalità di accesso ibrido e condividere oggetti nei cataloghi federati, è necessario aggiornare **le impostazioni della versione dell'account Cross alla versione 4**.**
+ Prima di concedere autorizzazioni per più account su una risorsa Data Catalog, devi revocare tutte le autorizzazioni di Lake Formation dal `IAMAllowedPrincipals` gruppo per la risorsa. Se il principale chiamante dispone di autorizzazioni multiaccount per accedere a una risorsa e l'`IAMAllowedPrincipals`autorizzazione esiste sulla risorsa, Lake Formation lancia`AccessDeniedException`.
Questo requisito è applicabile solo quando si registra la posizione dei dati sottostante in modalità Lake Formation. Se si registra la posizione dei dati in modalità ibrida, le autorizzazioni di `IAMAllowedPrincipals` gruppo possono esistere sul database o sulla tabella condivisi.
+ Per i database che contengono tabelle che si intende condividere, è necessario impedire che alle nuove tabelle venga assegnato di default `Super` a`IAMAllowedPrincipals`. Sulla console Lake Formation, modifica il database e disattiva **Usa solo il controllo di accesso IAM per le nuove tabelle in questo database** o inserisci il seguente AWS CLI comando, sostituendolo `database` con il nome del database. Se la posizione dei dati sottostante è registrata in modalità di accesso ibrida, non è necessario modificare questa impostazione predefinita. In modalità di accesso ibrido, Lake Formation consente di applicare selettivamente le autorizzazioni di Lake Formation e le politiche di autorizzazione IAM per Amazon S3 e sulla stessa risorsa. AWS Glue
```
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
```
+ Per concedere le autorizzazioni su più account, il concedente deve disporre delle autorizzazioni richieste (IAM) sul servizio. AWS Identity and Access Management AWS Glue AWS RAM La policy AWS `AWSLakeFormationCrossAccountManager` gestita concede le autorizzazioni richieste.
Gli amministratori di Data Lake negli account che ricevono condivisioni di risorse utilizzando AWS RAM devono disporre della seguente politica aggiuntiva. Consente all'amministratore di accettare inviti alla condivisione AWS RAM delle risorse. Consente inoltre all'amministratore di abilitare la condivisione delle risorse con le organizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:RejectResourceShareInvitation",
"ec2:DescribeAvailabilityZones",
"ram:EnableSharingWithAwsOrganization"
],
"Resource": "*"
}
]
}
```
------
+ Se si desidera condividere le risorse di Data Catalog con le AWS Organizations nostre unità organizzative, è necessario abilitare la condivisione con le organizzazioni AWS RAM.
Per informazioni su come abilitare la condivisione con le organizzazioni, consulta [Abilitare la condivisione con AWS le organizzazioni](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l'AWS RAM utente*.
È necessario disporre dell'`ram:EnableSharingWithAwsOrganization`autorizzazione per abilitare la condivisione con le organizzazioni.
+ Per condividere le risorse direttamente con un responsabile IAM in un altro account, devi aggiornare **le impostazioni della versione dell'account Cross** alla **versione 3**. Questa impostazione è disponibile nella pagina delle **impostazioni del catalogo dati**. Se utilizzi la **versione 1**, consulta le istruzioni per aggiornare l'impostazione[Aggiornamento delle impostazioni della versione di condivisione dei dati tra account](optimize-ram.md).
+ Non è possibile condividere le risorse del Data Catalog crittografate con una chiave gestita dal AWS Glue servizio con un altro account. È possibile condividere solo le risorse del Data Catalog crittografate con la chiave di crittografia del cliente e l'account che riceve la condivisione delle risorse deve disporre delle autorizzazioni sulla chiave di crittografia del Data Catalog per decrittografare gli oggetti.
**Condivisione dei dati tra account utilizzando i requisiti LF-TBAC**
+ **Per condividere le risorse di Data Catalog con AWS Organizations le unità organizzative (OUs), devi aggiornare le **impostazioni della versione dell'account Cross alla versione 3** o successiva.**
+ Per condividere le risorse di Data Catalog con la versione 3 delle **impostazioni della versione dell'account Cross**, il concedente deve disporre delle autorizzazioni IAM definite `AWSLakeFormationCrossAccountManager` nella politica AWS gestita del proprio account.
+ Se utilizzi la versione 1 o la versione 2 delle **impostazioni della versione dell'account Cross**, devi disporre di una politica delle risorse di Data Catalog (`glue:PutResourcePolicy`) che abiliti LF-TBAC. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md).
+ Se attualmente utilizzi una politica delle risorse di AWS Glue Data Catalog per condividere risorse e desideri concedere autorizzazioni tra account utilizzando la versione 3 delle impostazioni della versione **Cross account, devi aggiungere l'`glue:ShareResource`autorizzazione nelle Impostazioni** del Data Catalog utilizzando l'operazione `glue:PutResourcePolicy` API, come mostrato nella sezione. [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md) Questa politica non è richiesta se il tuo account non ha concesso concessioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog (`glue:PutResourcePolicy`autorizzazione all'uso delle versioni 1 e 2) per concedere l'accesso a più account.
```
{
"Effect": "Allow",
"Action": [
"glue:ShareResource"
],
"Principal": {"Service": [
"ram.amazonaws.com"
]},
"Resource": [
"arn:aws:glue:::table/*/*",
"arn:aws:glue:::database/*",
"arn:aws:glue:::catalog"
]
}
```
+ Se il tuo account ha effettuato condivisioni tra account utilizzando la politica delle risorse di AWS Glue Data Catalog e attualmente utilizzi il metodo Named Resource o LF-TBAC con **impostazioni Cross account** versione 3 per condividere le risorse, che utilizza AWS RAM per condividere le risorse, devi impostare l'`EnableHybrid`argomento su quando richiami l'operazione API. `'true'` `glue:PutResourcePolicy` Per ulteriori informazioni, consulta [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md).
**Configurazione richiesta in ogni account che accede alla risorsa condivisa**
+ Se condividi risorse con Account AWS, almeno un utente dell'account consumer deve essere un amministratore del data lake per visualizzare le risorse condivise. Per informazioni su come creare un amministratore di data lake, consulta[Crea un amministratore del data lake](initial-lf-config.md#create-data-lake-admin).
L'amministratore del data lake può concedere le autorizzazioni di Lake Formation sulle risorse condivise ad altri responsabili dell'account. Gli altri responsabili non possono accedere alle risorse condivise finché l'amministratore del data lake non concede loro le autorizzazioni sulle risorse.
+ I servizi integrati come Athena e Redshift Spectrum richiedono collegamenti alle risorse per poter includere risorse condivise nelle query. I responsabili devono creare un collegamento di risorsa nel proprio catalogo dati a una risorsa condivisa da un'altra risorsa. Account AWS Per ulteriori informazioni sui collegamenti alle risorse, consulta[Come funzionano i link alle risorse in Lake Formation](resource-links-about.md).
+ Quando una risorsa viene condivisa direttamente con un principale IAM, per interrogare la tabella utilizzando Athena, il principale deve creare un collegamento alla risorsa. Per creare un collegamento a una risorsa, il principale necessita dell'`CREATE_DATABASE`autorizzazione `CREATE_TABLE` o del Lake Formation e dell'autorizzazione `glue:CreateTable` o `glue:CreateDatabase` IAM.
Se l'account produttore condivide una tabella diversa dello stesso database con lo stesso principale o con un altro principale, tale principale può interrogare immediatamente la tabella.
**Nota**
Per l'amministratore del data lake e per i responsabili a cui l'amministratore del data lake ha concesso le autorizzazioni, le risorse condivise vengono visualizzate nel Data Catalog come se fossero risorse locali (di proprietà). I job di estrazione, trasformazione e caricamento (ETL) possono accedere ai dati sottostanti delle risorse condivise.
Per le risorse condivise, le pagine **Tabelle** e **database** della console Lake Formation visualizzano l'ID dell'account del proprietario.
Quando si accede ai dati sottostanti di una risorsa condivisa, gli eventi di CloudTrail registro vengono generati sia nell'account del destinatario della risorsa condivisa che nell'account del proprietario della risorsa. Gli CloudTrail eventi possono contenere l'ARN del principale che ha avuto accesso ai dati, ma solo se l'account del destinatario sceglie di includere l'ARN principale nei registri. Per ulteriori informazioni, consulta [Registrazione su più account CloudTrail](cross-account-logging.md).
# Aggiornamento delle impostazioni della versione di condivisione dei dati tra account
Di tanto in tanto, AWS Lake Formation aggiorna le impostazioni di condivisione dei dati tra account per distinguere le modifiche apportate all' AWS RAM utilizzo e per supportare gli aggiornamenti apportati alla funzionalità di condivisione dei dati tra account. Quando Lake Formation esegue questa operazione, crea una nuova versione delle **impostazioni della versione dell'account Cross**.
## Principali differenze tra le impostazioni delle versioni per più account
Per ulteriori informazioni su come funziona la condivisione dei dati tra account in diverse **impostazioni di versione di Cross account**, consulta le seguenti sezioni.
**Nota**
Per condividere i dati con un altro account, il concedente deve avere `AWSLakeFormationCrossAccountManager` gestito le autorizzazioni relative alla policy IAM. Questo è un prerequisito per tutte le versioni.
L'aggiornamento delle **impostazioni della versione dell'account Cross** non influisce sulle autorizzazioni del destinatario sulle risorse condivise. Ciò è applicabile quando si esegue l'aggiornamento dalla versione 1 alla versione 2, dalla versione 2 alla versione 3 e dalla versione 1 alla versione 3. Per l'aggiornamento delle versioni, consulta le considerazioni elencate di seguito.
**Versione 1**
*Metodo di risorsa denominato:* associa ogni autorizzazione concessa tra account Lake Formation a una condivisione di AWS RAM risorse. L'utente (concedente, ruolo o responsabile) non richiede autorizzazioni aggiuntive.
*Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account* non vengono utilizzate per condividere dati. AWS RAM L'`glue:PutResourcePolicy`utente deve avere l'autorizzazione.
*Vantaggi dell'aggiornamento delle versioni:* versione iniziale, non applicabile.
*Considerazioni sull'aggiornamento delle versioni:* Versione iniziale - non applicabile
**Versione 2**
*Metodo della risorsa denominata:* ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.
*Metodo LF-TBAC: le concessioni di autorizzazioni di Lake Formation tra account* non vengono utilizzate per condividere dati. AWS RAM L'`glue:PutResourcePolicy`utente deve avere l'autorizzazione.
*Vantaggi dell'aggiornamento delle versioni:* configurazione scalabile tra più account grazie all'utilizzo ottimale della capacità. AWS RAM
*Considerazioni sull'aggiornamento delle versioni:* gli utenti che desiderano concedere le autorizzazioni Lake Formation su più account devono disporre delle autorizzazioni nella politica gestita. `AWSLakeFormationCrossAccountManager` AWS Altrimenti, sono necessari i `ram:DisassociateResourceShare` permessi necessari per condividere correttamente `ram:AssociateResourceShare` le risorse con un altro account.
**Versione 3**
*Metodo della risorsa denominata:* ottimizza il numero di condivisioni di AWS RAM risorse mappando più concessioni di autorizzazioni tra account con un'unica condivisione di risorse. AWS RAM L'utente non richiede autorizzazioni aggiuntive.
*Metodo LF-TBAC: Lake Formation* utilizza AWS RAM per le sovvenzioni tra account. L'utente deve aggiungere la dichiarazione glue: all'autorizzazione. ShareResource `glue:PutResourcePolicy` Il destinatario deve accettare gli inviti alla condivisione delle risorse da AWS RAM.
