Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati
Le espressioni LF-tag sono espressioni logiche composte da uno o più tag LF (coppie chiave-valore) utilizzate per concedere autorizzazioni sulle risorse. AWS Glue Data Catalog Le espressioni LF-Tag consentono di definire regole che regolano l'accesso alle risorse di dati in base ai relativi tag di metadati. È possibile salvare queste espressioni e riutilizzarle in più concessioni di autorizzazioni, garantendo la coerenza e semplificando la gestione delle modifiche all'ontologia dei tag nel tempo.
All'interno di una determinata espressione del tag LF, le chiavi dei tag vengono combinate utilizzando l'operazione AND, mentre i valori vengono combinati utilizzando l'operazione OR. Ad esempio, l'espressione tag `content_type:Sales AND location:US` rappresenta risorse relative ai dati di vendita negli Stati Uniti.
È possibile creare fino a 1000 espressioni di tag LF in un. Account AWS Queste espressioni forniscono un modo flessibile e scalabile per gestire le autorizzazioni basate sui tag di metadati, garantendo che solo gli utenti o le applicazioni autorizzati possano accedere a risorse di dati specifiche in base alle regole di tag definite.
Le espressioni LF-Tag offrono i seguenti vantaggi:
+ **Riusabilità**: definendo e salvando le espressioni dei tag LF, non è più necessario replicare manualmente le stesse espressioni quando si assegnano le autorizzazioni ad altre risorse o principali.
+ **Coerenza: il riutilizzo delle espressioni LF-Tag su più concessioni di autorizzazioni garantisce la coerenza** nel modo in cui le autorizzazioni vengono concesse e gestite.
+ **Gestione dell'ontologia dei tag**: le espressioni LF-Tag aiutano a gestire le modifiche all'ontologia dei tag nel tempo, poiché è possibile aggiornare le espressioni salvate anziché modificare le concessioni di autorizzazioni individuali.
Per ulteriori informazioni sul controllo degli accessi basato su tag, consulta. [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
**Creatori di espressioni con tag LF**
Il creatore di espressioni LF-Tag è un preside che dispone delle autorizzazioni per creare e gestire espressioni LF-Tag. Gli amministratori di Data Lake possono aggiungere creatori di espressioni LF-Tag utilizzando la console, la CLI, l'API o l'SDK di Lake Formation. I creatori di espressioni LF-Tag hanno i permessi impliciti di Lake Formation per creare, aggiornare ed eliminare espressioni LF-Tag e per concedere i permessi di espressione LF-Tag ad altri principali.
I creatori di espressioni LF-Tag che non sono amministratori di Data Lake ricevono autorizzazioni implicite e solo per le espressioni che hanno creato. `Alter` `Drop` `Describe` `Grant with LF-Tag expression`
Gli amministratori di Data Lake possono anche concedere autorizzazioni valide ai creatori di espressioni LF-Tag. `Create LF-Tag expression` Quindi, il creatore di espressioni LF-Tag può concedere il permesso di creare espressioni LF-Tag ad altri responsabili.
**Topics**
+ [Autorizzazioni IAM necessarie per creare espressioni con tag LF](#tag-expression-creator-permissions)
+ [Aggiungi i creatori di espressioni LF-Tag](#add-lf-tag-expression-creator)
+ [Creazione di espressioni con tag LF](TBAC-creating-tag-expressions.md)
+ [Aggiornamento delle espressioni del tag LF](TBAC-updating-expressions.md)
+ [Eliminazione delle espressioni dei tag LF](TBAC-deleting-expressions.md)
+ [Elenco delle espressioni dei tag LF](TBAC-listing-expressions.md)
**Consulta anche**
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)
## Autorizzazioni IAM necessarie per creare espressioni con tag LF
È necessario configurare le autorizzazioni per consentire a un preside di Lake Formation di creare espressioni di tag LF. Aggiungi la seguente dichiarazione alla politica di autorizzazione per il principale che deve essere un creatore di espressioni LF-Tag.
**Nota**
Sebbene gli amministratori dei data lake abbiano le autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF e le espressioni dei tag LF, per assegnare i tag LF alle risorse e per concedere l'autorizzazione alle espressioni LF-Tag e LF-Tag ai principali, gli amministratori del data lake necessitano anche delle seguenti autorizzazioni IAM.
Per ulteriori informazioni, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
```
## Aggiungi i creatori di espressioni LF-Tag
I creatori di espressioni LF-Tag possono creare e salvare espressioni di tag LF riutilizzabili, aggiornare chiavi e valori dei tag, eliminare espressioni e concedere autorizzazioni sulle risorse del Data Catalog ai principali utilizzando il metodo LF-TBAC. Il creatore di espressioni LF-Tag può anche concedere queste autorizzazioni ai principali.
