Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Che cos'è AWS Lake Formation?
Benvenuto nella Guida per AWS Lake Formation gli sviluppatori.
AWS Lake Formation ti aiuta a governare, proteggere e condividere a livello globale i dati per l'analisi e l'apprendimento automatico. Con Lake Formation, puoi gestire un controllo granulare degli accessi per i dati del tuo data lake su Amazon Simple Storage Service (Amazon S3) e i relativi metadati. AWS Glue Data Catalog
Lake Formation fornisce il proprio modello di autorizzazioni che amplia il modello di autorizzazioni IAM. Il modello di autorizzazioni Lake Formation consente un accesso granulare ai dati archiviati nei data lake e a fonti di dati esterne come data warehouse di Amazon Redshift, Amazon DynamoDB database e fonti di dati di terze parti attraverso un semplice meccanismo di concessione o revoca, proprio come un sistema di gestione di database relazionali (RDBMS). Le autorizzazioni di Lake Formation vengono applicate utilizzando controlli granulari a livello di colonna, riga e cella nei servizi di AWS analisi e apprendimento automatico, tra cui Amazon Athena, Amazon Amazon Quick Redshift Spectrum, Amazon EMR e. AWS Glue
Con la modalità di accesso ibrido di Lake Formation per AWS Glue Data Catalog (Data Catalog), puoi proteggere e accedere ai dati catalogati utilizzando sia le autorizzazioni di Lake Formation che le politiche di autorizzazione IAM per Amazon S3 e azioni. AWS Glue Con la modalità di accesso ibrida, gli amministratori dei dati possono integrare le autorizzazioni di Lake Formation in modo selettivo e incrementale, concentrandosi su un caso d'uso del data lake alla volta.
Lake Formation consente inoltre di condividere i dati internamente ed esternamente tra più AWS organizzazioni o direttamente con i responsabili IAM in un altro account Account AWS, fornendo un accesso granulare ai metadati del Data Catalog e ai dati sottostanti.
**Topics**
+ [Caratteristiche di Lake Formation](#lake-formation-features)
+ [AWS Lake Formation: Come funziona](how-it-works.md)
+ [Componenti di Lake Formation](how-it-works-components.md)
+ [Terminologia dei Lake Formation](how-it-works-terminology.md)
+ [AWS integrazioni di servizi con Lake Formation](service-integrations.md)
+ [Risorse aggiuntive per Lake Formation](additional-resources.md)
+ [Guida introduttiva a Lake Formation](#what-is-lake-formation-start)
## Caratteristiche di Lake Formation
Lake Formation ti aiuta a scomporre i silos di dati e a combinare diversi tipi di dati strutturati e non strutturati in un repository centralizzato. Innanzitutto, identifica gli archivi di dati esistenti in Amazon S3 o nei database relazionali e NoSQL e sposta i dati nel tuo data lake. Quindi scansiona, cataloga e prepara i dati per l'analisi. Successivamente, offri ai tuoi utenti un accesso self-service sicuro ai dati tramite i servizi di analisi di loro scelta.
Puoi utilizzare la console Lake Formation per creare cataloghi federati a più livelli nel Data Catalog e unificare i dati tra i data lake Amazon S3 e i data warehouse Amazon Redshift. Puoi anche integrare i dati dei tuoi database operativi come Amazon DynamoDB e fonti di dati di terze parti come Google BigQuery, MySQL, tra le altre. Il Data Catalog fornisce un archivio centralizzato di metadati che semplifica la gestione e la scoperta dei dati su sistemi diversi.
Per ulteriori informazioni, consulta [Inserire i dati nel AWS Glue Data Catalog](bring-your-data-overview.md).
**Topics**
+ [Inserimento e gestione dei dati](#features-general)
+ [Gestione della sicurezza](#Security-management)
+ [Bring your data into the Data Catalog](#data-sharing)
### Inserimento e gestione dei dati
**Importazione di dati da database già presenti AWS**
Dopo aver specificato dove si trovano i database esistenti e fornito le credenziali di accesso, Lake Formation legge i dati e i relativi metadati (schema) per comprendere il contenuto della fonte di dati. Quindi importa i dati nel nuovo data lake e registra i metadati in un catalogo centrale. Con Lake Formation, puoi importare dati da database MySQL, PostgreSQL, SQL Server, MariaDB e Oracle in esecuzione in Amazon RDS o ospitati in Amazon EC2. Sono supportati sia il caricamento di dati in blocco che quello incrementale.
**Importa dati da altre fonti esterne**
Puoi utilizzare Lake Formation per spostare i dati dai database locali connettendoti a Java Database Connectivity (JDBC). Identifica le fonti di destinazione e fornisci le credenziali di accesso nella console e Lake Formation legge e carica i tuoi dati nel data lake. Per importare dati da database diversi da quelli sopra elencati, puoi creare lavori ETL personalizzati con. AWS Glue
**Cataloga ed etichetta i tuoi dati**
Puoi usare AWS Glue i crawler per leggere i tuoi dati in Amazon S3 ed estrarre schemi di database e tabelle e archiviare tali dati in un catalogo dati ricercabile. Quindi, usa Lake Formation [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md) (TBAC) per gestire le autorizzazioni su database, tabelle e colonne. Per ulteriori informazioni sull'aggiunta di tabelle al Data Catalog, consulta. [Creazione di oggetti in AWS Glue Data Catalog](populating-catalog.md)
### Gestione della sicurezza
**Definisci e gestisci i controlli di accesso**
Lake Formation offre un unico posto per gestire i controlli di accesso per i dati nel tuo data lake. È possibile definire politiche di sicurezza che limitano l'accesso ai dati a livello di database, tabella, colonna, riga e cella. Queste policy si applicano agli utenti e ai ruoli IAM e agli utenti e ai gruppi durante la federazione tramite un provider di identità esterno. Puoi utilizzare controlli granulari per accedere ai dati protetti da Lake Formation all'interno di Amazon Redshift Spectrum, Athena, ETL AWS Glue e Amazon EMR per Apache Spark. Ogni volta che crei identità IAM, assicurati di seguire le migliori pratiche IAM. Per ulteriori informazioni, consulta le [best practice di sicurezza](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella Guida per l'utente IAM.