*Vantaggi dell'aggiornamento delle versioni:* supporta le seguenti funzionalità:
+ Consente di condividere le risorse in modo esplicito con un principale IAM in un account esterno.
Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md).
+ Abilita le condivisioni tra account utilizzando il metodo LF-TBAC per Organizzazioni o unità organizzative (). OUs
+ Elimina il sovraccarico derivante dal mantenimento di politiche aggiuntive per le sovvenzioni tra account. AWS Glue
*Considerazioni sull'aggiornamento delle versioni:* quando si utilizza il metodo LF-TBAC per condividere risorse, se il concedente utilizza una versione precedente alla versione 3 e il destinatario utilizza la versione 3 o successiva, il concedente riceve il seguente messaggio di errore: «Richiesta di concessione tra account non valida. L'account consumer dispone della versione opt-in per più account: v3. Effettua l'aggiornamento `CrossAccountVersion` `DataLakeSetting` alla versione minima v3 (Servizio: AmazonDataCatalog; Codice di stato: 400; Codice di errore: InvalidInputException)». Tuttavia, se il concedente utilizza la versione 3 e il destinatario utilizza la versione 1 o la versione 2, le sovvenzioni tra account diversi che utilizzano i tag LF vanno a buon fine.
Le sovvenzioni tra account effettuate utilizzando il metodo della risorsa denominata sono compatibili tra diverse versioni. Anche se l'account concedente utilizza una versione precedente (versione 1 o 2) e l'account del destinatario utilizza una versione più recente (versione 3 o successiva), la funzionalità di accesso tra account funziona senza problemi di compatibilità o errori.
Per condividere le risorse direttamente con i responsabili IAM di un altro account, solo il concedente deve utilizzare la versione 3.
Le sovvenzioni tra account effettuate utilizzando il metodo LF-TBAC richiedono agli utenti di disporre di una politica delle risorse nell'account. AWS Glue Data Catalog Quando si esegue l'aggiornamento alla versione 3, LF-TBAC concede gli utilizzi. AWS RAM Per consentire l'esecuzione delle sovvenzioni AWS RAM basate su più account, è necessario aggiungere la `glue:ShareResource` dichiarazione alle politiche esistenti in materia di risorse del Data Catalog, come mostrato nella sezione. [Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation](hybrid-cross-account.md)
**Versione 4**
Il concedente necessita della versione 4 o successiva per condividere le risorse di Data Catalog in modalità di accesso ibrido o condividere oggetti in un catalogo federato.
**Versione 5**
La versione 5 di Cross Account migliora la condivisione delle risorse tra account, consentendoti di condividere un numero illimitato di tabelle con un altro account, eliminando i precedenti limiti di associazione delle risorse per tipo di risorsa. Per iniziare, esegui l'upgrade alla versione 5 per più account tramite la console o l'API di Lake Formation. Qualsiasi nuova concessione di autorizzazioni tra account utilizzerà automaticamente modelli di caratteri jolly nella condivisione delle risorse anziché singole associazioni di risorse. Tutte le condivisioni esistenti tra account continuano a funzionare e tutte le Lake Formation esistenti APIs rimangono compatibili.
*Vantaggi dell'aggiornamento delle versioni:* Cross-account v5 migliora la condivisione tra account, consentendoti di condividere centinaia di migliaia di tabelle tra account.
*Considerazioni relative all'aggiornamento delle versioni: le* nuove sovvenzioni dopo l'aggiornamento alla versione 5 aggiungeranno modelli di risorse jolly alle condivisioni di AWS risorse esistenti di Resource Manager o creeranno nuove condivisioni con pattern jolly. Una volta eseguito l'aggiornamento alla versione 5, il downgrade non è supportato.
## Ottimizza la condivisione delle risorse AWS RAM
Le nuove versioni (versione 2 e successive) delle sovvenzioni tra account utilizzano in modo ottimale la AWS RAM capacità per massimizzare l'utilizzo tra account. Quando condividi una risorsa con un responsabile IAM Account AWS o esterno, Lake Formation può creare una nuova condivisione di risorse o associare la risorsa a una condivisione esistente. Associandosi alle azioni esistenti, Lake Formation riduce il numero di inviti alla condivisione delle risorse che un consumatore deve accettare. La versione 5 ottimizza ulteriormente l'utilizzo della RAM utilizzando modelli di risorse basati su wildcard anziché singole associazioni di risorse, riducendo così in modo significativo le associazioni di risorse per condivisione di risorse.
## Abilita AWS RAM le condivisioni tramite TBAC o condividi le risorse direttamente con i principali
Per condividere le risorse direttamente con i responsabili IAM in un altro account o per abilitare le condivisioni TBAC tra account su Organizations o unità organizzative, devi aggiornare **le impostazioni della versione Cross account alla versione 3**. Per ulteriori informazioni sui limiti delle AWS RAM risorse, consulta. [Buone pratiche e considerazioni sulla condivisione dei dati tra account](cross-account-notes.md)
### Autorizzazioni necessarie per l'aggiornamento delle impostazioni delle versioni tra account
Se un concedente di autorizzazioni su più account ha `AWSLakeFormationCrossAccountManager` gestito le autorizzazioni relative alle policy IAM, non è richiesta alcuna configurazione aggiuntiva delle autorizzazioni per il ruolo o il responsabile del concedente delle autorizzazioni su più account. Tuttavia, se il concedente che concede più account non utilizza la policy gestita, affinché la nuova versione della concessione tra più account abbia successo, al ruolo o al responsabile del concedente devono essere concesse le seguenti autorizzazioni IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare",
"ram:GetResourceShares"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:ResourceShareName": "LakeFormation*"
}
}
}
]
}
```
------
## Per abilitare la nuova versione
Segui questi passaggi per aggiornare **le impostazioni della versione dell'account Cross** tramite la AWS Lake Formation console o il AWS CLI.
------
#### [ Console ]
1. Scegli **la versione 2**, la **versione 3**, la **versione 4** o la **versione 5** nelle **impostazioni della versione dell'account Cross** nella pagina **delle impostazioni del catalogo dati**. Se selezioni la **versione 1**, Lake Formation utilizzerà la modalità di condivisione delle risorse predefinita.
![\[La schermata mostra le autorizzazioni per tutti i tag LF presenti nell'account.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-account-version-setting.png)
1. Scegli **Save** (Salva).
------
#### [ AWS Command Line Interface (AWS CLI) ]
Utilizzate il `put-data-lake-settings` AWS CLI comando per impostare il parametro. `CROSS_ACCOUNT_VERSION` I valori accettati sono 1, 2, 3, 4 e 5.
```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
}
],
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"Parameters": {
"CROSS_ACCOUNT_VERSION": "3"
}
}
```
------
**Importante**
Dopo aver scelto la **versione 2** o la **versione 3**, tutte le nuove sovvenzioni per **risorse denominate** passeranno attraverso la nuova modalità di concessione tra account. Per utilizzare in modo ottimale la AWS RAM capacità delle condivisioni esistenti su più account, ti consigliamo di revocare le sovvenzioni concesse con la versione precedente e di riassegnarle nella nuova modalità.
# Condivisione delle tabelle e dei database del Data Catalog tra i nostri principali IAM provenienti Account AWS da account esterni
Questa sezione include istruzioni su come concedere autorizzazioni multiaccount sulle risorse di Data Catalog a un AWS account esterno, un responsabile IAM, un' AWS organizzazione o un'unità organizzativa. L'operazione di concessione condivide automaticamente tali risorse.
**Topics**
+ [Condivisione dei dati tramite controllo degli accessi basato su tag](cross-account-TBAC.md)
+ [Condivisione dei dati tra account utilizzando il metodo della risorsa denominato](cross-account-named-resource.md)
# Condivisione dei dati tramite controllo degli accessi basato su tag
AWS Lake Formation il controllo degli accessi basato su tag (LF-TBAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. I passaggi seguenti spiegano come concedere le autorizzazioni per più account utilizzando i tag LF.
**Configurazione obbligatoria sull'account producer/grantor**
1. Aggiungi tag LF.
1. Accedi alla console di Lake Formation come amministratore di data lake o creatore di tag LF.
1. Nella barra di navigazione a sinistra, scegli Autorizzazioni e ****LF-Tag** e autorizzazioni**.
1. **Scegli Aggiungi tag LF.**
Per istruzioni dettagliate sulla creazione di tag LF, consulta. [Creazione di tag LF](TBAC-creating-tags.md)
1. Concedi le autorizzazioni **Descrivi and/or ** **Associate** le coppie **chiave-valore LF-Tag** ai principali IAM del tuo account o degli account esterni.
La concessione delle autorizzazioni sulle coppie **chiave-valore LF-Tag consente ai principali di visualizzare i tag** LF e di assegnarli alle risorse del Data Catalog (database, tabelle e colonne).
1. Successivamente, l'amministratore del data lake o un responsabile IAM con autorizzazione **Associate** può assegnare il tag LF a database, tabelle o colonne. Per ulteriori informazioni, consulta [Assegnazione di tag LF alle risorse del Data Catalog](TBAC-assigning-tags.md).
1. Successivamente, concedi l'autorizzazione ai dati agli account esterni utilizzando le espressioni LF-Tag. Ciò consente al beneficiario o al destinatario delle autorizzazioni di accedere alle risorse del Data Catalog contrassegnate con le stesse chiavi e valori.
1. **Nel riquadro di navigazione, scegli Autorizzazioni e **Autorizzazioni dati**.**
1. Scegliere **Concedi**.
1. Nella pagina **Concedi autorizzazioni**, per **Principal**, scegli **Account esterni** e inserisci l' Account AWS ID del beneficiario o il ruolo IAM del principale o l'Amazon Resource Name (ARN) per il principale (ARN principale) se effettui una concessione diretta tra account a un principale esterno. **Devi premere Invio dopo aver inserito l'ID dell'account.**
![\[La schermata di concessione dell'autorizzazione con l'account esterno e le coppie chiave-valore del tag LF specificate.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-acct-grant-tags.png)
1. Per i **tag LF o le risorse del catalogo, scegliete Risorse** **abbinate** ai tag LF (consigliato).
1. **Scegliete l'opzione Coppie chiave-valore del tag **LF o Espressioni di tag LF salvate**.**
1. **Se scegliete le **coppie chiave-valore del tag LF**, inserite la chiave e i valori del **tag LF** associato alla risorsa** Data Catalog condivisa con l'account beneficiario.
Al beneficiario vengono concesse le autorizzazioni sulle risorse del Data Catalog a cui è stato assegnato un tag LF corrispondente nell'espressione LF-Tag. Se l'espressione LF-Tag specifica più valori per chiave di tag, uno qualsiasi dei valori del tag può corrispondere.
1. Scegliete le autorizzazioni a livello di database o di tabella da concedere alle risorse che corrispondono all'espressione LF-Tag.
**Importante**
Poiché l'amministratore del data lake deve concedere le autorizzazioni sulle risorse condivise ai responsabili dell'account beneficiario, devi sempre concedere le autorizzazioni su più account con l'opzione di concessione.
Per ulteriori informazioni, consulta [Concessione delle autorizzazioni LF-Tag tramite la console](TBAC-granting-tags-console.md).
