

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceder permissões de dados usando o método de recurso nomeado
<a name="granting-cat-perms-named-resource"></a>

O método de recurso nomeado do Data Catalog é uma forma de conceder permissões a objetos do AWS Glue Data Catalog , como catálogos, bancos de dados, tabelas, colunas e visualizações, usando uma abordagem centralizada. Ele permite que você defina políticas baseadas em recursos que controlam o acesso a recursos específicos no data lake.

Ao usar o método de recurso nomeado para conceder permissões, você pode especificar o tipo de recurso e as permissões que deseja conceder ou revogar para esse recurso. Você também pode revogar a permissão posteriormente, se necessário, removendo, assim, as permissões dos recursos associados. 

Você pode conceder permissões usando o AWS Lake Formation console ou o AWS Command Line Interface (AWS CLI). APIs

**Topics**
+ [Conceder permissões do catálogo usando o método de recurso nomeado](granting-multi-catalog-permissions.md)
+ [Conceder permissões de banco de dados usando o método de recurso nomeado](granting-database-permissions.md)
+ [Conceder permissões de tabela usando o método de recurso nomeado](granting-table-permissions.md)
+ [Conceder permissões em visualizações usando o método de recurso nomeado](granting-view-permissions.md)

# Conceder permissões do catálogo usando o método de recurso nomeado
<a name="granting-multi-catalog-permissions"></a>

As etapas a seguir explicam como conceder permissões de catálogo usando o método de recurso nomeado.

------
#### [ Console ]

Use a página **Conceder permissões** no console do Lake Formation. A página está dividida nas seguintes seções:
+ **Tipo de entidade principal**: você pode conceder permissões a entidades principais específicas ou usar tags de atributo.
  +  **Entidades principais**: usuários e perfis do IAM, usuários e grupos do Centro de Identidade do IAM, usuários e grupos do SAML, contas da AWS , organizações ou unidades organizacionais aos quais conceder permissões.

    **Principal por atributos** — Adicione pares de chave-valor de tag IAMroles ou tags de sessão do IAM. As entidades principais com atributos correspondentes recebem acesso ao recurso especificado. 
  +  **Tags LF ou recursos do catálogo**: os catálogos, bancos de dados, tabelas, visualizações ou links de recursos nos quais conceder permissões.
  +  **Permissões** – As permissões do Lake Formation devem ser concedidas.

**nota**  
Para conceder permissões em um link de recurso de banco de dados, consulte [Como conceder permissões de links de recursos](granting-link-permissions.md).

1. Abra a página **Conceder permissões**.

   Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e faça login como administrador do data lake, criador do catálogo ou usuário do IAM com **permissões concedidas** no catálogo.

   Execute um destes procedimentos:
   + No painel de navegação, em **Permissões**, escolha **Permissões de dados**. Em seguida, escolha **Conceder**.
   + No painel de navegação, escolha **Catálogos**, em **Data Catalog**. Depois, na página **Catálogos**, selecione um catálogo e, no menu **Ações**, em **Permissões**, escolha **Conceder**.
**nota**  
É possível conceder permissões em um catálogo por meio do link do recurso. Para fazer isso, na página **Catálogos**, escolha um contêiner de links de catálogo e no menu **Ações**, escolha **Conceder no destino**. Para obter mais informações, consulte [Como os links de recursos funcionam no Lake Formation](resource-links-about.md).

1. Depois, na seção **Tipo de entidade principal**, escolha as entidades principais ou especifique os atributos anexados a elas.  
![\[A seção de tipo de entidades principais contém dois blocos dispostos horizontalmente, e cada um contém um botão de opção e um texto descritivo. As opções são Entidades principais e Entidades principais por atributos. Abaixo do título são exibidas as entidades principais.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-catalog-principal-type.png)