**Modalità di accesso ibrida**
La modalità di accesso ibrido di Lake Formation offre la flessibilità necessaria per abilitare selettivamente le autorizzazioni di Lake Formation per database e tabelle nel tuo Data Catalog. Con la modalità di accesso ibrido, ora disponi di un percorso incrementale che ti consente di impostare le autorizzazioni di Lake Formation per un set specifico di utenti senza interrompere le politiche di autorizzazione di altri utenti o carichi di lavoro esistenti. Per ulteriori informazioni, consulta [Modalità di accesso ibrida](hybrid-access-mode.md).
**Implementa la registrazione degli audit**
Lake Formation fornisce registri di controllo completi CloudTrail per monitorare l'accesso e dimostrare la conformità con le politiche definite a livello centrale. Puoi controllare la cronologia di accesso ai dati attraverso i servizi di analisi e machine learning che leggono i dati nel tuo data lake tramite Lake Formation. In questo modo puoi vedere quali utenti o ruoli hanno tentato di accedere a quali dati, con quali servizi e quando. È possibile accedere ai registri di controllo nello stesso modo in cui si accede a qualsiasi altro CloudTrail registro utilizzando la CloudTrail APIs console and. Per ulteriori informazioni sui CloudTrail log, vedere. [Registrazione delle chiamate all'API AWS Lake Formation utilizzando AWS CloudTrail](logging-using-cloudtrail.md)
**Sicurezza a livello di riga e cella**
Lake Formation fornisce filtri di dati che consentono di limitare l'accesso a una combinazione di colonne e righe. Utilizza la sicurezza a livello di riga e cella per proteggere i dati sensibili come le informazioni personali identificabili (PII). Per ulteriori informazioni sulla sicurezza a livello di riga, consulta. [Filtraggio dei dati e sicurezza a livello di cella in Lake Formation](data-filtering.md)
**Controllo degli accessi basato su tag**
Usa il [controllo degli accessi basato sugli attributi](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) di Lake Formation per gestire centinaia o addirittura migliaia di autorizzazioni per i dati creando etichette personalizzate chiamate LF-Tags. Ora puoi definire i tag LF e allegarli a database, tabelle o colonne. Quindi, condividi l'accesso controllato tra i servizi di analisi, machine learning (ML) ed estrazione, trasformazione e caricamento (ETL) per il consumo. I tag LF assicurano che la governance dei dati possa essere scalata facilmente sostituendo le definizioni delle politiche di migliaia di risorse con alcuni tag logici. Lake Formation fornisce una ricerca testuale su questi metadati, in modo che gli utenti possano trovare rapidamente i dati che devono analizzare.
**Controllo dell’accesso basato sugli attributi**
Utilizza il [controllo degli accessi basato sugli attributi per concedere l'accesso agli oggetti del](https://docs.aws.amazon.com/lake-formation/latest/dg/attribute-based-access-control.html) Data Catalog. Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. AWS chiama questi attributi tag. È possibile utilizzare ABAC per concedere l'accesso ai principali all'interno dello stesso account o di un altro account sulle risorse del Data Catalog. Qualsiasi principale IAM con chiavi e valori del tag IAM o del tag di sessione corrispondenti ottiene l'accesso alla risorsa. È necessario disporre di autorizzazioni concedibili sulle risorse per effettuare queste sovvenzioni.
**Accesso tra account**
Le funzionalità di gestione delle autorizzazioni di Lake Formation semplificano la protezione e la gestione dei data lake distribuiti su più AWS account attraverso un approccio centralizzato, fornendo un controllo granulare degli accessi al Data Catalog e alle sedi Amazon S3. Per ulteriori informazioni, consulta [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md).
### Bring your data into the Data Catalog
La funzionalità di federazione consente di creare cataloghi federati e impostare autorizzazioni su set di dati archiviati in diverse fonti di dati come Amazon Redshift senza migrare dati o metadati in Amazon S3 o. AWS Glue Data Catalog Puoi utilizzare i seguenti metodi per importare dati e gestire le autorizzazioni su set di dati esterni in Lake Formation:
Per ulteriori informazioni, consulta [Portare i dati in](https://docs.aws.amazon.com/lake-formation/latest/dg/bring-your-data-overview.html). AWS Glue Data Catalog
+ **Trasferimento dei dati nei data warehouse di Amazon Redshift in AWS Glue Data Catalog**: registra un namespace o un cluster [Amazon Redshift esistente](https://docs.aws.amazon.com/redshift/index.html) con Data Catalog e crea un catalogo federato a più livelli nel Data Catalog.
Puoi accedere ai tuoi dati utilizzando qualsiasi motore di query compatibile con le specifiche OpenAPI del catalogo REST di Apache Iceberg, come Amazon EMR Serverless e Amazon Athena.
Per ulteriori informazioni, consulta [Inserimento dei dati di Amazon Redshift nel AWS Glue Data Catalog](managing-namespaces-datacatalog.md).
+ **Federazione nel Data Catalog da fonti di dati esterne**: collega il Data Catalog a fonti di dati esterne utilizzando AWS Glue connessioni e crea cataloghi federati per gestire centralmente le autorizzazioni di accesso sui set di dati utilizzando Lake Formation. Non è necessaria alcuna migrazione dei metadati nel Data Catalog.
Per ulteriori informazioni, consulta [Federazione in fonti di dati esterne in AWS Glue Data Catalog](federated-catalog-data-connection.md).