**Nota**
**I mandanti che ricevono sovvenzioni dirette su più account non avranno l'opzione Autorizzazioni concesse.**
**Configurazione obbligatoria sull'account receiving/grantee**
1. Accedi alla console di Lake Formation come amministratore del data lake dell'account consumatore.
1. Successivamente, ricevi la condivisione delle risorse nell'account consumatore.
1. Apri la AWS RAM console.
1. Nel riquadro di navigazione, in **Condivisi con me**, scegli **Condivisioni di risorse**.
1. Seleziona le condivisioni di risorse, scegli **Accetta condivisione di risorse**.
1. Quando condividi una risorsa con un altro account, la risorsa appartiene ancora all'account del produttore e non è visibile nella console Athena. Per rendere visibile la risorsa nella console Athena, devi creare un link alla risorsa che punti alla risorsa condivisa. Per istruzioni sulla creazione di un collegamento a una risorsa, consulta e [Creazione di un collegamento di risorsa a una tabella condivisa del Catalogo dati](create-resource-link-table.md) [Creazione di un collegamento di risorsa a un database Data Catalog condiviso](create-resource-link-database.md)
1. Scegli **Database** o **Tabelle** nel Catalogo dati.
1. Nella Databases/Tables pagina, scegli **Crea**, **Link alle risorse**.
1. Inserisci le seguenti informazioni per un collegamento alla risorsa del database:
+ **Nome del link alla risorsa**: un nome univoco per il link alla risorsa.
+ **Catalogo di destinazione**: il catalogo in cui stai creando il link alla risorsa.
+ **Regione del database condivisa**: la regione del database condivisa con te se stai creando il link alla risorsa in un'altra regione.
+ **Database condiviso**: scegli il database condiviso.
+ **ID di catalogo del database condiviso**: immettere l'ID del catalogo per il database condiviso.
1. Scegli **Create** (Crea). È possibile visualizzare il collegamento alla risorsa appena creato nell'elenco dei database.
Allo stesso modo, è possibile creare un collegamento di risorsa a una tabella condivisa.
1. Ora concedi l'autorizzazione **Descrivi** sul link della risorsa ai principali IAM con cui condividi la risorsa.
1. **Nella pagina **Database/Tabelle**, seleziona il link alla risorsa e nel menu **Azioni** scegli Concedi.**
1. Nella sezione **Concedi autorizzazioni**, seleziona Utenti e ruoli **IAM**.
1. Scegli il ruolo IAM a cui desideri concedere l'accesso al link della risorsa.
1. Nella sezione Autorizzazioni del **collegamento alle risorse**, seleziona **Descrivi**.
1. Scegliere **Concedi**.
1. Successivamente, concedi le **autorizzazioni chiave-valore di LF-Tag ai principali** dell'account consumatore.
Dovresti essere in grado di trovare i tag LF condivisi con te nell'account utente sulla console di Lake Formation, sotto **Autorizzazioni, **LF-tags** e permessi**. Puoi associare i tag condivisi dal concedente alle risorse condivise dall'account concedente che includono: database, tabelle e colonne. È possibile concedere ulteriormente le autorizzazioni sulle risorse ad altri responsabili.
![\[La schermata mostra le autorizzazioni per i tag LF nell'account.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/lf-tag-permissions.png)
1. **Nel pannello di navigazione, in Autorizzazioni, **Autorizzazioni** **dati, scegli Concedi**.**
1. Nella pagina **Concedi autorizzazioni**, scegli **Utenti e ruoli IAM**.
1. Quindi, scegli gli utenti e i ruoli IAM nel tuo account a cui concedere l'accesso ai database/tabelle condivisi.
1. **Successivamente, per i tag **LF o le risorse del catalogo, scegli Risorse abbinate ai tag** LF.**
1. Quindi, scegli la chiave e i valori del tag LF che è condiviso con te.
1. Quindi, scegli le autorizzazioni per database e tabelle che desideri concedere agli utenti e ai ruoli IAM. Puoi anche scegliere le **autorizzazioni Grantable che consentono agli utenti e ai ruoli IAM di concedere autorizzazioni** ad altri utenti/ruoli.
1. Scegliere **Concedi**.
1. Puoi visualizzare le autorizzazioni concesse in **Autorizzazioni dati** sulla console Lake Formation.
# Condivisione dei dati tra account utilizzando il metodo della risorsa denominato
È possibile concedere le autorizzazioni direttamente ai responsabili di un altro AWS account o a utenti esterni o. Account AWS AWS Organizations Concedere i permessi di Lake Formation a Organizzazioni o unità organizzative equivale a concedere il permesso Account AWS a tutti i membri di quell'organizzazione o unità organizzativa.
**Quando concedi autorizzazioni ad account o organizzazioni esterne, devi includere l'opzione Autorizzazioni concedibili.** Solo l'amministratore del data lake dell'account esterno può accedere alle risorse condivise finché l'amministratore non concede le autorizzazioni sulle risorse condivise ad altri responsabili dell'account esterno.
**Nota**
**L'opzione delle autorizzazioni concedibili** non è supportata quando si concedono le autorizzazioni direttamente ai principali IAM da account esterni.
Segui le istruzioni per concedere le autorizzazioni [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md) per più account utilizzando il metodo di risorsa denominato.
Il video seguente mostra come condividere dati con un' AWS organizzazione utilizzando Lake Formation.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)
# Concessione delle autorizzazioni su un database o una tabella condivisa con il tuo account
Dopo che una risorsa Data Catalog appartenente a un altro AWS account è stata condivisa con il tuo AWS account, in qualità di amministratore del data lake, puoi concedere le autorizzazioni sulla risorsa condivisa ad altri responsabili del tuo account. Tuttavia, non puoi concedere le autorizzazioni sulla risorsa ad altri AWS account o organizzazioni.
Puoi utilizzare la AWS Lake Formation console, l'API o AWS Command Line Interface (AWS CLI) per concedere le autorizzazioni.
**Per concedere le autorizzazioni su un database condiviso (denominato metodo di risorsa, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md). Nell'elenco dei **database** sotto i **tag LF o le risorse del catalogo**, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.
Se non vedi il database nell'elenco dei database, assicurati di aver accettato l'invito AWS Resource Access Manager (AWS RAM) alla condivisione delle risorse per il database. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).
Inoltre, per le `ALTER` autorizzazioni `CREATE_TABLE` e, segui le istruzioni riportate in [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md) e assicurati di inserire l'ID dell'account proprietario nel campo **Ubicazione dell'account registrato**.
**Per concedere le autorizzazioni su una tabella condivisa (metodo di risorsa denominato, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato](granting-table-permissions.md). Nell'elenco dei **database** sotto i **tag LF o le risorse del catalogo**, assicuratevi di selezionare il database nell'account esterno, non un collegamento alla risorsa per il database.
Se non vedi la tabella nell'elenco delle tabelle, assicurati di aver accettato l'invito alla condivisione delle AWS RAM risorse per la tabella. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).
Inoltre, per l'`ALTER`autorizzazione, segui le istruzioni riportate e assicurati di inserire l'ID dell'account proprietario nel campo **Ubicazione dell'account registrato**. [Concessione delle autorizzazioni per la localizzazione dei dati (stesso account)](granting-location-permissions-local.md)
**Per concedere autorizzazioni su risorse condivise (metodo LF-TBAC, console)**
+ Segui le istruzioni in [Concessione delle autorizzazioni per Data Catalog](granting-catalog-perms-TBAC.md#granting-cat-perms-TBAC-console). Nella sezione **LF-Tag o risorse del catalogo**, concedi l'espressione esatta del tag LF che l'account esterno ha concesso al tuo account o un sottoinsieme di quell'espressione.
Ad esempio, se un account esterno ha concesso l'espressione LF-Tag `module=customers AND environment=production` al vostro account con l'opzione di concessione, in qualità di amministratore del data lake, potete concedere la stessa espressione `module=customers` o `environment=production` a un responsabile del vostro account. È possibile concedere solo le stesse autorizzazioni o un sottoinsieme delle autorizzazioni di Lake Formation (ad esempio, `SELECT``ALTER`, e così via) concesse alle risorse tramite l'espressione LF-Tag.
**Per concedere le autorizzazioni su una tabella condivisa (metodo denominato resource,) AWS CLI**
+ Utilizzare un comando simile al seguente: In questo esempio:
+ L'ID del tuo AWS account è 1111-2222-3333.
+ L'account proprietario della tabella e che l'ha concessa al tuo account è 1234-5678-9012.
+ L'`SELECT`autorizzazione sulla tabella condivisa viene concessa all'utente. `pageviews` `datalake_user1` Quell'utente è il principale del tuo account.
+ La `pageviews` tabella si trova nel `analytics` database, di proprietà dell'account 1234-5678-9012.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
```
Si noti che l'account proprietario deve essere specificato nella proprietà dell'argomento. `CatalogId` `resource`
# Concessione delle autorizzazioni per i collegamenti alle risorse
Segui questi passaggi per concedere AWS Lake Formation le autorizzazioni su uno o più link di risorse a un responsabile del tuo account. AWS
Dopo aver creato un link a una risorsa, solo tu puoi visualizzarlo e accedervi. (Ciò presuppone che il **controllo di accesso Use only IAM per le nuove tabelle in questo database** non sia abilitato per il database.) Per consentire agli altri responsabili del tuo account di accedere al link alla risorsa, concedi almeno l'`DESCRIBE`autorizzazione.
**Importante**
La concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sulla tabella o sul database di destinazione (collegato). È necessario concedere le autorizzazioni sulla destinazione separatamente.
Puoi concedere le autorizzazioni utilizzando la console Lake Formation, l'API o AWS Command Line Interface (AWS CLI).
------
#### [ console ]
**Per concedere le autorizzazioni per i collegamenti alle risorse utilizzando la console Lake Formation**
1. Esegui una delle seguenti operazioni:
+ Per i collegamenti alle risorse del database, segui la procedura riportata in[Concessione delle autorizzazioni al database tramite il metodo delle risorse denominate](granting-database-permissions.md). Per effettuare le seguenti operazioni:
1. Seleziona il collegamento alla risorsa dall'elenco dei database in Data Catalog, **Databases**.
1. Scegli **Concedi** per aprire la pagina **Concedi le autorizzazioni**.
1. Specificate i principali per concedere le autorizzazioni.
1. I campi **Cataloghi** e **Database vengono** compilati.
+ Per i collegamenti alle risorse delle tabelle, procedi nel [Concessione delle autorizzazioni per le tabelle utilizzando il metodo di risorsa denominato](granting-table-permissions.md) seguente modo:
1. Seleziona il collegamento alla risorsa dall'elenco delle tabelle in Data Catalog, **Tabelle**.
1. Apri la pagina **Concedi le autorizzazioni**.
1. Specificare i principali.
1. I campi **Cataloghi**, **Database**, **Tabelle** vengono compilati.
1. Specificare i principali.
1. In **Autorizzazioni, seleziona le autorizzazioni** da concedere. Facoltativamente, seleziona autorizzazioni concedibili.
![\[La sezione Autorizzazioni contiene un singolo riquadro. I riquadri dispongono di un gruppo di caselle di controllo per la concessione delle autorizzazioni relative ai collegamenti alle risorse. Le caselle di controllo includono Drop e Descrivi. Sotto quel gruppo c'è un altro gruppo con le stesse caselle di controllo per le autorizzazioni concesse.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-resource-link-permissions-TBAC.png)
1. Scegliere **Concedi**.
------
#### [ AWS CLI ]
**Per concedere le autorizzazioni per i collegamenti alle risorse utilizzando AWS CLI**
+ Esegui il `grant-permissions` comando, specificando un link alla risorsa come risorsa.