****Especifique os principais****  
**Usuários e perfis do IAM**  
Escolha um ou mais usuários ou perfis na lista de **usuários e perfis do IAM**.  
**Centro de Identidade do IAM**  
Selecione um ou mais usuários ou grupos na lista **Usuários e grupos**. Selecione **Adicionar** para adicionar mais usuários ou grupos.  
**Usuários e grupos SAML**  
Para **usuários e grupos do SAML e do Quick**, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou para usuários ou grupos do ARNs Amazon Quick. Pressione Enter após cada ARN.  
Para obter informações sobre como construir o ARNs, consulte[Lake Formation concede e revoga comandos AWS CLI](lf-permissions-reference.md#perm-command-format).  
A integração do Lake Formation com o Quick é compatível somente com o Quick Enterprise Edition.  
**Contas externas**  
Para **Conta da AWS, AWS organização** ou **diretor do IAM**, insira uma ou mais AWS contas IDs, organizações IDs IDs, unidades organizacionais ou ARN válidas para o usuário ou a função do IAM. Pressione **Enter** após cada ID.  
O ID da organização consiste em “o-” seguido por 10 a 32 letras minúsculas ou dígitos.  
Uma ID de unidade organizacional começa com “ou-” seguida de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa sequência é seguida por um segundo travessão "-" e 8 a 32 letras minúsculas ou dígitos adicionais.

****Entidades principais por atributos****  
**Atributos.**  
Adicione os pares de chave-valor de tags do IAM por meio do perfil do IAM.   
**Escopo de permissões**  
Especifique se você está concedendo permissões a entidades principais com atributos correspondentes na mesma ou em outra conta.

1. Na seção **Tags do LF ou recursos do catálogo**, selecione **Recursos do catálogo de dados nomeados**.  
![\[A seção tags do LF ou recursos do catálogo contém dois blocos dispostos horizontalmente, onde cada bloco contém um botão de opção e um texto descritivo. As opções são Recursos combinados por tags do LF e recursos do Catálogo de dados nomeados. Abaixo dos blocos, há duas listas suspensas: Banco de dados e Tabela. A lista suspensa Banco de dados tem um quadro abaixo dela contendo o nome do banco de dados selecionado.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-target-resources-catalog.png)

1. Escolha um ou mais catálogos na lista **Catálogos**. Você também pode escolher um ou mais **bancos de dados**, **tabelas** e **filtros and/or de dados**.

1. Na seção **Permissões do catálogo**, selecione permissões e permissões para concessão. Em **Permissões do catálogo**, selecione uma ou mais permissões a serem concedidas.  
![\[A seção Permissões e o bloco de permissões do catálogo. Abaixo dos blocos, há um grupo de caixas de seleção para conceder permissões de catálogo. As caixas de seleção incluem Superusuário, Criar catálogo, Criar banco de dados, Alterar, Eliminar, Descrever e Super. Abaixo desse grupo, há outro grupo com as mesmas caixas de seleção para permissões concedíveis.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)

   Escolha **Superusuário** a fim de conceder privilégios administrativos irrestritos para realizar qualquer operação em todos os recursos do catálogo (bancos de dados, tabelas e visualizações).
**nota**  
Depois de conceder `Create database` ou `Alter` em um catálogo que tenha uma propriedade de localização que aponta para um local registrado, certifique-se também de conceder permissões de localização de dados no local às entidades principais. Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).

1. (Opcional) Em **Permissões concedidas**, selecione as permissões que o beneficiário da concessão pode conceder a outras entidades principais em sua conta da AWS . Essa opção não é compatível quando você está concedendo permissões a uma entidade principal do IAM a partir de uma conta externa. 

1. Selecione **Conceder**.

   A página **Permissões de dados** mostra os detalhes da permissão. Se você usou a opção **Entidades principais por atributo** para conceder permissões, poderá visualizar a permissão concedida a `ALLPrincipals` na lista.

------
#### [ AWS CLI ]

Para conceder permissões de catálogo usando AWS CLI, consulte[Criar catálogos federados do Amazon Redshift](create-ns-catalog.md).

------

# Conceder permissões de banco de dados usando o método de recurso nomeado
<a name="granting-database-permissions"></a>

As etapas a seguir explicam como conceder permissões de banco de dados usando o método de recurso nomeado.

------
#### [ Console ]

Use a página **Conceder permissões** no console do Lake Formation. A página está dividida nas seguintes seções:
+  **Tipo de entidade principal**: a seção **Entidades principais** incluem os usuários, os perfis do IAM, usuários e grupos do Centro de Identidade do IAM, usuários e grupos do SAML, contas da AWS , organizações ou unidades organizacionais aos quais conceder permissões. Na seção **Entidades principais por atributos**, é possível especificar a chave e os valores dos atributos anexados aos perfis do IAM. 
+  **Tags do LF ou recursos do catálogo**: bancos de dados, tabelas, visualizações ou links de recursos nos quais conceder permissões.
+  **Permissões** – As permissões do Lake Formation devem ser concedidas.