+ **Integrazione di Amazon S3 Table Bucket con Data** Catalog: puoi pubblicare e catalogare le tabelle Amazon S3 come oggetti Data Catalog e registrare il catalogo come posizione dati di Lake Formation dalla console di Lake Formation o utilizzando. AWS Glue APIs
Per ulteriori informazioni, consulta [Integrazione di Amazon S3 Tables con e AWS Glue Data Catalog AWS Lake Formation](create-s3-tables-catalog.md).
+ **Crea cataloghi per gestire le tabelle Amazon Redshift nel Data** Catalog: potresti non avere un cluster di produttori Amazon Redshift o un datashare Amazon Redshift disponibile oggi, ma desideri creare e gestire tabelle Amazon Redshift utilizzando Data Catalog. Puoi iniziare creando un catalogo AWS Glue gestito utilizzando l'`glue:CreateCatalog`API o la AWS Lake Formation console impostando il tipo di catalogo come `Managed` e `Catalog source` come **Redshift**.
Per ulteriori informazioni, consulta [Creazione di un catalogo gestito di Amazon Redshift nel AWS Glue Data Catalog](create-rms-catalog.md).
+ **Integrazione di Lake Formation con la condivisione dei dati di Amazon Redshift**: utilizza Lake Formation per gestire centralmente le autorizzazioni di accesso a livello di database, tabelle, colonne e righe delle condivisioni di dati [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) e limitare l'accesso degli utenti agli oggetti all'interno di un datashare.
+ **Connessione di Data Catalog a metastore esterni:** connettiti AWS Glue Data Catalog a metastore esterni per gestire le autorizzazioni di accesso ai set di dati in Amazon S3 utilizzando Lake Formation. Non è necessaria alcuna migrazione dei metadati nel Data Catalog.
Per ulteriori informazioni, consulta [Gestione delle autorizzazioni sui set di dati che utilizzano metastore esterni](data-sharing-hms.md).
+ **Integrazione di Lake Formation con AWS Data Exchange** — Lake Formation supporta la concessione di licenze di accesso ai dati tramite. AWS Data Exchange Se sei interessato a concedere in licenza i tuoi dati di Lake Formation, consulta [Cosa c'è AWS Data Exchange](https://docs.aws.amazon.com/data-exchange/latest/userguide/what-is.html) nella *Guida per l'AWS Data Exchange utente*.
# AWS Lake Formation: Come funziona
AWS Lake Formation fornisce un modello di autorizzazioni del sistema di gestione dei database relazionali (RDBMS) per concedere o revocare l'accesso alle risorse del Data Catalog come database, tabelle e colonne con dati sottostanti in Amazon S3. Le autorizzazioni Lake Formation, facili da gestire, sostituiscono le complesse policy dei bucket di Amazon S3 e le corrispondenti policy IAM.
In Lake Formation, puoi implementare le autorizzazioni su due livelli:
+ Applicazione delle autorizzazioni a livello di metadati sulle risorse del Data Catalog come database e tabelle
+ Gestione delle autorizzazioni di accesso allo storage sui dati sottostanti archiviati in Amazon S3 per conto di motori integrati
## Flusso di lavoro per la gestione delle autorizzazioni di Lake Formation
Lake Formation si integra con i motori analitici per interrogare gli archivi di dati e gli oggetti di metadati di Amazon S3 registrati con Lake Formation. Il diagramma seguente illustra come funziona la gestione delle autorizzazioni in Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/lf-workflow.png)
**Fasi di alto livello per la gestione dei permessi di Lake Formation**
Prima che Lake Formation possa fornire controlli di accesso per i dati nel tuo data lake, un [*amministratore del data lake*](initial-lf-config.md#create-data-lake-admin) o un utente con autorizzazioni amministrative imposta le politiche utente delle singole tabelle Data Catalog per consentire o negare l'accesso alle tabelle Data Catalog utilizzando le autorizzazioni di Lake Formation.
Quindi, l'amministratore del data lake o un utente delegato dall'amministratore concede le autorizzazioni di Lake Formation agli utenti sui database e sulle tabelle di Data Catalog e registra la posizione Amazon S3 della tabella con Lake Formation.
1. **Ottieni metadati**: un principale (utente) invia una query o uno script ETL a un [motore di analisi integrato](working-with-services.md) come Amazon Athena, Amazon EMR o AWS Glue Amazon Redshift Spectrum. Il motore analitico integrato identifica la tabella richiesta e invia una richiesta di metadati al Data Catalog.
1. **Controlla le autorizzazioni**: il Data Catalog controlla le autorizzazioni dell'utente con Lake Formation e, se l'utente è autorizzato ad accedere alla tabella, restituisce al motore i metadati che l'utente può vedere.
1. **Ottieni credenziali**: il Data Catalog consente al motore di sapere se la tabella è gestita da Lake Formation o meno. Se i dati sottostanti sono registrati con Lake Formation, il motore analitico richiede a Lake Formation di fornire l'accesso ai dati concedendo un accesso temporaneo.
1. **Ottieni dati**: se l'utente è autorizzato ad accedere alla tabella, Lake Formation fornisce l'accesso temporaneo al motore analitico integrato. Utilizzando l'accesso temporaneo, il motore analitico recupera i dati da Amazon S3 ed esegue i filtri necessari come il filtraggio di colonne, righe o celle. Quando il motore termina l'esecuzione del lavoro, restituisce i risultati all'utente. Questo processo è chiamato [vendita di credenziali](using-cred-vending.md).
Se la tabella non è gestita da Lake Formation, la seconda chiamata dal motore di analisi viene effettuata direttamente ad Amazon S3. La policy del bucket Amazon S3 interessata e la politica utente IAM vengono valutate per l'accesso ai dati.