È possibile creare ruoli di creatore di espressioni LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ console ]
**Per aggiungere un creatore di espressioni LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake.
1. Nel riquadro di navigazione, in **Autorizzazioni, scegli **LF-tags** e permessi**.
1. **Scegliete la scheda Espressioni LF-Tag.**
1. **Nella sezione Creatori di espressioni con **tag LF, scegliete Aggiungi creatori di espressioni** con tag LF.**
![\[Form to add LF-Tag expression creators with Utente IAM selection and permissions.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)
1. Nella pagina **Aggiungi creatori di espressioni LF-Tag**, scegli un ruolo o un utente IAM con le autorizzazioni necessarie per creare espressioni LF-Tag.
1. Seleziona `Create LF-Tag expression` la casella di controllo delle autorizzazioni.
1. (Facoltativo) Per consentire ai responsabili selezionati di concedere l'`Create LF-Tag expression`autorizzazione ai mandanti, scegli Autorizzazione `Create LF-Tag expression` concedibile.
1. Scegliere **Aggiungi**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTagExpression"
],
"PermissionsWithGrantOption": [
"CreateLFTagExpression"
]
}
```
------
Il ruolo di creatore di espressioni LF-Tag consente di creare, aggiornare o eliminare espressioni LF-Tag.
| Autorizzazione | Description |
| --- | --- |
| Create | Un principale con questa autorizzazione può aggiungere espressioni di tag LF nel data lake. |
| Drop | Un principale con questa autorizzazione su un'espressione LF-Tag può eliminare un'espressione LF-Tag dal data lake. |
| Alter | Un principale con questa autorizzazione su un'espressione LF-Tag può aggiornare il corpo dell'espressione di un'espressione LF-Tag. |
| Describe | Un principale con questa autorizzazione su un'espressione LF-Tag può visualizzare il contenuto di un'espressione LF-Tag. |
| Grant with LF-Tag expression | Questa autorizzazione consente al destinatario di utilizzare l'espressione del tag come risorsa per concedere le autorizzazioni di accesso ai dati o ai metadati. Concedere concessioni Grant with LF-Tag expression implicite. Describe |
| Super | Per le espressioni LF-Tag, l'Superautorizzazione concede la possibilità di Describe AlterDrop, e concede le autorizzazioni sull'espressione del tag ad altri principali. |
Queste autorizzazioni sono concesse. Un preside a cui sono state concesse queste autorizzazioni con l'opzione di concessione può concederle ad altri committenti.
# Creazione di espressioni con tag LF
È necessario definire tutti i tag LF in Lake Formation e assegnarli alle risorse del Data Catalog prima che possano essere utilizzati per creare espressioni. Un'espressione LF-Tag è composta da un'altra chiave e uno o più valori possibili per ogni chiave.
Dopo che l'amministratore del data lake ha impostato le autorizzazioni IAM e le autorizzazioni Lake Formation richieste per il ruolo di creatore di espressioni LF-Tag, il responsabile può creare espressioni LF-Tag riutilizzabili. Il creatore dell'espressione LF-Tag ottiene le autorizzazioni implicite per aggiornare il corpo dell'espressione ed eliminare l'espressione LF-Tag.
È possibile creare espressioni LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per creare un'espressione LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come principale con i permessi di creazione di espressioni LF-Tag o come amministratore del data lake.
1. Nel pannello di navigazione, sotto Autorizzazioni, **scegli LF-Tag e** **autorizzazioni**.
1. **Scegliete le espressioni LF-Tag.** Viene visualizzata la **pagina Aggiungi espressioni con tag LF**.
![\[La pagina contiene campi per aggiungere un nome, una descrizione e un menu a discesa per selezionare il corpo dell'espressione. Gli utenti possono anche avere la possibilità di concedere le autorizzazioni.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-tag-expression.png)
1. Immetti le seguenti informazioni:
+ Nome: immettere un nome univoco per l'espressione. Non è possibile aggiornare il nome dell'espressione.
+ Descrizione: fornisce una descrizione facoltativa dell'espressione con i dettagli dell'espressione.
+ Espressione: crea l'espressione specificando le chiavi dei tag e i valori associati. È possibile aggiungere fino a 50 chiavi per espressione. È necessario disporre dell'autorizzazione `Grant with LF-Tags` Lake Formation per tutti i tag nel corpo dell'espressione.
Ogni chiave deve avere almeno un valore. Per inserire più valori, inserisci un elenco delimitato da virgole e premi **Invio oppure inserisci** un valore alla volta e scegli **Aggiungi** dopo ognuno di essi. Il numero massimo di valori consentiti per chiave è 1000.
Lake Formation utilizza la AND/OR logica per combinare più chiavi e valori in un'espressione. All'interno di una singola coppia (chiave: elenco di valori), i valori vengono combinati utilizzando l'operatore logico OR. Ad esempio, se la coppia è (Dipartimento: [Vendite, Marketing]), significa che il tag corrisponde se la risorsa ha il tag Department con valore Sales OR Marketing.