**Example**
Questo esempio concede `DESCRIBE` all'utente `datalake_user1` sulla tabella il collegamento alla risorsa nel database `incidents-link` `issues` nell' AWS account 1111-2222-3333.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
```
------
**Consulta anche:**
[Creazione di collegamenti alle risorse](creating-resource-links.md)
[Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md)
# Accesso ai dati sottostanti di una tabella condivisa
Supponiamo che l' AWS account A condivida una tabella del catalogo dati con l'account B, ad esempio concedendo l'opzione di concessione `SELECT` sulla tabella all'account B. Affinché un responsabile dell'account B sia in grado di leggere i dati sottostanti della tabella condivisa, devono essere soddisfatte le seguenti condizioni:
+ L'amministratore del data lake dell'account B deve accettare la condivisione. (Questo non è necessario se gli account A e B fanno parte della stessa organizzazione o se la concessione è stata concessa con il metodo di controllo degli accessi basato su tag Lake Formation.)
+ L'amministratore del data lake deve concedere nuovamente al principale l'`SELECT`autorizzazione Lake Formation concessa dall'account A sulla tabella condivisa.
+ Il principale deve disporre delle seguenti autorizzazioni IAM sulla tabella, sul database che la contiene e sull'account A Data Catalog.
**Nota**
Nella seguente politica IAM:
Sostituisci ** con l' AWS ID dell'account A.
Sostituisci ** con una regione valida.
Sostituisci ** con il nome del database nell'account A che contiene la tabella condivisa.
Sostituisci ** con il nome della tabella condivisa.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:GetDatabase",
"glue:GetDatabases"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table//",
"arn:aws:glue:us-east-1:111122223333:database/",
"arn:aws:glue:us-east-1:111122223333:catalog"
]
},
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}
```
------
**Consulta anche:**
[Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md)
# Registrazione su più account CloudTrail
Lake Formation fornisce un audit trail centralizzato di tutti gli accessi tra account ai dati nel tuo data lake. Quando un AWS account destinatario accede ai dati in una tabella condivisa, Lake Formation copia l' CloudTrail evento nei log dell' CloudTrail account proprietario. Gli eventi copiati includono interrogazioni sui dati da parte di servizi integrati come Amazon Redshift Spectrum Amazon Athena e accessi ai dati tramite processi. AWS Glue
CloudTrail gli eventi per le operazioni tra account sulle risorse di Data Catalog vengono copiati in modo analogo.
In qualità di proprietario delle risorse, se abiliti la registrazione a livello di oggetto in Amazon S3, puoi eseguire query che uniscono gli eventi S3 agli eventi di Lake CloudTrail Formation per determinare CloudTrail gli account che hanno avuto accesso ai tuoi bucket S3.
**Topics**
+ [Inclusione delle identità principali nei log di più account CloudTrail](#cross-account-logging-optin)
+ [Interrogazione dei CloudTrail log per l'accesso a più account Amazon S3](#cross-account-logging-s3)
## Inclusione delle identità principali nei log di più account CloudTrail
Per impostazione predefinita, gli CloudTrail eventi tra account aggiunti ai log del destinatario della risorsa condivisa e copiati nei log del proprietario della risorsa contengono solo l'ID AWS principale dell'account esterno, non il nome Amazon Resource Name (ARN) leggibile dall'uomo del principale (ARN principale). Quando condividi risorse all'interno di confini affidabili, ad esempio all'interno della stessa organizzazione o team, puoi scegliere di includere l'ARN principale negli CloudTrail eventi. Gli account dei proprietari delle risorse possono quindi tenere traccia dei principali account dei destinatari che accedono alle risorse di proprietà.
**Importante**
In qualità di destinatario di risorse condivise, per visualizzare l'ARN principale negli eventi nei propri CloudTrail registri, è necessario scegliere di condividere l'ARN principale con l'account del proprietario.
Se l'accesso ai dati avviene tramite un collegamento alle risorse, nell'account del destinatario della risorsa condivisa vengono registrati due eventi: uno per l'accesso al collegamento alle risorse e uno per l'accesso alla risorsa di destinazione. L'evento per l'accesso al link di risorsa *include* l'ARN principale. L'evento per l'accesso alle risorse di destinazione non include l'ARN principale senza l'opt-in. L'evento di accesso al collegamento alle risorse non viene copiato nell'account del proprietario.
Di seguito è riportato un estratto di un CloudTrail evento predefinito tra più account (senza opt-in). L'account che esegue l'accesso ai dati è 1111-2222-3333. Questo è il registro visualizzato sia nell'account chiamante che nell'account del proprietario della risorsa. Lake Formation compila i log in entrambi gli account nel caso di più account.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
"accountId": "111122223333"
},
"eventSource": "lakeformation.amazonaws.com",
"eventName": "GetDataAccess",
...
...
"additionalEventData": {
"requesterService": "GLUE_JOB",
"lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
},
...
}
```
In qualità di consumatore di risorse condivise, quando scegli di includere l'ARN principale, l'estratto diventa il seguente. Il `lakeFormationPrincipal` campo rappresenta il ruolo finale o l'utente che esegue la query tramite Amazon Athena, Amazon Redshift Spectrum o job. AWS Glue
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSAccount",
"principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
"accountId": "111122223333"
},
"eventSource": "lakeformation.amazonaws.com",
"eventName": "GetDataAccess",
...
...
"additionalEventData": {
"requesterService": "GLUE_JOB",
"lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
"lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
},
...
}
```
**Per attivare l'inclusione del principale ARNs nei log di più account CloudTrail**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come `Administrator` utente o come utente con la policy `Administrator Access` IAM.
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nella pagina **delle impostazioni del catalogo dati**, nella AWS CloudTrail sezione **Autorizzazioni predefinite per**, per **Proprietari delle risorse**, inserisci uno o più account IDs del proprietario della AWS risorsa.
Premi **Invio** dopo ogni ID account.
1. Scegli **Save** (Salva).
Ora CloudTrail gli eventi tra account archiviati nei log sia per il destinatario della risorsa condivisa che per il proprietario della risorsa contengono l'ARN principale.
## Interrogazione dei CloudTrail log per l'accesso a più account Amazon S3
In qualità di proprietario di risorse condivise, puoi interrogare CloudTrail i log di S3 per determinare gli account che hanno avuto accesso ai tuoi bucket Amazon S3 (a condizione che tu abbia abilitato la registrazione a livello di oggetto in Amazon S3). Questo vale solo per le sedi S3 che hai registrato con Lake Formation. Se i consumatori di risorse condivise scelgono di includere il principal ARNs nei CloudTrail log di Lake Formation, puoi determinare i ruoli o gli utenti che hanno avuto accesso ai bucket.
Quando esegui query con Amazon Athena, puoi unire gli eventi Lake Formation e CloudTrail gli eventi S3 nella CloudTrail proprietà del nome della sessione. Le query possono anche filtrare gli eventi di Lake Formation su e `eventName="GetDataAccess"` gli eventi S3 su `eventName="Get Object"` o. `eventName="Put Object"`
Di seguito è riportato un estratto di un CloudTrail evento cross-account di Lake Formation in cui è stato effettuato l'accesso ai dati in una posizione S3 registrata.
```
{
"eventSource": "lakeformation.amazonaws.com",
"eventName": "GetDataAccess",
..............
..............
"additionalEventData": {
"requesterService": "GLUE_JOB",
"lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
"lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
}
}
```
Il valore `lakeFormationRoleSessionName` chiave,`AWSLF-00-GL-111122223333-B8JSAjo5QA`, può essere unito al nome della sessione nella `principalId` chiave dell'evento S3. CloudTrail Di seguito è riportato un estratto dell'evento S3. CloudTrail Mostra la posizione del nome della sessione.
```
{
"eventSource": "s3.amazonaws.com",
"eventName": "Get Object"
..............
..............
"principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
"arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",
"session Context": {
"session Issuer": {
"type": "Role",
"principalId": "AROAQSOX5XXUR7D6RMYLR",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
"accountId": "111122223333",
"user Name": "Deformationally"
},
..............
..............
}
```
Il nome della sessione è formattato come segue:
```
AWSLF----
```
**`version-number`**
La versione di questo formato, attualmente`00`. Se il formato del nome della sessione cambia, sarà la versione successiva`01`.
**`query-engine-code`**
Indica l'entità che ha avuto accesso ai dati. I valori correnti sono:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/cross-account-logging.html)
**`account-id`**
L'ID AWS dell'account che ha richiesto le credenziali a Lake Formation.
**`suffix`**
Una stringa generata casualmente.
# Gestione delle autorizzazioni tra account utilizzando sia Lake Formation che tramite Lake AWS Glue Formation
È possibile concedere l'accesso a più account alle risorse del Data Catalog e ai dati sottostanti utilizzando o. AWS Glue AWS Lake Formation
InAWS Glue, concedi autorizzazioni per più account creando o aggiornando una politica delle risorse di Data Catalog. In Lake Formation, concedi autorizzazioni per più account utilizzando il modello di autorizzazioni Lake Formation `GRANT/REVOKE` e il funzionamento dell'`Grant Permissions`API.
**Suggerimento**
Ti consigliamo di affidarti esclusivamente alle autorizzazioni di Lake Formation per proteggere il tuo data lake.
Puoi visualizzare le sovvenzioni di Lake Formation su più account utilizzando la console Lake Formation o la console AWS Resource Access Manager (AWS RAM). Tuttavia, queste pagine della console non mostrano le autorizzazioni per più account concesse dalla politica delle risorse di AWS Glue Data Catalog. Allo stesso modo, puoi visualizzare le concessioni tra account nella politica delle risorse di Data Catalog utilizzando la pagina **Impostazioni** della AWS Glue console, ma quella pagina non mostra le autorizzazioni per più account concesse utilizzando Lake Formation.
Per assicurarti di non perdere nessuna sovvenzione durante la visualizzazione e la gestione delle autorizzazioni tra più account, Lake Formation AWS Glue richiede che tu esegua le seguenti azioni per indicare che sei a conoscenza e che stai autorizzando le sovvenzioni tra account sia da Lake Formation che. AWS Glue
**Quando si concedono autorizzazioni su più account utilizzando la politica delle risorse di Data Catalog AWS Glue**
Se il tuo account (account concedente o account produttore) non ha concesso concessioni tra account diversi che vengono utilizzate AWS RAM per condividere le risorse, puoi salvare una politica sulle risorse di Data Catalog come di consueto in. AWS Glue Tuttavia, se sono già state concesse sovvenzioni che prevedono la condivisione AWS RAM delle risorse, è necessario effettuare una delle seguenti operazioni per garantire che la politica di salvataggio delle risorse abbia esito positivo:
+ Quando salvi la politica delle risorse nella pagina **Impostazioni** della AWS Glue console, la console emette un avviso che indica che le autorizzazioni nella politica si aggiungeranno a tutte le autorizzazioni concesse utilizzando la console Lake Formation. È necessario scegliere **Procedi** per salvare la politica.
+ Quando si salva la politica delle risorse utilizzando l'operazione `glue:PutResourcePolicy` API, è necessario impostare il `EnableHybrid` campo su '`TRUE`' (type = string).
Per aggiornare una politica delle risorse esistente, utilizza l'operazione `glue:GetResourcePolicy` API per recuperare prima la politica corrente, quindi modificala se necessario prima di chiamare`glue:PutResourcePolicy`.
**Nota**
Quando crei politiche AWS Glue sulle risorse per l'accesso tra account diversi, concedi solo le autorizzazioni minime richieste per il tuo caso d'uso specifico.