Ogni volta che si utilizzano le policy IAM, assicurati di seguire le best practice IAM. Per ulteriori informazioni, consulta [Best Practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Flusso di lavoro per la gestione delle autorizzazioni di Lake Formation](#lf-workflow)
+ [Autorizzazioni per i metadati](metadata-permissions.md)
+ [Gestione degli accessi allo storage](storage-permissions.md)
+ [Condivisione dei dati tra account in Lake Formation](cross-data-sharing-lf.md)
# Autorizzazioni per i metadati
Lake Formation fornisce l'autorizzazione e il controllo degli accessi per il Data Catalog. Quando un ruolo IAM effettua una chiamata all'API Data Catalog da qualsiasi sistema, Data Catalog verifica le autorizzazioni relative ai dati dell'utente e restituisce solo i metadati a cui l'utente dispone delle autorizzazioni di accesso. Ad esempio, se un ruolo IAM ha accesso a una sola tabella all'interno di un database e un servizio o un utente che assume il ruolo esegue l'`GetTables`operazione, la risposta conterrà solo una tabella, indipendentemente dal numero di tabelle nel database.
**Impostazioni predefinite: autorizzazioni `IAMAllowedPrincipal` di gruppo**
AWS Lake Formation, per impostazione predefinita, imposta le autorizzazioni per tutti i database e le tabelle su un gruppo virtuale denominato. `IAMAllowedPrincipal` Questo gruppo è unico e visibile solo all'interno di Lake Formation. Il `IAMAllowedPrincipal` gruppo include tutti i responsabili IAM che hanno accesso alle risorse di Data Catalog tramite le politiche principali e le politiche AWS Glue delle risorse IAM. Se queste autorizzazioni esistono su un database o una tabella, a tutti i principali verrà concesso l'accesso al database o alla tabella.
Se desideri fornire autorizzazioni più granulari su un database o una tabella, rimuovi `IAMAllowedPrincipal` l'autorizzazione e Lake Formation applica tutte le altre politiche associate a quel database o tabella. Ad esempio, se esiste una politica che consente all'utente A di accedere al database A con `DESCRIBE` le autorizzazioni ed `IAMAllowedPrincipal` esiste con tutte le autorizzazioni, l'utente A continuerà a eseguire tutte le altre azioni, fino alla revoca dell'autorizzazione. `IAMAllowedPrincipal`
Inoltre, per impostazione predefinita, il `IAMAllowedPrincipal` gruppo dispone delle autorizzazioni su tutti i nuovi database e tabelle al momento della creazione. Esistono due configurazioni che controllano questo comportamento. La prima è a livello di account e regione, il che consente questa operazione per i database appena creati, mentre la seconda è a livello di database. Per modificare l'impostazione predefinita, vedere. [Modifica il modello di autorizzazione predefinito o utilizza la modalità di accesso ibrida](initial-lf-config.md#setup-change-cat-settings)
## Concessione di autorizzazioni
Gli amministratori di Data Lake possono concedere le autorizzazioni di Data Catalog ai responsabili in modo che i responsabili possano creare e gestire database e tabelle e possano accedere ai dati sottostanti.
**Autorizzazioni a livello di database e tabella**
Quando concedi le autorizzazioni all'interno di Lake Formation, il concedente deve specificare il principale a cui concedere le autorizzazioni, le risorse a cui concedere le autorizzazioni e le azioni che il beneficiario deve avere accesso a eseguire. Per la maggior parte delle risorse all'interno di Lake Formation, l'elenco principale e le risorse per concedere le autorizzazioni sono simili, ma le azioni che un beneficiario può eseguire variano in base al tipo di risorsa. Ad esempio, `SELECT` le autorizzazioni sono disponibili per le tabelle per leggere le tabelle, ma le `SELECT` autorizzazioni non sono consentite per i database. L'`CREATE_TABLE`autorizzazione è consentita sui database, ma non sulle tabelle.
È possibile concedere AWS Lake Formation le autorizzazioni utilizzando due metodi:
+ [Metodo di risorsa denominato](granting-cat-perms-named-resource.md): consente di scegliere i nomi di database e tabelle concedendo le autorizzazioni agli utenti.
+ [Controllo degli accessi basato su tag LF (LF-TBAC)](granting-catalog-perms-TBAC.md): gli utenti creano tag LF, li associano alle risorse del catalogo dati, concedono l'`Describe`autorizzazione sui tag LF, associano le autorizzazioni ai singoli utenti e scrivono politiche di autorizzazione LF utilizzando i tag LF a diversi utenti. Tali LF-Tag-based politiche si applicano a tutte le risorse del Data Catalog associate a tali valori LF-Tag.
**Nota**
I tag LF sono esclusivi di Lake Formation. Sono visibili solo in Lake Formation e non devono essere confusi con i tag AWS delle risorse.
LF-TBAC è una funzionalità che consente agli utenti di raggruppare le risorse in categorie di tag LF definite dall'utente e di applicare le autorizzazioni a tali gruppi di risorse. Pertanto, è il modo migliore per scalare le autorizzazioni su un numero enorme di risorse del Data Catalog.
Per ulteriori informazioni, consulta [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md).
Quando concedi le autorizzazioni a un responsabile, Lake Formation valuta le autorizzazioni come un'unione di tutte le politiche per quell'utente. Ad esempio, se si dispone di due criteri in una tabella per un principale in cui un criterio concede le autorizzazioni alle colonne col1, col2 e col3 tramite il metodo di risorsa denominato e l'altro criterio concede le autorizzazioni alla stessa tabella e principale a col5 e col6 tramite LF-tags, le autorizzazioni effettive saranno un'unione delle autorizzazioni che sarebbero col1, col2, col3, col5 e col6. Ciò include anche filtri e righe di dati.