**nota**  
Para conceder permissões em um link de recurso de banco de dados, consulte [Como conceder permissões de links de recursos](granting-link-permissions.md).

1. Abra a página **Conceder permissões**.

   Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e faça login como administrador do data lake, criador do banco de dados ou usuário do IAM com **permissões concedidas no banco** de dados.

   Execute um destes procedimentos:
   + No painel de navegação, em **Permissões**, escolha **Permissões de dados**. Em seguida, escolha **Conceder**.
   + No painel de navegação, selecione **Bancos de dados**, em **Catálogo de dados**. Depois, na página **Bancos de dados**, selecione um banco de dados e, no menu **Ações**, em **Permissões**, escolha **Conceder**.
**nota**  
Você pode conceder permissões em um banco de dados por meio de seu link de recurso. Para fazer isso, na página **Bancos de dados**, escolha um link de recurso e, no menu **Ações**, escolha **Conceder no destino**. Para obter mais informações, consulte [Como os links de recursos funcionam no Lake Formation](resource-links-about.md).

1. Na seção **Tipo de entidade principal**, especifique as entidades principais ou conceda permissões às entidades principais usando atributos.  
![\[A seção Entidades principais contém quatro blocos. Cada bloco contém um botão de opção e um texto.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**Usuários e perfis do IAM**  
Escolha um ou mais usuários ou perfis na lista de **usuários e perfis do IAM**.  
**Centro de Identidade do IAM**  
Selecione um ou mais usuários ou grupos na lista **Usuários e grupos**. Selecione **Adicionar** para adicionar mais usuários ou grupos.  
**Usuários e grupos SAML**  
Para **usuários e grupos do SAML e do Quick**, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou para usuários ou grupos do ARNs Amazon Quick. Pressione Enter após cada ARN.  
Para obter informações sobre como construir o ARNs, consulte[Lake Formation concede e revoga comandos AWS CLI](lf-permissions-reference.md#perm-command-format).  
A integração do Lake Formation com o Quick é compatível somente com o Quick Enterprise Edition.  
**Contas externas**  
Para **Conta da AWS, AWS organização** ou **diretor do IAM**, insira uma ou mais AWS contas IDs, organizações IDs IDs, unidades organizacionais ou ARN válidas para o usuário ou a função do IAM. Pressione **Enter** após cada ID.  
O ID da organização consiste em “o-” seguido por 10 a 32 letras minúsculas ou dígitos.  
Uma ID de unidade organizacional começa com “ou-” seguida de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa sequência é seguida por um segundo travessão "-" e 8 a 32 letras minúsculas ou dígitos adicionais.  
Entidades principais por atributos  
Especifique a chave e os valores do atributo. Se você escolher mais de um valor, estará criando uma expressão de atributo com um operador OR. Isso significa que, se algum dos valores da tag de atributo atribuídos a uma função ou usuário do IAM corresponder, eles role/user ganharão permissões de acesso ao recurso.  
 Escolha o escopo da permissão especificando se você está concedendo permissões a entidades principais com atributos correspondentes na mesma ou em outra conta. 

1. Na seção **Tags do LF ou recursos do catálogo**, selecione **Recursos do catálogo de dados nomeados**.  
![\[A seção tags do LF ou recursos do catálogo contém dois blocos dispostos horizontalmente, onde cada bloco contém um botão de opção e um texto descritivo. As opções são Recursos combinados por tags do LF e recursos do Catálogo de dados nomeados. Abaixo dos blocos, há duas listas suspensas: Banco de dados e Tabela. A lista suspensa Banco de dados tem um quadro abaixo dela contendo o nome do banco de dados selecionado.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-target-resources-section-2.png)

1. Escolha um ou mais bancos de dados na lista **Banco de dados**. Você também pode escolher um ou mais **filtros de and/or dados de** **tabelas**.