*Per ulteriori informazioni, consulta [PutResourcePolicy Action (Python: put\$1resource\$1policy](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-PutResourcePolicy)) nella Developer Guide.AWS Glue *
**Quando si concedono autorizzazioni per più account utilizzando il metodo delle risorse denominate Lake Formation**
Se nel tuo account (account produttore) non è presente alcuna politica sulle risorse di Data Catalog, Lake Formation garantisce che tu proceda come al solito. Tuttavia, se esiste una politica in materia di risorse di Data Catalog, devi aggiungere la seguente dichiarazione per consentire che le concessioni tra account abbiano esito positivo se vengono effettuate con il metodo delle risorse denominato. Sostituiscila ** con un nome regionale valido e ** con l'ID AWS del tuo account (ID account produttore).
```
{
"Effect": "Allow",
"Action": [
"glue:ShareResource"
],
"Principal": {"Service": [
"ram.amazonaws.com"
]},
"Resource": [
"arn:aws:glue:::table/*/*",
"arn:aws:glue:::database/*",
"arn:aws:glue:::catalog"
]
}
```
Senza questa dichiarazione aggiuntiva, la sovvenzione di Lake Formation ha esito positivo, ma viene bloccata e l'account del destinatario non può accedere alla risorsa concessa. AWS RAM
**Importante**
Quando si utilizza il metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere concessioni tra account, è necessario disporre di una politica delle risorse del Data Catalog con almeno le autorizzazioni specificate in. [Prerequisiti](cross-account-prereqs.md)
**Consulta anche:**
[Controllo dell'accesso ai metadati](access-control-metadata.md)(per una discussione sul metodo Named Resource rispetto al metodo di controllo degli accessi basato su tag Lake Formation (LF-TBAC)).
[Visualizzazione di tabelle e database condivisi del Data Catalog](viewing-available-shared-resources.md)
[Utilizzo delle impostazioni del catalogo dati sulla](https://docs.aws.amazon.com/glue/latest/dg/console-data-catalog-settings.html) *console nella Guida per gli sviluppatori AWS GlueAWS Glue *
[Concessione dell'accesso a più account](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) nella *Guida per gli AWS Glue sviluppatori* (ad esempio, le politiche relative alle risorse di Data Catalog)
# Visualizzazione di tutte le sovvenzioni tra account utilizzando l'operazione API GetResourceShares
Se la tua azienda concede autorizzazioni per più account utilizzando sia una politica AWS Glue Data Catalog delle risorse che le sovvenzioni Lake Formation, l'unico modo per visualizzare tutte le sovvenzioni su più account in un unico posto è utilizzare l'operazione API. `glue:GetResourceShares`
Quando concedi le autorizzazioni di Lake Formation su più account utilizzando il metodo di risorsa denominato, AWS Resource Access Manager (AWS RAM) crea una politica delle risorse AWS Identity and Access Management (IAM) e la memorizza nel tuo AWS account. La politica concede le autorizzazioni necessarie per accedere alla risorsa. AWS RAM crea una politica delle risorse separata per ogni concessione tra account. È possibile visualizzare tutte queste politiche utilizzando l'operazione `glue:GetResourceShares` API.
**Nota**
Questa operazione restituisce anche la politica delle risorse di Data Catalog. Tuttavia, se hai abilitato la crittografia dei metadati nelle impostazioni del Catalogo dati e non disponi dell'autorizzazione sulla AWS KMS chiave, l'operazione non restituirà la politica delle risorse del Catalogo dati.
**Per visualizzare tutte le sovvenzioni tra account**
+ Immettere il seguente comando AWS CLI .
```
aws glue get-resource-policies
```
Di seguito è riportato un esempio di politica delle risorse che AWS RAM crea e memorizza quando si concedono autorizzazioni su una tabella `t` nel database `db1` all' AWS account 1111-2222-3333.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition",
"glue:SearchTables"
],
"Principal": {"AWS": [
"111122223333"
]},
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/db1/t"
]
}
]
}
```
------
**Consulta anche:**
[GetResourceShares Azione (Python: get\$1resource\$1policies](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-GetResourcePolicies)*) nella Guida per gli sviluppatori AWS Glue *
# Accesso e visualizzazione di tabelle e database di Data Catalog condivisi
Per l'amministratore del data lake e per i responsabili a cui sono state concesse le autorizzazioni, le risorse condivise con il tuo AWS account vengono visualizzate nel Data Catalog come se fossero risorse del tuo account. La console mostra l'account proprietario della risorsa.
Puoi visualizzare le risorse condivise con il tuo account utilizzando la console Lake Formation. Puoi anche utilizzare la console AWS Resource Access Manager (AWS RAM) per visualizzare sia le risorse condivise con il tuo account sia le risorse che hai condiviso con altri AWS account utilizzando il metodo della risorsa denominata.
**Importante**
Quando qualcuno utilizza il metodo della risorsa denominata per concedere autorizzazioni multiaccount su una risorsa Data Catalog al tuo account o alla tua AWS organizzazione, Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa. Se il tuo account appartiene alla stessa AWS organizzazione dell'account che concede l'autorizzazione, la risorsa condivisa è immediatamente disponibile.
Tuttavia, se il tuo account non fa parte della stessa organizzazione, AWS RAM invia un invito all'account per accettare o rifiutare la condivisione delle risorse. Quindi, per rendere disponibile la risorsa condivisa, l'amministratore del data lake del tuo account deve utilizzare la AWS RAM console o la CLI per accettare l'invito.
La console Lake Formation visualizza un avviso se c'è un invito alla condivisione di AWS RAM risorse in attesa di essere accettato. Solo gli utenti autorizzati a visualizzare AWS RAM gli inviti ricevono l'avviso.
**Consulta anche:**
[Condivisione di tabelle e database del Data Catalog tra più account AWS](sharing-catalog-resources.md)
[Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md)
[Accesso ai dati sottostanti di una tabella condivisa](cross-account-read-data.md)
[Controllo dell'accesso ai metadati](access-control-metadata.md)(per informazioni sul metodo delle risorse denominato rispetto al metodo LF-TBAC per la condivisione delle risorse.)
**Topics**
+ [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md)
+ [Visualizzazione di tabelle e database condivisi del Data Catalog](viewing-available-shared-resources.md)
# Accettazione di un invito alla condivisione di risorse da AWS RAM
Se una risorsa del Catalogo dati è condivisa con il tuo AWS account e il tuo account non fa parte della stessa AWS organizzazione dell'account di condivisione, non potrai accedere alla risorsa condivisa finché non accetti un invito alla condivisione delle risorse da AWS Resource Access Manager (AWS RAM). In qualità di amministratore del data lake, devi prima AWS RAM richiedere gli inviti in sospeso e poi accettare l'invito.
Puoi utilizzare la AWS RAM console, l'API o AWS Command Line Interface (AWS CLI) per visualizzare e accettare gli inviti.
**Per visualizzare e accettare un invito alla condivisione di risorse da AWS RAM (console)**
1. Assicurati di disporre delle autorizzazioni AWS Identity and Access Management (IAM) necessarie per visualizzare e accettare gli inviti alla condivisione delle risorse.
Per informazioni sulle politiche IAM consigliate per gli amministratori di data lake, consulta. [Autorizzazioni di amministratore di Data Lake](permissions-reference.md#persona-dl-admin)
1. *Segui le istruzioni riportate nella sezione [Accettazione e rifiuto degli inviti nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html#working-with-shared-invitation) per l'AWS RAM utente.*
**Per visualizzare e accettare un invito alla condivisione di risorse da AWS RAM (AWS CLI)**
1. Assicurati di disporre delle autorizzazioni AWS Identity and Access Management (IAM) necessarie per visualizzare e accettare gli inviti alla condivisione delle risorse.
Per informazioni sulle politiche IAM consigliate per gli amministratori di data lake, consulta. [Autorizzazioni di amministratore di Data Lake](permissions-reference.md#persona-dl-admin)
1. Immetti il comando seguente per visualizzare gli inviti alla condivisione delle risorse in sospeso.
```
aws ram get-resource-share-invitations
```
L’output visualizzato dovrebbe essere simile al seguente.
```
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-east-1:111122223333:resource-share-invitation/a93aa60a-1bd9-46e8-96db-a4e72eec1d9f",
"resourceShareName": "111122223333-123456789012-uswuU",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/2a4ab5fb-d859-4751-84f7-8760b35fc1fe",
"senderAccountId": "111122223333",
"receiverAccountId": "123456789012",
"invitationTimestamp": 1589576601.79,
"status": "PENDING"
}
]
}
```
Annota lo stato di. `PENDING`
1. Copia il valore della `resourceShareInvitationArn` chiave negli appunti.
1. Incollate il valore nel comando seguente**, sostituitelo e immettete il comando.
```
aws ram accept-resource-share-invitation --resource-share-invitation-arn
```
L’output visualizzato dovrebbe essere simile al seguente.
```
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-east-1:111122223333:resource-share-invitation/a93aa60a-1bd9-46e8-96db-a4e72eec1d9f",
"resourceShareName": "111122223333-123456789012-uswuU",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/2a4ab5fb-d859-4751-84f7-8760b35fc1fe",
"senderAccountId": "111122223333",
"receiverAccountId": "123456789012",
"invitationTimestamp": 1589576601.79,
"status": "ACCEPTED"
}
]
}
```
Annotate lo stato di`ACCEPTED`.
# Visualizzazione di tabelle e database condivisi del Data Catalog
Puoi visualizzare le risorse condivise con il tuo account utilizzando la console di Lake Formation o la AWS CLI. Puoi anche utilizzare la console AWS Resource Access Manager (AWS RAM) o la CLI per visualizzare sia le risorse condivise con il tuo account sia le risorse che hai condiviso con altri AWS account.
**Per visualizzare le risorse condivise utilizzando la console Lake Formation**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake o utente a cui sono state concesse le autorizzazioni su una tabella condivisa.
1. Per visualizzare le risorse condivise con il tuo AWS account, esegui una delle seguenti operazioni:
+ Per visualizzare le tabelle condivise con il tuo account, nel riquadro di navigazione, scegli **Tabelle**.
+ Per visualizzare i database condivisi con il tuo account, nel riquadro di navigazione, scegli **Database**.
La console mostra un elenco di database o tabelle presenti nel tuo account e condivisi con il tuo account. Per le risorse condivise con il tuo account, la console mostra l'ID dell' AWS account del **proprietario nella colonna ID account proprietario** (la terza colonna nella schermata seguente).
![\[La pagina Tabelle mostra diversi account proprietari IDs per le tabelle.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/tables-with-shared.png)
1. Per visualizzare le risorse condivise con altri AWS account o organizzazioni, nel riquadro di navigazione, scegli **Autorizzazioni dati**.
Le risorse che hai condiviso sono elencate nella pagina **Autorizzazioni dati** con il numero di account esterno mostrato nella colonna **Principale**, come mostrato nell'immagine seguente.
![\[La pagina Autorizzazioni dati mostra che il tuo account ha concesso le autorizzazioni su una tabella a un account esterno. L'ID AWS dell'account si trova nella colonna Principale.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/permissions-with-cross.png)
**Per visualizzare le risorse condivise utilizzando la AWS RAM console**
1. Assicurati di disporre delle autorizzazioni AWS Identity and Access Management (IAM) necessarie per visualizzare le risorse condivise utilizzando AWS RAM.