**Autorizzazioni per la localizzazione dei dati**
Le autorizzazioni di localizzazione dei dati offrono agli utenti non amministrativi la possibilità di creare database e tabelle in posizioni Amazon S3 specifiche. Se un utente tenta di creare un database o una tabella in una posizione per cui non dispone delle autorizzazioni necessarie, l'operazione di creazione ha esito negativo. Questo serve a impedire agli utenti di creare tabelle in posizioni arbitrarie all'interno del data lake e consente di controllare dove tali utenti possono leggere e scrivere i dati. Esiste un'autorizzazione implicita durante la creazione di tabelle nella posizione Amazon S3 all'interno del database in cui viene creata. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md).
**Crea autorizzazioni per tabelle e database**
Per impostazione predefinita, gli utenti non amministrativi non dispongono delle autorizzazioni per creare database o tabelle all'interno di un database. La creazione del database è controllata a livello di account utilizzando le impostazioni di Lake Formation in modo che solo i responsabili autorizzati possano creare database. Per ulteriori informazioni, consulta [Creazione di un database](creating-database.md). Per creare una tabella, un principale richiede l'`CREATE_TABLE`autorizzazione sul database in cui viene creata la tabella. Per ulteriori informazioni, consulta [Creazione di tabelleAWS Glue Data Catalog Viste dell'edificio](creating-tables.md).
**Autorizzazioni implicite ed esplicite**
Lake Formation fornisce autorizzazioni implicite a seconda della persona e delle azioni che la persona compie. Ad esempio, gli amministratori del data lake ottengono automaticamente le `DESCRIBE` autorizzazioni per tutte le risorse all'interno del Data Catalog, le autorizzazioni per la localizzazione dei dati per tutte le posizioni, le autorizzazioni per creare database e tabelle in tutte le posizioni e le autorizzazioni per qualsiasi risorsa. `Grant` `Revoke` I creatori di database ottengono automaticamente tutte le autorizzazioni di database sui database che creano e i creatori di tabelle ottengono tutte le autorizzazioni sulle tabelle che creano. Per ulteriori informazioni, consulta [Autorizzazioni implicite di Lake Formation](implicit-permissions.md).
**Autorizzazioni concedibili**
Gli amministratori di Data Lake hanno la possibilità di delegare la gestione delle autorizzazioni a utenti non amministrativi fornendo autorizzazioni concedibili. Quando a un committente vengono concesse autorizzazioni su una risorsa e un insieme di autorizzazioni, tale principale ottiene la capacità di concedere le autorizzazioni ad altri responsabili su quella risorsa.
# Gestione degli accessi allo storage
Lake Formation utilizza la funzionalità di [vendita di credenziali](using-cred-vending.md) per fornire un accesso temporaneo ai dati di Amazon S3. La vendita di credenziali, o vendita di token, è uno schema comune che fornisce credenziali temporanee a utenti, servizi o altre entità allo scopo di concedere l'accesso a breve termine a una risorsa.
Lake Formation sfrutta questo modello per fornire un accesso a breve termine a servizi di AWS analisi come Athena per accedere ai dati per conto del committente chiamante. Quando concedono le autorizzazioni, gli utenti non devono aggiornare le policy dei bucket Amazon S3 o le policy IAM e non hanno bisogno dell'accesso diretto ad Amazon S3.
Il diagramma seguente mostra come Lake Formation fornisce l'accesso temporaneo alle località registrate:
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Un principale (utente) inserisce una query o una richiesta di dati per una tabella tramite un servizio integrato affidabile come Athena, Amazon EMR, Redshift Spectrum o. AWS Glue
1. Il servizio integrato verifica l'autorizzazione di Lake Formation per la tabella e le colonne richieste e determina l'autorizzazione. Se l'utente non è autorizzato, Lake Formation nega l'accesso ai dati e la query ha esito negativo.
1. Una volta completata l'autorizzazione e attivata l'autorizzazione all'archiviazione per la tabella e l'utente, il servizio integrato recupera le credenziali temporanee da Lake Formation per accedere ai dati.
1. Il servizio integrato utilizza le credenziali temporanee di Lake Formation per richiedere oggetti da Amazon S3.
1. Amazon S3 fornisce gli oggetti Amazon S3 al servizio integrato. Gli oggetti Amazon S3 contengono tutti i dati della tabella.
1. Il servizio integrato esegue la necessaria applicazione delle politiche di Lake Formation, come il filtraggio a livello di colonna, a livello di riga e/o a livello di cella. Il servizio integrato elabora le richieste e restituisce i risultati all'utente.
**Abilita l'applicazione delle autorizzazioni a livello di storage per le tabelle del Data Catalog**
Per impostazione predefinita, l'applicazione a livello di storage non è abilitata per le tabelle all'interno del Data Catalog. Per abilitare l'applicazione a livello di storage, devi registrare la posizione Amazon S3 dei tuoi dati di origine con Lake Formation e fornire un ruolo IAM. Le autorizzazioni a livello di storage verranno abilitate per tutte le tabelle con lo stesso percorso di posizione della tabella o lo stesso prefisso della posizione Amazon S3.
Quando un servizio integrato richiede l'accesso alla posizione dei dati per conto di un utente, il servizio Lake Formation assume questo ruolo e restituisce le credenziali al servizio richiesto con autorizzazioni limitate alla risorsa in modo che sia possibile effettuare l'accesso ai dati. Il ruolo IAM registrato deve disporre di tutti gli accessi necessari alla posizione Amazon S3, comprese AWS KMS le chiavi.
Per ulteriori informazioni, consulta [Registrazione di una sede Amazon S3](register-location.md).