1. Na seção **Permissões**, selecione permissões e permissões concedidas. Em **Permissões do banco de dados**, selecione uma ou mais permissões para conceder.  
![\[A seção Permissões contém dois blocos, organizados horizontalmente. Cada bloco contém um botão de opção e um texto. O quadro Permissões do banco de dados está selecionado. O outro bloco, Permissões baseadas em colunas, está desativado porque está relacionado às permissões da tabela. Abaixo dos blocos, há um grupo de caixas de seleção para conceder permissões de banco de dados. As caixas de seleção incluem Criar tabela, Alterar, Eliminar, Descrever e Super. Abaixo desse grupo, há outro grupo com as mesmas caixas de seleção para permissões concedíveis.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**nota**  
Depois de conceder `Create Table` ou `Alter` em um banco de dados que tenha uma propriedade de localização que aponta para um local registrado, certifique-se também de conceder permissões de localização de dados no local às entidades principais. Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).

1. (Opcional) Em **Permissões concedidas**, selecione as permissões que o beneficiário da concessão pode conceder a outras entidades principais em sua conta da AWS . Essa opção não é compatível quando você está concedendo permissões a uma entidade principal do IAM a partir de uma conta externa. 

1. Selecione **Conceder**.

------
#### [ AWS CLI ]

Você pode conceder permissões de banco de dados usando o método de recurso nomeado e o AWS Command Line Interface (AWS CLI).

**Para conceder permissões de banco de dados usando o AWS CLI**
+ Execute um comando `grant-permissions` e especifique um banco de dados ou o catálogo de dados como recurso, dependendo da permissão concedida.

  Nos exemplos a seguir, *<account-id>* substitua por um ID de AWS conta válido.  
**Example – Concessão para criar um banco de dados**  

  Este exemplo concede `CREATE_DATABASE` ao usuário `datalake_user1`. Como o recurso no qual essa permissão é concedida é o catálogo de dados, o comando especifica uma estrutura `CatalogResource` vazia como parâmetro `resource`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
  ```  
**Example – Concessão para criar tabelas em um banco de dados designado**  

  O próximo exemplo concede `CREATE_TABLE` no banco de dados `retail` ao usuário `datalake_user1`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example — Conceder para uma AWS conta externa com a opção Conceder**  

  O próximo exemplo concede `CREATE_TABLE` com a opção de concessão no banco de dados à conta externa `retail` 1111-2222-3333.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example – Concessão a uma organização**  

  O próximo exemplo concede a `ALTER` a opção de concessão no banco de dados `issues` à organização `o-abcdefghijkl`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
  ```  
**Example - Conceder `ALLIAMPrincipals` na mesma conta**  

  O próximo exemplo concede permissão `CREATE_TABLE` no banco de dados `retail` a todas as entidades principais na mesma conta. Essa opção permite que cada entidade principal da conta crie uma tabela no banco de dados e crie um link de recurso de tabela, permitindo que mecanismos de consulta integrados acessem bancos de dados e tabelas compartilhados. Essa opção é especialmente útil quando uma entidade principal recebe uma concessão entre contas e não tem permissão para criar links de recursos. Nesse cenário, o administrador do data lake pode criar um banco de dados de espaço reservado e conceder permissão `CREATE_TABLE` ao grupo `ALLIAMPrincipal`, permitindo que cada entidade principal do IAM na conta crie links de recursos no banco de dados de espaço reservado. 

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}' 
  ```  
**Example - Conceder a `ALLIAMPrincipals` em uma conta externa**  

  O próximo exemplo concede `CREATE_TABLE` no banco de dados `retail` a todas as entidades principais em uma conta externa. Essa opção permite que cada entidade principal da conta crie uma tabela no banco de dados.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
  ```

**nota**  
Depois de conceder `CREATE_TABLE` ou `ALTER` em um banco de dados que tenha uma propriedade de localização que aponta para um local registrado, certifique-se também de conceder permissões de localização de dados no local às entidades principais. Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).

------

**Consulte também**  
 [Referência de permissões do Lake Formation](lf-permissions-reference.md) 
 [Conceder permissões em um banco de dados ou tabela compartilhada com sua conta](regranting-shared-resources.md) 
 [Acessar e visualizar tabelas e bancos de dados compartilhados do catálogo de dados](viewing-shared-resources.md) 

# Conceder permissões de tabela usando o método de recurso nomeado
<a name="granting-table-permissions"></a>

Você pode usar o console do Lake Formation ou AWS CLI conceder permissões do Lake Formation nas tabelas do Catálogo de Dados. Você pode conceder permissões em tabelas individuais ou, com uma única operação de concessão, você pode conceder permissões em todas as tabelas em um banco de dados. 