È necessario disporre almeno dell'autorizzazione`ram:ListResources`. Questa autorizzazione è inclusa nella policy gestita da AWS. `AWSLakeFormationCrossAccountManager`
1. [Accedi a Console di gestione AWS e apri la AWS RAM console da casa. https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/home)
1. Esegui una delle seguenti operazioni:
+ Per visualizzare le risorse condivise, nel riquadro di navigazione, in **Condivise da me**, scegli **Risorse condivise**.
+ Per visualizzare le risorse condivise con te, nel riquadro di navigazione, in **Condivise con me**, scegli **Risorse condivise**.
# Creazione di collegamenti alle risorse
I link alle risorse sono oggetti del Data Catalog che sono collegamenti a database e tabelle di metadati, in genere a database e tabelle condivisi di altri account. AWS Aiutano a consentire l'accesso tra account diversi ai dati nel data lake in tutte le regioni. AWS
**Nota**
Lake Formation supporta l'interrogazione delle tabelle del Data Catalog tra AWS le regioni. È possibile accedere ai database e alle tabelle del Data Catalog da qualsiasi AWS regione creando collegamenti di risorse in quelle aree che puntano a database e tabelle condivisi in diverse regioni.
**Topics**
+ [Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)
+ [Creazione di un collegamento di risorsa a una tabella condivisa del Catalogo dati](create-resource-link-table.md)
+ [Creazione di un collegamento di risorsa a un database Data Catalog condiviso](create-resource-link-database.md)
+ [Gestione dei link alle risorse in AWS Glue APIs](resource-links-glue-apis.md)
# Come funzionano i link alle risorse in Lake Formation
Un *collegamento a una risorsa* è un oggetto del catalogo dati che è un collegamento a un database o a una tabella locale o condivisa. Dopo aver creato un link di risorsa a un database o a una tabella, è possibile utilizzare il nome del link di risorsa ovunque si utilizzi il nome del database o della tabella. Oltre alle tabelle di tua proprietà o alle tabelle condivise con te, i link alle risorse delle **tabelle vengono restituiti `glue:GetTables()` e vengono visualizzati come voci nella pagina Tabelle** della console Lake Formation. I collegamenti alle risorse ai database agiscono in modo simile.
La creazione di un collegamento di risorsa a un database o a una tabella consente di effettuare le seguenti operazioni:
+ Assegna un nome diverso a un database o a una tabella nel tuo Data Catalog. Ciò è particolarmente utile se AWS account diversi condividono database o tabelle con lo stesso nome o se più database dell'account hanno tabelle con lo stesso nome.
+ Accedi ai database e alle tabelle del Data Catalog da qualsiasi AWS regione creando collegamenti alle risorse in quelle aree che puntano al database e alle tabelle in un'altra regione. Puoi eseguire query in qualsiasi regione con questi link alle risorse utilizzando Athena, Amazon EMR ed AWS Glue eseguire job ETL Spark, senza copiare i dati di origine né i metadati in Glue Data Catalog.
+ Utilizza AWS servizi integrati come Amazon Athena Amazon Redshift Spectrum per eseguire query che accedono a database o tabelle condivisi. Alcuni servizi integrati non possono accedere direttamente a database o tabelle tra diversi account. Tuttavia, possono accedere ai link delle risorse presenti nel tuo account ai database e alle tabelle di altri account.
**Nota**
Non è necessario creare un collegamento a una risorsa per fare riferimento a un database o a una tabella condivisa negli script di AWS Glue estrazione, trasformazione e caricamento (ETL). Tuttavia, per evitare ambiguità quando più AWS account condividono un database o una tabella con lo stesso nome, è possibile creare e utilizzare un collegamento alla risorsa o specificare l'ID del catalogo quando si richiamano le operazioni ETL.
L'esempio seguente mostra la pagina **Tabelle** della console di Lake Formation, che elenca due collegamenti a risorse. I nomi dei link alle risorse sono sempre visualizzati in corsivo. Ogni collegamento alla risorsa viene visualizzato insieme al nome e al proprietario della risorsa condivisa collegata. In questo esempio, un amministratore di Data Lake nell' AWS account 1111-2222-3333 ha condiviso le `incidents` tabelle `inventory` and con l'account 1234-5678-9012. Un utente di quell'account ha quindi creato collegamenti alle risorse a tali tabelle condivise.
![\[La pagina Tabelle mostra due link alle risorse. Il nome del link alle risorse viene visualizzato nella colonna Nome, il nome della tabella condivisa nella colonna Risorsa condivisa e l'account che ha condiviso la tabella nella colonna Proprietario della risorsa condivisa.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/tables-with-links.png)
Di seguito sono riportate le note e le restrizioni relative ai collegamenti alle risorse:
+ I link alle risorse sono necessari per consentire a servizi integrati come Athena e Redshift Spectrum di interrogare i dati sottostanti delle tabelle condivise. Le query in questi servizi integrati sono costruite sulla base dei nomi dei link alle risorse.
+ Supponendo che l'impostazione **Usa solo il controllo di accesso IAM per le nuove tabelle in questo database** sia disattivata per il database che lo contiene, solo il principale che ha creato un collegamento alla risorsa può visualizzarlo e accedervi. Per consentire agli altri responsabili del tuo account di accedere a un link a una risorsa, concedi l'`DESCRIBE`autorizzazione. Per consentire ad altri di eliminare un link a una risorsa, concedi l'`DROP`autorizzazione. Gli amministratori di Data Lake possono accedere a tutti i link alle risorse presenti nell'account. Per eliminare un collegamento a una risorsa creato da un altro principale, l'amministratore del data lake deve prima concedersi l'`DROP`autorizzazione sul collegamento alla risorsa. Per ulteriori informazioni, consulta [Riferimento alle autorizzazioni di Lake Formation](lf-permissions-reference.md).
**Importante**
La concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sul database o sulla tabella di destinazione (collegati). È necessario concedere le autorizzazioni sulla destinazione separatamente.
+ Per creare un collegamento a una risorsa, è necessaria l'`CREATE_DATABASE`autorizzazione `CREATE_TABLE` o la Lake Formation, nonché l'autorizzazione `glue:CreateTable` or `glue:CreateDatabase` AWS Identity and Access Management (IAM).
+ Puoi creare collegamenti a risorse locali (di proprietà) del Data Catalog, nonché a risorse condivise con il tuo AWS account.
+ Quando crei un link a una risorsa, non viene eseguito alcun controllo per verificare se la risorsa condivisa di destinazione esiste o se disponi di autorizzazioni per più account sulla risorsa. Ciò consente di creare il collegamento alla risorsa e la risorsa condivisa in qualsiasi ordine.
+ Se si elimina un collegamento a una risorsa, la risorsa condivisa collegata non viene eliminata. Se si elimina una risorsa condivisa, i link delle risorse a tale risorsa non vengono eliminati.
+ È possibile creare catene di collegamenti di risorse. Tuttavia, non è utile farlo, perché APIs segue solo il primo collegamento alla risorsa.
**Consulta anche:**
[Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md)
# Creazione di un collegamento di risorsa a una tabella condivisa del Catalogo dati
Puoi creare un link di risorsa a una tabella condivisa in qualsiasi AWS regione utilizzando la AWS Lake Formation console, l'API o AWS Command Line Interface ().AWS CLI
**Per creare un collegamento di risorsa a una tabella condivisa (console)**
1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come preside che dispone dell'`CREATE_TABLE`autorizzazione Lake Formation sul database per contenere il link alla risorsa.
1. Nel riquadro di navigazione, scegli **Tabelle** in Data Catalog, quindi scegli **Crea**, **Link alle risorse**.
1. Nella pagina **Crea collegamento alla risorsa**, fornisci le seguenti informazioni:
**Nome del link alla risorsa**
Immettete un nome che rispetti le stesse regole del nome della tabella. Il nome può essere lo stesso della tabella condivisa di destinazione.
**Database**
Il database nel Data Catalog locale che deve contenere il collegamento alla risorsa.
**Regione proprietaria della tabella condivisa**
Se stai creando il link alla risorsa in un'altra regione, seleziona la regione della tabella condivisa di destinazione.
**Tabella condivisa**
Seleziona una tabella condivisa dall'elenco o inserisci un nome di tabella locale (di proprietà) o condivisa.
L'elenco contiene tutte le tabelle condivise con il tuo account. Annota il database e l'ID dell'account del proprietario elencati in ogni tabella. Se non vedi una tabella che sai è stata condivisa con il tuo account, controlla quanto segue:
+ Se non sei un amministratore del data lake, verifica che l'amministratore del data lake ti abbia concesso le autorizzazioni Lake Formation sulla tabella.
+ Se sei un amministratore del data lake e il tuo account non fa parte della stessa AWS organizzazione dell'account concedente, assicurati di aver accettato l'invito alla condivisione delle risorse AWS Resource Access Manager (AWS RAM) per la tabella. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).
**Database della tabella condivisa**
Se hai selezionato una tabella condivisa dall'elenco, questo campo viene popolato con il database della tabella condivisa nell'account esterno. Altrimenti, inserisci un database locale (per un collegamento di risorse a una tabella locale) o il database della tabella condivisa nell'account esterno.
**Proprietario della tabella condivisa**
Se hai selezionato una tabella condivisa dall'elenco, questo campo viene compilato con l'ID dell'account proprietario della tabella condivisa. Altrimenti, inserisci l'ID AWS del tuo account (per il collegamento di una risorsa a una tabella locale) o l'ID dell' AWS account che ha condiviso la tabella.
1. Scegli **Crea** per creare il link alla risorsa.
È quindi possibile visualizzare il nome del collegamento alla risorsa nella colonna **Nome** della pagina **Tabelle**.
1. (Facoltativo) Concedi l'`DESCRIBE`autorizzazione Lake Formation sul link della risorsa ai responsabili che devono essere in grado di visualizzare il collegamento e accedere alla tabella di destinazione.
Tuttavia, la concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sul database o sulla tabella di destinazione (collegati). È necessario concedere le autorizzazioni sul database di destinazione separatamente affinché il table/resource link sia visibile in Athena.
**Per creare un collegamento di risorsa a una tabella condivisa nella stessa regione ()AWS CLI**
1. Utilizzare un comando simile al seguente:
```
aws glue create-table --database-name myissues --table-input '{"Name":"my_customers","TargetTable":{"CatalogId":"111122223333","DatabaseName":"issues","Name":"customers"}}'
```
Questo comando crea un link di risorsa denominato `my_customers` alla tabella condivisa`customers`, che si trova `issues` nel database dell' AWS account 1111-2222-3333. Il collegamento alla risorsa è memorizzato nel database locale. `myissues`
1. (Facoltativo) Concedi l'`DESCRIBE`autorizzazione Lake Formation sul link della risorsa ai responsabili che devono essere in grado di visualizzare il collegamento e accedere alla tabella di destinazione.
Tuttavia, la concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sulla tabella di destinazione (collegata). È necessario concedere le autorizzazioni sul database di destinazione separatamente affinché il table/resource link sia visibile in Athena.
**Per creare un collegamento di risorsa a una tabella condivisa in una regione diversa ()AWS CLI**
1. Utilizzare un comando simile al seguente:
```
aws glue create-table --region eu-west-1 --cli-input-json '{
"CatalogId": "111122223333",
"DatabaseName": "ireland_db",
"TableInput": {
"Name": "rl_useast1salestb_ireland",
"TargetTable": {
"CatalogId": "444455556666",
"DatabaseName": "useast1_salesdb",
"Region": "us-east-1",
"Name":"useast1_salestb"
}
}
}‘
```
Questo comando crea un collegamento di risorse denominato `rl_useast1salestb_ireland` nella regione Europa (Irlanda) alla `useast1_salestb` tabella condivisa, che si trova nel `useast1_salesdb` database dell'account 444455556666 AWS nella regione Stati Uniti orientali (Virginia settentrionale). Il collegamento alla risorsa è memorizzato nel database locale. `ireland_db`
1. Concedi l'`DESCRIBE`autorizzazione a Lake Formation ai responsabili che devono essere in grado di visualizzare il link e accedere alla destinazione del link tramite il link.