**Servizi supportati AWS**
AWS servizi di analisi come Athena, Redshift Spectrum, Amazon AWS Glue EMR e Amazon SageMaker AI integrazione con AWS Lake Formation utilizzando le Amazon Quick operazioni API di vendita delle credenziali di Lake Formation. Per un elenco completo dei AWS servizi che si integrano con Lake Formation e il livello di granularità e i formati di tabella che supportano, consulta. [Collaborazione con altri AWS servizi](working-with-services.md)
# Condivisione dei dati tra account in Lake Formation
Con Lake Formation, puoi condividere le risorse del Data Catalog (database e tabelle) all'interno di un AWS account e tra account con una semplice configurazione utilizzando il metodo della risorsa denominata o i tag LF. Puoi condividere un intero database o selezionare tabelle da un database con qualsiasi principale IAM (ruoli e utenti IAM) in un account, con altri account a livello di AWS account o direttamente con i principali IAM in un altro account.
Puoi anche condividere le tabelle del Data Catalog con filtri di dati per limitare l'accesso ai dettagli a livello di riga e cella. Lake Formation utilizza AWS Resource Access Manager (AWS RAM) per facilitare la concessione di autorizzazioni tra account. Quando una risorsa viene condivisa tra due account, AWS RAM invia gli inviti all'account del destinatario. Quando un utente accetta un invito alla AWS RAM condivisione, AWS RAM fornisce le autorizzazioni necessarie a Lake Formation per avere a disposizione le risorse del Data Catalog e abilitare l'applicazione a livello di storage. Per ulteriori informazioni, consulta [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md).
Quando l'amministratore del data lake dell'account del destinatario accetta la AWS RAM condivisione, le risorse condivise sono disponibili nell'account del destinatario. L'amministratore del data lake concede ulteriori autorizzazioni Lake Formation sulla risorsa condivisa ai principali IAM aggiuntivi nell'account del destinatario, se l'amministratore dispone delle `GRANTABLE` autorizzazioni sulla risorsa condivisa.
Tuttavia, i responsabili non possono interrogare le risorse condivise utilizzando Athena o Redshift Spectrum senza un collegamento alla risorsa. Un collegamento a una risorsa è un'entità nel Data Catalog ed è simile a un concetto Linux-Symlink.
L'amministratore del data lake dell'account del destinatario crea un link alla risorsa condivisa. L'amministratore concede `Describe` le autorizzazioni sul collegamento alla risorsa con le autorizzazioni richieste sulla risorsa condivisa originale ad altri utenti. Un utente nell'account destinatario può quindi utilizzare il collegamento alla risorsa per interrogare la risorsa condivisa utilizzando Athena e Redshift Spectrum. Per ulteriori informazioni sui collegamenti alle risorse, consulta. [Creazione di collegamenti alle risorse](creating-resource-links.md)
# Componenti di Lake Formation
AWS Lake Formation si basa sull'interazione di diversi componenti per creare e gestire il tuo data lake.
## Console Lake Formation
Utilizzi la console Lake Formation per definire e gestire il tuo data lake e concedere e revocare le autorizzazioni di Lake Formation. Puoi utilizzare i blueprint sulla console per scoprire, pulire, trasformare e inserire dati. Puoi anche abilitare o disabilitare l'accesso alla console per i singoli utenti di Lake Formation.
## API e interfaccia a riga di comando di Lake Formation
Lake Formation fornisce operazioni API tramite diversi linguaggi specifici SDKs e il AWS Command Line Interface ().AWS CLI L'API Lake Formation funziona in combinazione con AWS Glue API. L'API Lake Formation si concentra principalmente sulla gestione delle autorizzazioni di Lake Formation, mentre AWS Glue L'API fornisce un'API di catalogo dati e un'infrastruttura gestita per la definizione, la pianificazione e l'esecuzione di operazioni ETL sui dati.
Per informazioni su AWS Glue API, consulta la [Guida per AWS Glue gli sviluppatori](https://docs.aws.amazon.com/glue/latest/dg/). Per informazioni sull'utilizzo di AWS CLI, consulta il [AWS CLI Command Reference](https://docs.aws.amazon.com/cli/latest/reference/).
## Altri AWS servizi
Lake Formation utilizza i seguenti servizi:
+ [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/)per orchestrare job e crawler per trasformare i dati utilizzando AWS Glue trasforma.
+ [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/) concederà politiche di autorizzazione ai dirigenti di Lake Formation. Il modello di autorizzazione Lake Formation amplia il modello di autorizzazione IAM per proteggere il tuo data lake.
# Terminologia dei Lake Formation
Di seguito sono riportati alcuni termini importanti che incontrerai in questa guida.
## Lago di dati
Il *data lake* è costituito dai tuoi dati persistenti archiviati in Amazon S3 e gestiti da Lake Formation utilizzando un Data Catalog. Un data lake in genere archivia quanto segue:
+ Dati strutturati e non strutturati
+ Dati grezzi e dati trasformati
Affinché un percorso Amazon S3 si trovi all'interno di un data lake, deve essere *registrato presso* Lake Formation.
## Accesso ai dati
Lake Formation fornisce un accesso sicuro e granulare ai dati attraverso un nuovo modello di autorizzazioni di concessione/revoca che aumenta le politiche (IAM). AWS Identity and Access Management
Analisti e data scientist possono utilizzare l'intero portafoglio di servizi di AWS analisi e apprendimento automatico, come Amazon Athena, per accedere ai dati. Le politiche di sicurezza configurate di Lake Formation aiutano a garantire che gli utenti possano accedere solo ai dati a cui sono autorizzati ad accedere.
## Modalità di accesso ibrida
La modalità di accesso ibrida consente di proteggere e accedere ai dati catalogati utilizzando sia le autorizzazioni Lake Formation che le autorizzazioni IAM e Amazon S3. La modalità di accesso ibrido consente agli amministratori dei dati di integrare le autorizzazioni di Lake Formation in modo selettivo e incrementale, concentrandosi su un caso d'uso del data lake alla volta.