Se você conceder permissões em todas as tabelas em um banco de dados, estará concedendo implicitamente a permissão `DESCRIBE` no banco de dados. Em seguida, o banco de dados aparece na página **Bancos de dados** no console e é retornado pela operação da API `GetDatabases`. Essa concessão da permissão `DESCRIBE` automática não se aplica quando você usa o controle de acesso por atributo (ABAC). Quando você concede permissões em todas as tabelas em um banco de dados usando atributos, o Lake Formation não concede a permissão `DESCRIBE` implícita ao banco de dados.

Ao escolher `SELECT` como a permissão a ser concedida, você tem a opção de aplicar um filtro de coluna, filtro de linha ou filtro de célula.

------
#### [ Console ]

As etapas a seguir explicam como conceder permissões de tabela usando o método de recurso nomeado e a página **Conceder permissões de data lake** no console do Lake Formation. A página está dividida nas seguintes seções:
+  **Tipos de entidade principal**: os usuários, perfis, contas da AWS , organizações ou unidades organizacionais aos quais conceder permissões. Você também pode conceder permissões a entidades principais com atributos correspondentes.
+  **Tags do LF ou recursos do catálogo** – Os bancos de dados, tabelas ou links de recursos nos quais conceder permissões.
+  **Permissões** – As permissões do Lake Formation devem ser concedidas.

**nota**  
Para conceder permissões em um link de recurso de tabela, consulte [Como conceder permissões de links de recursos](granting-link-permissions.md).

1. Abra a página Conceder permissões.

   Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e faça login como administrador do data lake, criador da tabela ou usuário que tenha recebido permissões na tabela com a opção de concessão.

   Execute um destes procedimentos:
   + No painel de navegação, escolha **Permissões de dados**, em **Permissões**. Em seguida, escolha **Conceder**.
   + No painel de navegação, selecione **Tabelas**. Em seguida, na página **Tabelas**, escolha uma tabela e, no menu **Ações**, em **Permissões**, escolha **Conceder**.
**nota**  
Você pode conceder permissões em uma tabela por meio de seu link de recurso. Para fazer isso, na página **Tabelas**, escolha um link de recurso e, no menu **Ações**, escolha **Conceder no destino**. Para obter mais informações, consulte [Como os links de recursos funcionam no Lake Formation](resource-links-about.md).

1. Na seção **Tipos de entidade principal**, especifique as entidades principais ou entidades principais com atributos correspondentes para conceder permissões.  
**Usuários e perfis do IAM**  
Escolha um ou mais usuários ou perfis na lista de **usuários e perfis do IAM**.  
**Centro de Identidade do IAM**  
Selecione um ou mais usuários ou grupos na lista **Usuários e grupos**.  
**Usuários e grupos SAML**  
Para **usuários e grupos do SAML e do Quick**, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou ARNs para usuários ou grupos do Quick. Pressione Enter após cada ARN.  
Para obter informações sobre como construir o ARNs, consulte[Lake Formation concede e revoga comandos AWS CLI](lf-permissions-reference.md#perm-command-format).  
A integração do Lake Formation com o Quick é compatível somente com o Quick Enterprise Edition.  
**Contas externas**  
Para **Conta da AWS , AWS organização** ou **diretor do IAM**, insira uma ou mais organizações Conta da AWS IDs IDs IDs, unidades organizacionais ou ARN válidas para o usuário ou a função do IAM. Pressione **Enter** após cada ID.  
O ID da organização consiste em “o-” seguido por 10 a 32 letras minúsculas ou dígitos.  
Uma ID de unidade organizacional começa com “ou-” seguida de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa sequência é seguida por um segundo caractere "-" e de 8 a 32 letras minúsculas ou dígitos adicionais.  
Entidades principais por atributos  
Especifique a chave e os valores do atributo. Se você escolher mais de um valor, estará criando uma expressão de atributo com um operador OR. Isso significa que, se algum dos valores da tag de atributo atribuídos a uma função ou usuário do IAM corresponder, ele role/user ganhará permissões de acesso ao recurso.  
 Escolha o escopo da permissão especificando se você está concedendo permissões a entidades principais com atributos correspondentes na mesma ou em outra conta. 