Quando si specificano più chiavi, le chiavi vengono unite da un operatore logico AND. Quindi, se l'espressione completa è (Department: [Sales, Marketing]) AND (Location: [US, Canada]), corrisponde alle risorse che hanno il tag Department con valore Sales OR Marketing e hanno anche il tag Location con valore US OR Canada. Di seguito è riportato un altro esempio con più chiavi e valori:
Espressione LF-tag: (ContentType : [Video, Audio]) AND (Regione: [Europa, Asia]) AND (Dipartimento: [Ingegneria, ProductManagement]).
Questa espressione corrisponderebbe a risorse che hanno: - Il ContentType tag con valore Video OR Audio AND - Il tag Region con valore Europe OR Asia AND - Il tag Department con valore Engineering OR. ProductManagement
È inoltre possibile salvare un'espressione di tag quando si concedono le autorizzazioni per il data lake utilizzando i tag LF. Scegliete le coppie chiave e valore e scegliete l'opzione **Salva come nuova espressione**. Immettete un nome che descriva l'espressione.
![\[La pagina contiene campi per selezionare il corpo dell'espressione e un campo per inserire un nome.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/save-expression-grant.png)
1. (Facoltativo) Quindi, scegli gli utenti/ruoli e le autorizzazioni sull'espressione che desideri concedere loro nell'account. Puoi anche scegliere autorizzazioni concedibili che consentano agli utenti di concedere tali autorizzazioni ad altri utenti dell'account. Non puoi concedere autorizzazioni tra account per le espressioni dei tag.
![\[La pagina mostra i campi per selezionare l'autorizzazione da concedere ad altri destinatari.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/grant-expression-permissions.png)
1. Scegliere **Aggiungi**.
------
#### [ AWS CLI ]
**Per creare un'espressione LF-tag**
+ Immettete un comando`create-lf-tag-expression`.
L'esempio seguente crea un'espressione LF-tag con il tag `Department` con valori `Sales` e AND `Marketing` il tag `Location` con il valore. `US`
```
aws lakeformation create-lf-tag-expression \
-- name "my-tag-expression" \
-- catalog-id "123456789012" \
-- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
```
Questo comando CLI crea una nuova espressione LF-tag in. AWS Glue Data Catalog L'espressione può essere utilizzata per concedere autorizzazioni a risorse del catalogo dati come database, tabelle, viste o colonne in base ai tag associati. In questo esempio, l'espressione corrisponderà alle risorse che hanno la `Department` chiave con valori `Sales` o `Marketing` e la `Location` chiave con il valore`US`.
------
In qualità di creatore di espressioni di tag, il responsabile ottiene l'`Alter`autorizzazione per questa espressione di tag LF e può aggiornare o rimuovere l'espressione. Il responsabile del creatore dell'espressione LF-Tag può anche concedere `Alter` il permesso a un altro principale di aggiornare e rimuovere questa espressione.
# Aggiornamento delle espressioni del tag LF
Solo gli amministratori del data lake, il creatore dell'espressione LF-Tag e i responsabili che dispongono `Alter` o hanno l'`Super`autorizzazione sull'espressione LF-Tag possono aggiornare un'espressione LF-Tag. Oltre all'`Alter`autorizzazione, è necessaria anche l'autorizzazione `lakeformation:UpdateLFTagExpression` IAM e l'`Grant with LF-Tag`autorizzazione su tutte le chiavi-valori sottostanti sul nuovo corpo dell'espressione per aggiornare le espressioni.
È possibile aggiornare un'espressione LF-Tag aggiornando la descrizione, il corpo dell'espressione e le autorizzazioni concesse all'espressione. Non è possibile modificare il nome dell'espressione LF-Tag. Per cambiare il nome, eliminate l'espressione del tag LF e aggiungetene una con i parametri richiesti.
È possibile aggiornare un'espressione LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per aggiornare un'espressione LF-Tag**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore del tag LF o principale con l'`Alter`autorizzazione per l'LF-Tag.
1. **Nel pannello di navigazione, sotto autorizzazioni, scegli LF-Tag e autorizzazioni.**
1. **Scegliete la scheda Espressioni LF-Tag.**
1. **Nella sezione **Espressioni di tag LF**, selezionate un'espressione di tag LF, quindi scegliete Modifica.**
1. Nella finestra di dialogo **Modifica espressione LF-tag**, aggiornate la descrizione e aggiorna il corpo dell'espressione aggiungendo o rimuovendo chiavi e valori.
Per aggiungere più valori, nel campo **Valori**, scegliete i valori dal menu a discesa.
1. Scegli **Save** (Salva).
------
#### [ AWS CLI ]
Il update-lf-tag-expression comando in Lake Formation consente di aggiornare un'espressione di tag LF esistente.