## Piano
Un *blueprint* è un modello di gestione dei dati che consente di inserire facilmente i dati in un data lake. Lake Formation fornisce diversi modelli, ciascuno per un tipo di sorgente predefinito, come un database relazionale o dei log. AWS CloudTrail Da un blueprint, puoi creare un flusso di lavoro. I flussi di lavoro sono costituiti da AWS Glue crawler, job e trigger generati per orchestrare il caricamento e l'aggiornamento dei dati. I blueprint utilizzano l'origine dei dati, la destinazione dei dati e la pianificazione come input per configurare il flusso di lavoro.
## Flusso di lavoro
Un *flusso di lavoro* è un contenitore per un insieme di elementi correlati AWS Glue lavori, crawler e trigger. Il flusso di lavoro viene creato in Lake Formation e viene eseguito in AWS Glue servizio. Lake Formation è in grado di tracciare lo stato di un flusso di lavoro come singola entità.
Quando si definisce un flusso di lavoro, si seleziona il progetto su cui si basa. È quindi possibile eseguire flussi di lavoro su richiesta o in base a una pianificazione.
I flussi di lavoro creati in Lake Formation sono visibili nel AWS Glue console come grafo aciclico diretto (DAG). Utilizzando il DAG, è possibile tenere traccia dell'avanzamento del flusso di lavoro ed eseguire la risoluzione dei problemi.
## Catalogo dati
Il *Data Catalog* è il tuo archivio di metadati persistente. È un servizio gestito che ti consente di archiviare, annotare e condividere i metadati nel AWS cloud nello stesso modo in cui faresti in un metastore Apache Hive. Fornisce un repository uniforme in cui diversi sistemi possono archiviare e trovare metadati per tenere traccia dei dati in silos di dati e quindi utilizzare tali metadati per interrogare e trasformare i dati. Lake Formation utilizza il AWS Glue Data Catalog per archiviare metadati su data lake, fonti di dati, trasformazioni e destinazioni.
I metadati sulle fonti di dati e sulle destinazioni sono sotto forma di database e tabelle. Le tabelle memorizzano informazioni sullo schema, informazioni sulla posizione e altro ancora. I database sono raccolte di tabelle. Lake Formation fornisce una gerarchia di autorizzazioni per controllare l'accesso ai database e alle tabelle nel Data Catalog.
Ogni AWS account dispone di un catalogo dati per regione. AWS
## Dati sottostanti
*I dati sottostanti* si riferiscono ai dati di origine o ai dati all'interno dei data lake a cui fanno riferimento le tabelle del Data Catalog.
## Principale
Un *principale* è un utente o un ruolo AWS Identity and Access Management (IAM) o un utente di Active Directory.
## Amministratore del data lake
Un *amministratore del data lake* è un responsabile che può concedere a qualsiasi principale (incluso se stesso) qualsiasi autorizzazione su qualsiasi risorsa o posizione dei dati del Data Catalog. Designare un amministratore del data lake come primo utente del Data Catalog. Questo utente può quindi concedere autorizzazioni più granulari sulle risorse ad altri responsabili.
**Nota**
Gli utenti amministrativi IAM, ovvero gli utenti con la policy `AdministratorAccess` AWS gestita, non sono automaticamente amministratori di data lake. Ad esempio, non possono concedere le autorizzazioni di Lake Formation sugli oggetti del catalogo a meno che non abbiano ottenuto le autorizzazioni per farlo. Tuttavia, possono utilizzare la console o l'API di Lake Formation per designarsi amministratori di data lake.
Per informazioni sulle funzionalità di un amministratore di data lake, consulta. [Autorizzazioni implicite di Lake Formation](implicit-permissions.md) Per informazioni sulla designazione di un utente come amministratore del data lake, consulta[Crea un amministratore del data lake](initial-lf-config.md#create-data-lake-admin).
# AWS integrazioni di servizi con Lake Formation
Puoi utilizzare Lake Formation per gestire le autorizzazioni di accesso a livello di database, tabelle e colonne sui dati archiviati in Amazon S3. Dopo aver registrato i dati con Lake Formation, puoi utilizzare servizi di AWS analisi come Amazon Athena AWS Glue, Amazon Redshift Spectrum, Amazon EMR per interrogare i dati. I seguenti AWS servizi si integrano AWS Lake Formation e rispettano le autorizzazioni di Lake Formation.
| AWS Servizio | Dettagli integrazione |
| --- | --- |
| [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/) | Argomento di riferimento: [AWS Lake Formation Utilizzo con AWS Glue](glue-features-lf.md) AWS Gluee Lake Formation condividono lo stesso Data Catalog. Per le operazioni della console (come la visualizzazione di un elenco di tabelle) e tutte le operazioni API, AWS Glue gli utenti possono accedere solo ai database e alle tabelle su cui dispongono delle autorizzazioni Lake Formation. |
| [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/) | Argomento di riferimento: [Utilizzo AWS Lake Formation con Amazon Athena](athena-lf.md) Usa Lake Formation per consentire o negare le autorizzazioni alla lettura dei dati in Amazon S3. Quando Amazon Athena gli utenti selezionano il AWS Glue catalogo nell'editor di query, possono interrogare solo i database, le tabelle e le colonne su cui dispongono delle autorizzazioni Lake Formation. Le query che utilizzano i manifesti non sono supportate. Attualmente, Lake Formation non supporta la gestione delle autorizzazioni su operazioni di scrittura come `VACUUM` `UPDATE` e `OPTIMIZE` sulle tabelle in Open Table Formats. `MERGE` Oltre ai principali che si autenticano con Athena tramite AWS Identity and Access Management (IAM), Lake Formation supporta gli utenti Athena che si connettono tramite il driver JDBC o ODBC e si autenticano tramite SAML. I provider SAML supportati includono Okta e Microsoft Active Directory Federation Service (ADFS). |
| [Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) | Argomento di riferimento: [Utilizzo AWS Lake Formation con Amazon Redshift Spectrum](RSPC-lf.md) Quando gli utenti di Amazon Redshift creano uno schema esterno su un database in AWS Glue Data Catalog, possono interrogare solo le tabelle e le colonne dello schema su cui dispongono delle autorizzazioni Lake Formation. |
| [Edizione Amazon Quick Enterprise](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html) | Riferimento: [Utilizzo con Quick AWS Lake Formation](qs-integ-lf.md) Quando un utente di Amazon Quick Enterprise Edition esegue una query su un set di dati in una posizione Amazon S3, deve disporre dell'autorizzazione Lake `SELECT` Formation sui dati. |
| [Amazon EMR](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/) | Riferimento: [Utilizzo AWS Lake Formation con Amazon EMR](emr-integ-lf.md) Puoi integrare le autorizzazioni di Lake Formation quando crei un cluster Amazon EMR con un ruolo di runtime. Un ruolo di runtime è un ruolo IAM che associ ai job o alle query di Amazon EMR, quindi Amazon EMR utilizza questo ruolo per accedere alle risorse. AWS |
Lake Formation collabora anche con [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) per consentirti di configurare più facilmente questi servizi integrati per crittografare e decrittografare i dati nelle sedi Amazon Simple Storage Service (Amazon S3).