1. Na seção **Tags do LF ou recursos do catálogo**, escolha um banco de dados. Em seguida, escolha uma ou mais tabelas ou **Todas as tabelas**.  
![\[A seção tags do LF ou recursos do catálogo contém dois blocos dispostos horizontalmente, onde cada bloco contém um botão de opção e um texto descritivo. As opções são Recursos combinados por tags do LF e recursos do catálogo de dados nomeados. Os recursos do catálogo de dados nomeados são selecionados. Abaixo dos blocos, há duas listas suspensas: Banco de dados e tabela. A lista suspensa Banco de dados tem um quadro abaixo dela contendo o nome do banco de dados selecionado. A lista suspensa Tabela tem um quadro abaixo dela contendo o nome da tabela selecionada.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)

1. 

**Especifique as permissões sem filtragem de dados.**

   Na seção **Permissões**, selecione as permissões da tabela a serem concedidas e, opcionalmente, selecione as permissões que podem ser concedidas.  
![\[A seção Permissões de tabela e coluna tem duas subseções: Permissões de tabela e Permissões concedidas. Cada subseção tem uma caixa de seleção para cada permissão possível do Lake Formation: Alterar, Inserir, Eliminar, Excluir, Selecionar, Descrever e Super. A permissão Super é definida à direita das outras permissões e tem uma descrição: “Essa permissão permite que a entidade principal conceda qualquer uma das permissões à esquerda e substitui as permissões concedidas”.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)

   Se você conceder **Selecionar**, a seção **Permissões de dados** aparecerá abaixo da seção **Permissões de tabela e coluna**, com a opção **Acesso a todos os dados** selecionada por padrão. Aceite o padrão.  
![\[A seção contém três blocos, dispostos horizontalmente, cada um com um botão de opção e uma descrição. Os botões de opção são: Acesso a todos os dados (selecionado), Acesso simples baseado em colunas e Filtros avançados em nível de célula.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-select-all-data-access.png)

1. Selecione **Conceder**.

1. 

**Especifique a permissão **Selecionar** com filtragem de dados**

   Selecione a permissão **Selecionar**. Não selecione nenhuma outra permissão.

   A seção **Permissões de dados** aparece abaixo da seção **Permissões de tabela e coluna**.

1. Execute um destes procedimentos:
   + Aplique somente a filtragem simples de colunas.

     1. Escolha **Acesso simples baseado em colunas**.  
![\[A seção superior é a seção Permissões de tabela e coluna. Está descrito na captura de tela anterior. Ele contém caixas de seleção para permissões de tabela e permissões concedidas. A seção inferior, Permissões de dados, tem três blocos dispostos horizontalmente, onde cada bloco tem um botão de opção e uma descrição. As opções são Acesso a todos os dados, Acesso simples baseado em colunas e Filtros avançados em nível de célula. A opção de acesso simples baseado em colunas está selecionada. Abaixo dos blocos, há um grupo de botões de opção com o rótulo Escolher filtro de permissão. As opções são Incluir colunas e Excluir colunas. Abaixo do grupo de opções, há uma lista suspensa Selecionar colunas e, abaixo dela, uma subseção Permissões concedidas, que contém uma única caixa de seleção chamada Selecionar.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)

     1. Escolha se deseja incluir ou excluir colunas e, em seguida, escolha as colunas a serem incluídas ou excluídas.

        Somente listas de inclusão são suportadas ao conceder permissões a uma AWS conta ou organização externa.

     1. (Opcional) Em **Permissões concedidas**, ative a opção de concessão para a permissão Selecionar.

         Se você incluir a opção de concessão, o destinatário da concessão poderá conceder permissões somente nas colunas que você conceder a ele.
**nota**  
Você também pode aplicar a filtragem de colunas somente criando um filtro de dados que especifique um filtro de coluna e especifique todas as linhas como filtro de linha. No entanto, isso requer mais etapas.
   + Aplique filtragem de coluna, linha ou célula.

     1. Escolha **Filtros avançados em nível de célula**.  
![\[Essa seção, intitulada Permissões de dados, está abaixo da seção Permissões de tabela. Possui três ladrilhos dispostos horizontalmente, onde cada ladrilho tem um botão de opção e uma descrição. As opções são Acesso a todos os dados, Acesso simples baseado em colunas e Filtros avançados em nível de célula. A opção Filtros avançados em nível de célula está selecionada. Abaixo dos blocos está o rótulo Exibir permissões existentes com um triângulo de exposição à esquerda. As permissões existentes não são expostas. Abaixo está uma seção intitulada Filtros de dados a serem concedidos. À direita do título, há três botões: Atualizar, Gerenciar filtros e Criar novo filtro. Abaixo do título e dos botões, há um campo de texto com o texto reservado “Localizar filtro”. Abaixo está uma tabela de filtros existentes. Cada linha tem uma caixa de seleção à esquerda. Os cabeçalhos das colunas são Nome do filtro, Tabela, Banco de dados e ID do catálogo da tabela. Há duas fileiras. O nome do filtro na primeira linha é restrict-pharma. O nome na segunda linha é no-pharma.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)

     1. (Opcional) Expanda **Visualizar permissões existentes**.