```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```
Ecco cosa significano i parametri del comando fornito:
+ name: il nome dell'espressione di tag denominata esistente che desideri aggiornare.
+ description — Una nuova descrizione per l'espressione.
catalog-id — L'ID del Data Catalog in cui risiede l'espressione del tag denominata.
+ expression — La nuova stringa di espressioni di tag con cui si desidera aggiornare l'espressione.
------
# Eliminazione delle espressioni dei tag LF
È possibile eliminare espressioni di tag LF che non sono più in uso. Se hai concesso le autorizzazioni ai principali sulle risorse del Data Catalog utilizzando l'espressione LF-Tag, non avranno più le autorizzazioni.
Solo gli amministratori del data lake, il creatore dell'espressione LF-Tag o un responsabile con l'`Drop`autorizzazione sull'espressione LF-Tag possono eliminare un'espressione LF-Tag. Oltre all'autorizzazione, il principale necessita anche dell'`Drop`autorizzazione `lakeformation:DeleteLFTagExpression` IAM per eliminare un'espressione LF-Tag.
È possibile eliminare un'espressione LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per eliminare un'espressione LF-Tag (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come amministratore del data lake, creatore dell'espressione LF-Tag o principale che dispone delle autorizzazioni per eliminare l'espressione.
1. **Nel pannello di navigazione, in Autorizzazioni, scegli **LF-Tag e autorizzazioni**.**
1. **Scegliete la scheda delle espressioni LF-Tag.**
1. **Nella sezione **Espressioni di tag LF**, selezionate un'espressione di tag LF, quindi scegliete Elimina.**
1. **Nell'espressione Elimina tag LF?** **nella finestra di dialogo, per confermare l'eliminazione, inserite il nome dell'espressione LF-Tag nel campo designato, quindi scegliete Elimina.**
------
#### [ AWS CLI ]
**Per eliminare un tag LF ()AWS CLI**
+ Immettete un comando`delete-lf-tag-expression`. Fornite il nome dell'espressione e l'ID del catalogo da eliminare.
**Example**
L'esempio seguente elimina l'espressione LF-Tag con il nome `my-tag-expression` dal Data Catalog with ID. `123456789012` Il `catalog-id` parametro è facoltativo se utilizzi lo stesso account della configurazione. AWS CLI Dopo aver eliminato un'espressione LF-tag, Lake Formation pulisce i record di autorizzazione associati per quell'espressione. Ciò include sia i record di autorizzazioni individuali che i record di autorizzazioni aggregati che contengono l'espressione eliminata.
```
aws lakeformation delete-lf-tag-expression \
--name "my-tag-expression" \
--catalog-id "123456789012"
```
------
# Elenco delle espressioni dei tag LF
È possibile elencare le espressioni del tag LF per le quali si dispone dei permessi Descrivi. Gli amministratori di Data Lake, i creatori di espressioni LF-Tag e gli amministratori di sola lettura possono vedere implicitamente tutte le espressioni di tag nel proprio account.
È possibile elencare le espressioni LF-Tag utilizzando la console, l' AWS Lake Formation API o (). AWS Command Line Interface AWS CLI
------
#### [ Console ]
**Per elencare le espressioni dei tag LF (console)**
1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Accedi come creatore di espressioni LF-Tag, come amministratore del data lake o come responsabile a cui sono state concesse le autorizzazioni per le espressioni LF-Tag e che dispone dell'autorizzazione IAM. `lakeformation:ListLFTagExpressions`
1. **Nel pannello di navigazione, sotto **Autorizzazioni, LF-tags e autorizzazioni**.**
1. Scegliete la **scheda Espressioni LF-Tag per vedere le espressioni**. Questa sezione mostra le informazioni sulle espressioni di tag LF esistenti, incluso il nome dell'espressione, l'espressione stessa con i collegamenti ai tag inclusi e le opzioni per creare, modificare o eliminare le espressioni.
------
#### [ AWS CLI ]
**Per elencare i tag LF ()AWS CLI**
+ Per elencare le espressioni dei tag LF usando il AWS CLI, puoi usare il comando. list-lf-tag-expressions La sintassi della richiesta è:
```
aws lakeformation list-lf-tag-expressions \
-- catalog-id "123456789012" \
-- max-items "100" \
-- next-token "next-token"
```
Dove:
+ `catalog-id`è l'ID dell' AWS account del Data Catalog per il quale desideri elencare le espressioni dei tag.
+ `max-items`specifica il numero massimo di espressioni di tag da restituire. Se questo parametro non viene utilizzato, il valore predefinito è 100.
+ `next-token`è un token di continuazione se i risultati sono stati troncati in una richiesta precedente.
La risposta includerà un elenco di espressioni di tag LF e un token successivo, se applicabile.
------