# Risorse aggiuntive per Lake Formation
Per ulteriori informazioni in merito AWS Lake Formation, ti consigliamo di continuare ad approfondire i concetti introdotti in questa guida utilizzando le seguenti risorse:
**Topics**
+ [Blog](#lf-blogs)
+ [Conferenze tecniche e webinar](#talks-webinars)
+ [Architettura moderna](#modern-day-architecture)
+ [Risorse Data Mesh](#data-mesh-resources)
+ [Guide alle migliori pratiche](#best-practice-lf)
## Blog
+ [AWS Lake Formation Riepilogo dell'anno 2022](https://aws.amazon.com/blogs/big-data/aws-lake-formation-2022-year-in-review/)
+ [Architettura di dati moderna multiregionale altamente resiliente](https://aws.amazon.com/blogs/big-data/build-a-multi-region-and-highly-resilient-modern-data-architecture-using-aws-glue-and-aws-lake-formation/)
+ [Condivisione tra account utilizzando i tag LF per indirizzare i principali IAM](https://aws.amazon.com/blogs/big-data/enable-cross-account-sharing-with-direct-iam-principals-using-aws-lake-formation-tags/)
+ [Dashboard dell'inventario delle autorizzazioni di Lake Formation](https://aws.amazon.com/blogs/big-data/build-an-aws-lake-formation-permissions-inventory-dashboard-using-aws-glue-and-amazon-quicksight/)
+ [Mesh di dati basata sugli eventi](https://aws.amazon.com/blogs/big-data/use-an-event-driven-architecture-to-build-a-data-mesh-on-aws/)
## Conferenze tecniche e webinar
+ re:Invent 2020 — [Data lake: crea, proteggi e condividi facilmente con AWS Lake Formation](https://www.youtube.com/watch?v=r5F0hvuq9kY)
+ re:Invent 2022 — [Creazione e gestione di un datalake](https://www.youtube.com/watch?v=YCNVdK5kPWk) su Amazon S3
+ AWS [Summit SF 2022 — Comprensione e realizzazione di un'architettura di dati moderna](https://www.youtube.com/watch?v=rWQQDcqgcdw)
+ AWS Summit ATL 2022: [data lake moderni con AWS Lake Formation Amazon Redshift](https://www.youtube.com/watch?v=7H15CYpJRRI) e AWS Glue
+ AWS Summit ANZ 2022 — [Data lake, lake house e data mesh: cosa, perché](https://www.youtube.com/watch?v=3354wJV3X58) e come?
+ AWS Online Tech Talks: [semplificazione delle autorizzazioni e della governance nel tuo data lake](https://www.youtube.com/watch?v=OybeggHYfRI)
## Architettura moderna
+ [Modelli architettonici moderni](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/modern-data-architecture.html)
## Risorse Data Mesh
+ [Crea un'architettura di dati moderna e un pattern di data mesh su larga scala utilizzando il controllo degli accessi AWS Lake Formation basato su tag](https://aws.amazon.com/blogs/big-data/build-a-modern-data-architecture-and-data-mesh-pattern-at-scale-using-aws-lake-formation-tag-based-access-control/)
+ [In che modo JPMorgan Chase ha creato un'architettura data mesh per generare valore significativo e migliorare la propria piattaforma dati aziendale](https://aws.amazon.com/blogs/big-data/how-jpmorgan-chase-built-a-data-mesh-architecture-to-drive-significant-value-to-enhance-their-enterprise-data-platform/)
+ [Crea una rete di dati su AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/23e6326b-58ee-4ab0-9bc7-3c8d730eb851/en-US)
## Guide alle migliori pratiche
+ [AWS Lake Formation guide alle migliori pratiche](https://aws.github.io/aws-lakeformation-best-practices/)
## Guida introduttiva a Lake Formation
Ti consigliamo di iniziare con le sezioni seguenti:
+ [AWS Lake Formation: Come funziona](how-it-works.md)— Scopri la terminologia essenziale e il modo in cui i vari componenti interagiscono.
+ [Guida introduttiva a Lake Formation](getting-started-setup.md)— Ottieni informazioni sui prerequisiti e completa importanti attività di configurazione.
+ [AWS Lake Formation tutorial](getting-started-tutorials.md)— Segui step-by-step i tutorial per imparare a usare Lake Formation.
+ [Sicurezza a AWS Lake Formation](security.md)— Scopri come puoi contribuire a proteggere l'accesso ai dati in Lake Formation.