     1. (Opcional) Escolha **Criar novo filtro**.

     1. (Opcional) Para ver detalhes dos filtros listados, criar novos filtros ou excluir filtros existentes, escolha **Gerenciar filtros**.

        A página **Filtros de dados** é aberta em uma nova janela do navegador.

        Quando terminar de acessar a página **Filtros de dados**, retorne à página **Conceder permissões** e, se necessário, atualize a página para ver os novos filtros de dados que você criou.

     1. Selecione um ou mais filtros de dados a serem aplicados à concessão.
**nota**  
Se não houver filtros de dados na lista, isso significa que nenhum filtro de dados foi criado para a tabela selecionada.

1. Selecione **Conceder**.

------
#### [ AWS CLI ]

Você pode conceder permissões de tabela usando o método de recurso nomeado e o AWS Command Line Interface (AWS CLI).

**Para conceder permissões de tabela usando o AWS CLI**
+ Execute um comando `grant-permissions` e especifique uma tabela como recurso.

**Example – Concessão em uma única tabela - sem filtragem**  
O exemplo a seguir concede `SELECT` e `ALTER` ao usuário `datalake_user1` na AWS conta 1111-2222-3333 na tabela no banco de dados. `inventory` `retail`  

```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Se você conceder a permissão `ALTER` em uma tabela que tem seus dados subjacentes em um local registrado, certifique-se de também conceder permissões de localização de dados no local às entidades principais. Para obter mais informações, consulte [Conceder permissões de localização de dados](granting-location-permissions.md).

**Example – Conceder em todas as tabelas com a opção Conceder - sem filtragem**  
O próximo exemplo concede `SELECT` com a opção de concessão em todas as tabelas no banco de dados `retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```<a name="simple-column-filter-example"></a>

**Example – Grant com filtragem simples de colunas**  
O próximo exemplo concede a `SELECT` um subconjunto de colunas na tabela `persons`. Ele usa filtragem de coluna simples.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```

**Example – Conceda com um filtro de dados**  
Este exemplo concede `SELECT` na tabela `orders` e aplica o filtro de dados `restrict-pharma`.  

```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
A seguir está o conteúdo do arquivo `grant-params.json`.  

```
{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"],
    "PermissionsWithGrantOption": ["SELECT"]
}
```

------

**Consulte também**  
[Visão geral das permissões do Lake Formation](lf-permissions-overview.md)
[Filtragem de dados e segurança por célula no Lake Formation](data-filtering.md)
[Referência de personas e permissões do IAM do Lake Formation](permissions-reference.md)
 [Como conceder permissões de links de recursos](granting-link-permissions.md)
 [Acessar e visualizar tabelas e bancos de dados compartilhados do catálogo de dados](viewing-shared-resources.md) 

# Conceder permissões em visualizações usando o método de recurso nomeado
<a name="granting-view-permissions"></a>

As etapas a seguir explicam como conceder permissões em visualizações usando o método de recurso nomeado e a página **Conceder permissões**. A página está dividida nas seguintes seções:
+  **Tipos principais**: usuários, funções, usuários e grupos do IAM Identity Center Contas da AWS, organizações ou unidades organizacionais para conceder permissões. Você também pode conceder permissões a entidades principais com atributos correspondentes.
+  **Tags do LF ou recursos do catálogo**: bancos de dados, tabelas, visualizações ou links de recursos nos quais conceder permissões.
+  **Permissões**: as permissões de data lake a serem concedidas.

## Abra a página **Conceder permissões**.
<a name="view-start-grant"></a>

1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e faça login como administrador do data lake, criador do banco de dados ou usuário do IAM com **permissões concedidas no banco** de dados.