Tuttavia, la concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sulla tabella di destinazione (collegata). È necessario concedere le autorizzazioni sulla tabella di destinazione separatamente affinché il table/resource link sia visibile in Athena.
**Consulta anche:**
[Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)
[`DESCRIBE`](lf-permissions-reference.md#perm-describe)
# Creazione di un collegamento di risorsa a un database Data Catalog condiviso
È possibile creare un collegamento di risorsa a un database condiviso utilizzando la AWS Lake Formation console, l'API o AWS Command Line Interface ()AWS CLI.
**Per creare un collegamento di risorsa a un database condiviso (console)**
1. Apri la AWS Lake Formation console all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accedi come amministratore del data lake o come creatore di database.
Un creatore di database è un responsabile a cui è stata concessa l'`CREATE_DATABASE`autorizzazione Lake Formation.
1. Nel riquadro di navigazione, scegli **Database**, quindi scegli **Crea**, **Link alle risorse**.
1. Nella pagina **Crea collegamento a una risorsa**, fornisci le seguenti informazioni:
**Nome del link alla risorsa**
Immettete un nome che rispetti le stesse regole del nome del database. Il nome può essere lo stesso del database condiviso di destinazione.
**Catalogo di destinazione**
Seleziona il catalogo di destinazione per il collegamento alle risorse del database.
**Regione del proprietario del database condiviso**
Se stai creando il link alla risorsa in un'altra regione, seleziona la regione del database condiviso di destinazione.
**Database condiviso**
Scegli un database dall'elenco o inserisci un nome di database locale (di proprietà) o condiviso.
L'elenco contiene tutti i database condivisi con il tuo account. Annota l'ID dell'account del proprietario elencato in ogni database. Se non vedi un database che sai è stato condiviso con il tuo account, controlla quanto segue:
+ Se non sei un amministratore del data lake, verifica che l'amministratore del data lake ti abbia concesso le autorizzazioni Lake Formation sul database.
+ Se sei un amministratore del data lake e il tuo account non fa parte della stessa AWS organizzazione dell'account concedente, assicurati di aver accettato l'invito AWS Resource Access Manager (AWS RAM) alla condivisione delle risorse per il database. Per ulteriori informazioni, consulta [Accettazione di un invito alla condivisione di risorse da AWS RAM](accepting-ram-invite.md).
**Proprietario del database condiviso**
Se hai selezionato un database condiviso dall'elenco, questo campo viene compilato con l'ID dell'account proprietario del database condiviso. Altrimenti, inserisci l'ID AWS del tuo account (per un collegamento di risorsa a un database locale) o l'ID dell' AWS account che ha condiviso il database.
**ID del catalogo del database condiviso**
Immettere l'ID del catalogo per il database condiviso. Quando si crea un collegamento di risorsa a un database condiviso da un altro AWS account, è necessario specificare questo ID di catalogo per identificare il catalogo dati dell'account che contiene il database di origine.
Quando selezioni un database condiviso dal menu a discesa, il sistema inserisce automaticamente l'ID del catalogo dell'account che possiede e ha condiviso quel database con te.
![\[Nella finestra di dialogo dei dettagli del database è selezionato il pulsante di opzione Resource link, con i seguenti campi compilati: Nome del link alla risorsa, Database condiviso, ID proprietario del database condiviso. L'ID proprietario del database condiviso è disabilitato (sola lettura).\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/create-resource-link-db.png)
1. Scegli **Crea** per creare il link alla risorsa.
È quindi possibile visualizzare il nome del collegamento alla risorsa nella colonna **Nome** della pagina **Database**.
1. (Facoltativo) Concedi a Lake Formation l'`DESCRIBE`autorizzazione per il collegamento alla risorsa ai responsabili della regione Europa (Irlanda) che devono essere in grado di visualizzare il collegamento e accedere al database di destinazione.
Tuttavia, la concessione di autorizzazioni per un collegamento a una risorsa non concede autorizzazioni per il database o la tabella di destinazione (collegati). È necessario concedere le autorizzazioni sul database di destinazione separatamente affinché il table/resource link sia visibile in Athena.
**Per creare un collegamento di risorsa a un database condiviso nella stessa regione ()AWS CLI**
1. Utilizzare un comando simile al seguente:
```
aws glue create-database --database-input '{"Name":"myissues","TargetDatabase":{"CatalogId":"111122223333","DatabaseName":"issues"}}'
```
Questo comando crea un collegamento a una risorsa denominato `myissues` al database condiviso`issues`, che si trova nell' AWS account 1111-2222-3333.
1. (Facoltativo) Concedi l'`DESCRIBE`autorizzazione a Lake Formation ai responsabili del link alla risorsa che devono essere in grado di visualizzare il collegamento e accedere al database o alla tabella di destinazione.
Tuttavia, la concessione delle autorizzazioni su un collegamento a una risorsa non concede le autorizzazioni sul database o sulla tabella di destinazione (collegati). È necessario concedere le autorizzazioni sul database di destinazione separatamente affinché il table/resource link sia visibile in Athena.
**Per creare un collegamento di risorsa a un database condiviso in un'altra regione ()AWS CLI**
1. Utilizzare un comando simile al seguente:
```
aws glue create-database --region eu-west-1 --cli-input-json '{
"CatalogId": "111122223333",
"DatabaseInput": {
"Name": "rl_useast1shared_irelanddb",
"TargetDatabase": {
"CatalogId": "444455556666",
"DatabaseName": "useast1shared_db",
"Region": "us-east-1"
}
}
}'
```
Questo comando crea un collegamento di risorse denominato `rl_useast1shared_irelanddb` nell' AWS account 111122223333 nella regione Europa (Irlanda) al database condiviso`useast1shared_db`, che si trova nell' AWS account 444455556666 nella regione Stati Uniti orientali (Virginia settentrionale).
1. Concedi il `DESCRIBE` permesso di Lake Formation ai dirigenti della regione Europa (Irlanda) che devono essere in grado di visualizzare il link e accedere alla destinazione del link tramite il link.
**Consulta anche:**
[Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)
[`DESCRIBE`](lf-permissions-reference.md#perm-describe)
# Gestione dei link alle risorse in AWS Glue APIs
Le tabelle seguenti spiegano come il AWS Glue Data Catalog APIs gestisce i collegamenti alle risorse di database e tabelle. Per tutte le operazioni `Get*` API, vengono restituiti solo i database e le tabelle per i quali il chiamante dispone delle autorizzazioni. Inoltre, quando si accede a un database o a una tabella di destinazione tramite un collegamento a una risorsa, è necessario disporre delle autorizzazioni sia AWS Identity and Access Management (IAM) che di Lake Formation sia sulla destinazione che sul collegamento alla risorsa. L'autorizzazione di Lake Formation richiesta per i collegamenti alle risorse è`DESCRIBE`. Per ulteriori informazioni, consulta [`DESCRIBE`](lf-permissions-reference.md#perm-describe).
**Operazioni dell'API del database**
| Operazione API | Gestione dei link alle risorse |
| --- | --- |
| CreateDatabase | Se il database è un collegamento di risorse, crea il collegamento alla risorsa al database di destinazione designato. |
| UpdateDatabase | Se il database designato è un collegamento a una risorsa, segue il collegamento e aggiorna il database di destinazione. Se è necessario modificare il collegamento alla risorsa per collegarsi a un database diverso, è necessario eliminarlo e crearne uno nuovo. |
| DeleteDatabase | Elimina il link alla risorsa. Non elimina il database collegato (di destinazione). |
| GetDatabase | Se il chiamante dispone delle autorizzazioni sulla destinazione, segue il link per restituire le proprietà della destinazione. Altrimenti, restituisce le proprietà del link. |
| GetDatabases | Restituisce un elenco di database, inclusi i collegamenti alle risorse. Per ogni collegamento di risorsa nel set di risultati, l'operazione segue il collegamento per ottenere le proprietà della destinazione del collegamento. Devi specificare ResourceShareType = ALL per vedere i database condivisi con il tuo account. |
**Tabella delle operazioni API**
| Operazione API | Gestione dei link alle risorse |
| --- | --- |
| CreateTable | Se il database è un collegamento a una risorsa, segue il collegamento al database e crea una tabella nel database di destinazione. Se la tabella è un collegamento di risorse, l'operazione crea il collegamento alle risorse nel database designato. La creazione di un collegamento alle risorse della tabella tramite un collegamento alle risorse del database non è supportata. |
| UpdateTable | Se la tabella o il database designato è un collegamento a una risorsa, aggiorna la tabella di destinazione. Se sia la tabella che il database sono collegamenti a risorse, l'operazione ha esito negativo. |
| DeleteTable | Se il database designato è un collegamento a una risorsa, segue il collegamento ed elimina la tabella o il collegamento alle risorse della tabella nel database di destinazione. Se la tabella è un collegamento a una risorsa, l'operazione elimina il collegamento alle risorse della tabella nel database designato. L'eliminazione di un collegamento alle risorse della tabella non elimina la tabella di destinazione. |
| BatchDeleteTable | Come DeleteTable. |
| GetTable | Se il database designato è un collegamento di risorse, segue il collegamento al database e restituisce la tabella o il collegamento alle risorse della tabella dal database di destinazione. Altrimenti, se la tabella è un collegamento a una risorsa, l'operazione segue il collegamento e restituisce le proprietà della tabella di destinazione. |
| GetTables | Se il database designato è un collegamento a una risorsa, segue il collegamento al database e restituisce le tabelle e i collegamenti alle risorse della tabella dal database di destinazione. Se il database di destinazione è un database condiviso di un altro AWS account, l'operazione restituisce solo le tabelle condivise in quel database. Non segue i collegamenti alle risorse della tabella nel database di destinazione. Altrimenti, se il database designato è un database locale (di proprietà), l'operazione restituisce tutte le tabelle del database locale e segue ogni collegamento alle risorse della tabella per restituire le proprietà della tabella di destinazione. |
| SearchTables | Restituisce tabelle e collegamenti alle risorse delle tabelle. Non segue i link per restituire le proprietà della tabella di destinazione. Devi specificare ResourceShareType = ALL per vedere le tabelle condivise con il tuo account. |
| GetTableVersion | Come GetTable. |
| GetTableVersions | Come GetTable. |
| DeleteTableVersion | Come DeleteTable. |
| BatchDeleteTableVersion | Come DeleteTable. |
**Operazioni dell'API di partizione**
| Operazione API | Gestione dei link alle risorse |
| --- | --- |
| CreatePartition | Se il database designato è un collegamento di risorse, segue il collegamento al database e crea una partizione nella tabella designata nel database di destinazione. Se la tabella è un collegamento di risorse, l'operazione segue il collegamento alle risorse e crea la partizione nella tabella di destinazione. La creazione di una partizione tramite un collegamento alle risorse della tabella e un collegamento alle risorse del database non è supportata. |
| BatchCreatePartition | Come CreatePartition. |
| UpdatePartition | Se il database designato è un collegamento a una risorsa, segue il collegamento al database e aggiorna la partizione nella tabella designata nel database di destinazione. Se la tabella è un collegamento a una risorsa, l'operazione segue il collegamento alle risorse e aggiorna la partizione nella tabella di destinazione. L'aggiornamento di una partizione tramite un collegamento alle risorse della tabella e un collegamento alle risorse del database non è supportato. |
| DeletePartition | Se il database designato è un collegamento di risorse, segue il collegamento al database ed elimina la partizione nella tabella designata nel database di destinazione. Se la tabella è un collegamento di risorse, l'operazione segue il collegamento alla risorsa ed elimina la partizione nella tabella di destinazione. L'eliminazione di una partizione tramite un collegamento alle risorse della tabella e un collegamento alle risorse del database non è supportata. |
| BatchDeletePartition | Come DeletePartition. |
| GetPartition | Se il database designato è un collegamento a una risorsa, segue il collegamento al database e restituisce le informazioni sulla partizione dalla tabella designata. Altrimenti, se la tabella è un collegamento a una risorsa, l'operazione segue il collegamento e restituisce informazioni sulla partizione. Se sia la tabella che il database sono collegamenti a risorse, restituisce un set di risultati vuoto. |
| GetPartitions | Se il database designato è un collegamento di risorse, segue il collegamento al database e restituisce le informazioni sulla partizione per tutte le partizioni nella tabella designata. Altrimenti, se la tabella è un collegamento di risorse, l'operazione segue il collegamento e restituisce informazioni sulla partizione. Se sia la tabella che il database sono collegamenti a risorse, restituisce un set di risultati vuoto. |
| BatchGetPartition | Come GetPartition. |
**Funzioni definite dall'utente, operazioni API.**
| Operazione API | Gestione dei link alle risorse |
| --- | --- |
| (Tutte le operazioni API) | Se il database è un collegamento a una risorsa, segue il collegamento alla risorsa ed esegue l'operazione sul database di destinazione. |
**Consulta anche:**
[Come funzionano i link alle risorse in Lake Formation](resource-links-about.md)
# Accesso alle tabelle in tutte le regioni
Lake Formation supporta l'interrogazione delle tabelle del Data Catalog tra AWS le regioni. Puoi accedere ai dati in una regione da altre regioni utilizzando Amazon Athena, Amazon EMR ed AWS Glue ETL [creando collegamenti a risorse](creating-resource-links.md) in altre regioni che puntano ai database e alle tabelle di origine. Con l'accesso alle tabelle tra regioni, puoi accedere ai dati tra le regioni senza copiare i dati o i metadati sottostanti nel catalogo dati.