1. Execute um destes procedimentos:
   + No painel de navegação, em **Permissões**, escolha **Permissões de dados**. Em seguida, escolha **Conceder**.
   + No painel de navegação, selecione **Visualizações** em **Catálogo de dados**. Depois, na página **Visualizações**, selecione uma visualização e, no menu **Ações**, em **Permissões**, escolha **Conceder**.
**nota**  
É possível conceder permissões em uma visualização por meio do link de recurso. Para fazer isso, na página **Visualizações**, escolha um link de recurso e, no menu **Ações**, selecione **Conceder no destino**. Para obter mais informações, consulte [Como os links de recursos funcionam no Lake Formation](resource-links-about.md).

## Especificar os tipos de entidade principal
<a name="views-specify-principals"></a>

 Na seção **Tipo de entidade principal**, escolha Entidades principais ou Entidades principais por atributos. Se você escolher Entidades principais, as seguintes opções estarão disponíveis:

**Usuários e perfis do IAM**  
Escolha um ou mais usuários ou perfis na lista de **usuários e perfis do IAM**.

**Centro de Identidade do IAM **  
Selecione um ou mais usuários ou grupos na lista **Usuários e grupos**.

**Usuários e grupos SAML**  
Para **usuários e grupos do SAML e do Quick**, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou para usuários ou grupos do ARNs Amazon Quick. Pressione Enter após cada ARN.  
Para obter informações sobre como construir o ARNs, consulte[Lake Formation concede e revoga comandos AWS CLI](lf-permissions-reference.md#perm-command-format).  
A integração do Lake Formation com o Quick é compatível somente com o Quick Enterprise Edition.

**Contas externas**  
Para **Conta da AWS, AWS organização** ou **diretor do IAM**, insira uma ou mais AWS contas IDs, organizações IDs IDs, unidades organizacionais ou ARN válidas para o usuário ou a função do IAM. Pressione **Enter** após cada ID.  
O ID da organização consiste em “o-” seguido por 10 a 32 letras minúsculas ou dígitos.  
Uma ID de unidade organizacional começa com “ou-” seguida de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa sequência é seguida por um segundo travessão "-" e 8 a 32 letras minúsculas ou dígitos adicionais.  
**Consulte também**  
+  [Acessar e visualizar tabelas e bancos de dados compartilhados do catálogo de dados](viewing-shared-resources.md) 

**Entidades principais por atributos**  
Especifique a chave e os valores do atributo. Se você escolher mais de um valor, estará criando uma expressão de atributo com um operador OR. Isso significa que, se algum dos valores da tag de atributo atribuídos a uma função ou usuário do IAM corresponder, ele role/user ganhará permissões de acesso ao recurso.  
 Escolha o escopo da permissão especificando se você está concedendo permissões a entidades principais com atributos correspondentes na mesma ou em outra conta. 

## Especificar as visualizações
<a name="view-specify-resources"></a>

Na seção **Tags do LF ou recursos do catálogo**, selecione uma ou mais visualizações nas quais conceder permissões.

1. Escolha **Recursos do catálogo de dados nomeado**.

1. Selecione uma ou mais visualizações na lista **Visualizações**. Você também pode escolher um ou mais catálogos, bancos de dados, tabelas e filtros de and/or dados.

   Conceder permissões de data lake a `All tables` em um banco de dados resultará em permissões do favorecido em todas as tabelas e visualizações do banco de dados.

## Especifique as permissões
<a name="view-specify-permissions"></a>

Na seção **Permissões**, selecione permissões e permissões concedidas.

![\[A seção Permissões tem um grupo de caixas de seleção para visualizar permissões a serem concedidas. As caixas de seleção incluem Selecionar, Descrever, Soltar e Super. Abaixo desse grupo, há outro grupo com as mesmas caixas de seleção para permissões concedíveis.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/view-permissions.png)


1. Em **Visualizar permissões**, selecione uma ou mais permissões a serem concedidas.

1. (Opcional) Em **Permissões que podem ser concedidas**, selecione as permissões que o beneficiário pode conceder a outras entidades principais na Conta da AWS. Essa opção não é compatível quando você está concedendo permissões a uma entidade principal do IAM a partir de uma conta externa. 

1. Selecione **Conceder**.

**Consulte também**  
 [Referência de permissões do Lake Formation](lf-permissions-reference.md) 
 [Conceder permissões em um banco de dados ou tabela compartilhada com sua conta](regranting-shared-resources.md)