Ad esempio, puoi condividere un database o una tabella in un account produttore con un account consumatore nella Regione A. Dopo aver accettato l'invito alla condivisione delle risorse nella Regione A, l'amministratore del data lake dell'account consumer può creare collegamenti alle risorse condivise nella Regione B. L'amministratore dell'account consumer può concedere le autorizzazioni sulla risorsa condivisa ai responsabili IAM di quell'account nella Regione A e può concedere le autorizzazioni per il collegamento alle risorse nella Regione B. Utilizzando il link alla risorsa, i principali nell'account consumer può interrogare i dati condivisi dalla regione B.
Puoi anche ospitare l'origine dati Amazon S3 nella Regione A in un account produttore e registrare la posizione dei dati in un account centrale nella Regione B. Puoi creare risorse Data Catalog nell'account centrale, impostare le autorizzazioni di Lake Formation e condividere dati con i consumatori nel tuo account o con account esterni nella Regione B. La funzionalità interregionale consente agli utenti di accedere a queste tabelle del Catalogo dati dalla Regione C utilizzando collegamenti alle risorse.
Utilizzando questa funzionalità, è possibile interrogare i database federati in Apache Hive Metastores tra regioni e anche unire tabelle nella regione locale con tabelle in un'altra regione durante l'esecuzione di query.
Lake Formation supporta le seguenti funzionalità con l'accesso alle tabelle tra regioni:
+ Controllo degli accessi basato su tag LF
+ Autorizzazioni di controllo degli accessi granulari
+ Operazioni di scrittura sul database o sulla tabella condivisa con le autorizzazioni appropriate
+ Condivisione dei dati tra account a livello di account e direttamente con i principali IAM
Gli utenti non amministrativi con `Create_Database` e `Create_Table` autorizzazioni possono creare collegamenti di risorse tra regioni.
**Nota**
Puoi creare collegamenti a risorse interregionali in qualsiasi regione e accedere ai dati senza applicare le autorizzazioni di Lake Formation. Per i dati di origine in Amazon S3 che non sono registrati con Lake Formation, l'accesso è determinato dalle politiche di autorizzazione IAM per Amazon S3 e dalle azioni. AWS Glue
Per le limitazioni, consulta [Limitazioni di accesso ai dati tra regioni](x-region-considerations.md).
## Flussi di lavoro
I seguenti diagrammi mostrano i flussi di lavoro per l'accesso ai dati tra AWS regioni dallo stesso AWS account e da un account esterno.
### Flusso di lavoro per accedere alle tabelle condivise all'interno dello stesso account AWS
Nel diagramma seguente, i dati vengono condivisi con un utente dello stesso AWS account nella regione Stati Uniti orientali (Virginia settentrionale) e l'utente richiede i dati condivisi dalla regione Europa (Irlanda).
![\[Diagram showing data sharing between Account AWS across regions with numbered steps.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-region-same-account.png)
L'amministratore del data lake esegue le seguenti attività (passaggi 1-2):
1. Un amministratore del data lake configura un AWS account con i database e le tabelle Data Catalog e registra una posizione dati Amazon S3 con Lake Formation nella regione Stati Uniti orientali (Virginia settentrionale).
Concede `Select` l'autorizzazione per una risorsa del Data Catalog (tabella dei prodotti nel diagramma) a un principale (utente) nello stesso account.
1. Crea un collegamento alla risorsa nella regione Europa (Irlanda) che punta alla tabella di origine nella regione Stati Uniti orientali (Virginia settentrionale). Concede l'`DESCRIBE`autorizzazione per il collegamento alla risorsa dalla regione Europa (Irlanda) al principale.
1. L'utente esegue una query sulla tabella dalla regione Europa (Irlanda) utilizzando Athena.
### Flusso di lavoro per accedere alle tabelle condivise con un account esterno AWS
Nel diagramma seguente, l'account produttore (Account A) ospita il bucket Amazon S3, registra la posizione dei dati e condivide una tabella del catalogo dati con un account consumer (Account B) nella regione Stati Uniti orientali (Virginia settentrionale) e un utente dell'account consumatore (Account B) esegue una query sulla tabella dalla regione Europa (Irlanda).
![\[Diagram showing data sharing between Account AWS across regions using Amazon S3 and Data Catalog.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-region-x-account.png)
1. Un amministratore del data lake configura un AWS account (account produttore) con le risorse Data Catalog e una data location Amazon S3 registrata presso Lake Formation nella regione Stati Uniti orientali (Virginia settentrionale).
1. L'amministratore del data lake dell'account produttore condivide una tabella Data Catalog con un account consumatore.
1. L'amministratore del data lake dell'account consumer accetta l'invito alla condivisione dei dati nella regione Stati Uniti orientali (Virginia settentrionale) e concede l'`Select`autorizzazione per la tabella condivisa a un principale della stessa regione.
1. L'amministratore del data lake dell'account consumer crea un link di risorsa nella regione Europa (Irlanda) che punta alla tabella condivisa di destinazione nella regione Stati Uniti orientali (Virginia settentrionale) e concede `DESCRIBE` all'utente l'autorizzazione per il collegamento alla risorsa dalla regione Europa (Irlanda).
1. L'utente interroga i dati dalla regione Europa (Irlanda) utilizzando Athena.
# Configurazione dell'accesso alle tabelle tra regioni
Per accedere ai dati da una regione diversa, devi prima configurare i database e le tabelle del catalogo dati nella regione in cui registri la tua posizione dati su Amazon S3. Puoi condividere i database e le tabelle del Data Catalog con i principali del tuo account o di un altro account. Quindi, devi creare amministratori di data lake che possano creare collegamenti a risorse che puntino alla posizione dei dati condivisi di destinazione nelle regioni in cui gli utenti interrogano i dati.
**Per interrogare i dati condivisi all'interno dello stesso account da una regione diversa**
In questa sezione, la regione della tabella condivisa di destinazione viene denominata Regione A e gli utenti eseguono query dalla Regione B.
1.
**Configurazione dell'account nella Regione A (dove si creano e si condividono i dati)**
Un amministratore del data lake deve completare le seguenti azioni:
1. Registra una posizione dati Amazon S3.
Per ulteriori informazioni, consulta [Aggiungere una posizione Amazon S3 al tuo data lake](register-data-lake.md).
1. Crea database e tabelle nell'account. Questa operazione può essere eseguita anche da un utente non amministrativo che dispone delle autorizzazioni per creare database e tabelle.
1. Concedi le autorizzazioni relative ai dati su una tabella ai principali con. `Grantable permissions`
Per ulteriori informazioni, consultare [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md).
1.
**Configurazione dell'account nella Regione B (dove si accede ai dati)**
Un amministratore del data lake deve completare le seguenti azioni:
1. Crea un link di risorsa nella Regione B che punti alla tabella condivisa di destinazione nella Regione A. Specificare la **regione proprietaria della tabella condivisa** nella schermata **Crea tabella**.
![\[Create table interface showing options for resource link creation and shared table details.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/cross-region-resource-link.png)
Per istruzioni sulla creazione di collegamenti di risorse a database e tabelle, vedere[Creazione di collegamenti alle risorse](creating-resource-links.md).
1. Concedi `Describe` l'autorizzazione ai responsabili IAM sul link alla risorsa nella Regione B.
Per ulteriori informazioni sulla concessione delle autorizzazioni sui link alle risorse, consulta. [Concessione delle autorizzazioni per i collegamenti alle risorse](granting-link-permissions.md)
I responsabili IAM nella regione B possono interrogare la tabella di destinazione tramite il collegamento utilizzando Athena.
**Per accedere ai dati di più account da una regione diversa**
1.
**Configurazione dell'account produttore/concedente**
Un amministratore del data lake deve completare le seguenti azioni:
1. Configura l' producer/grantor account nella regione A.
1. Registra una posizione dati Amazon S3 nella regione A.
1. Crea database e tabelle. Questa operazione può essere eseguita da un utente non amministrativo che dispone delle autorizzazioni necessarie per creare tabelle.
1. Concedi le autorizzazioni relative ai dati all' consumer/grantee account su una tabella nella Regione A con. `Grantable permissions`
Per ulteriori informazioni, consulta [Condivisione delle tabelle e dei database del Data Catalog tra i nostri principali IAM provenienti Account AWS da account esterni](cross-account-data-share-steps.md).
1.
**Configurazione dell'account consumatore/beneficiario**
Un amministratore del data lake deve completare le seguenti azioni:
1. Accetta l'invito alla condivisione delle risorse dalla AWS RAM Regione A.
1. Crea un link alla risorsa nella Regione B che punti alla tabella condivisa. La regione B è dove gli utenti vorranno interrogare la tabella.
1. Concedi le autorizzazioni relative ai dati sulla tabella condivisa ai responsabili IAM nella regione A.
**Nota**
È necessario concedere le autorizzazioni alla tabella condivisa nella stessa regione in cui la tabella è stata condivisa.
1. Concedi le autorizzazioni ai responsabili sul link alla risorsa nella Regione B.
I responsabili dell'account consumatore nella regione B interrogano quindi la tabella condivisa dalla regione B utilizzando Athena.