As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceder permissões de localização de dados
<a name="granting-location-permissions"></a>

As permissões de localização de dados AWS Lake Formation permitem que os diretores criem e alterem recursos do catálogo de dados que apontam para locais registrados designados do Amazon S3. As permissões de localização de dados funcionam em conjunto com as permissões de dados do Lake Formation para proteger as informações em seu data lake.

O Lake Formation não usa o serviço AWS Resource Access Manager (AWS RAM) para conceder permissões de localização de dados, então você não precisa aceitar convites de compartilhamento de recursos para obter permissões de localização de dados.

Você pode conceder permissões de localização de dados usando o console do Lake Formation, a API ou AWS Command Line Interface (AWS CLI).

**nota**  
Para que uma concessão seja bem-sucedida, você deve primeiro registrar a localização dos dados no Lake Formation.

**Consulte também:**  
[Underlying data access control](access-control-underlying-data.md#data-location-permissions)

**Topics**
+ [Concessão de permissões de localização de dados (mesma conta)](granting-location-permissions-local.md)
+ [Concessão de permissões de localização de dados (conta externa)](granting-location-permissions-external.md)
+ [Conceder permissões em um local de dados compartilhado com sua conta](regranting-locations.md)

# Concessão de permissões de localização de dados (mesma conta)
<a name="granting-location-permissions-local"></a>

Siga estas etapas para conceder permissões de localização de dados às entidades principais da sua conta da AWS . Você pode conceder permissões usando o console do Lake Formation, a API ou a AWS Command Line Interface (AWS CLI).

------
#### [ Console de gerenciamento da AWS ]

**Como conceder permissões de localização de dados (mesma conta)**

1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador do data lake ou como entidade principal que concedeu permissões no local de dados desejado.

1. No painel de navegação, em **Permissões**, selecione **Locais de dados**.

1. Selecione **Conceder**.

1. Na caixa de diálogo **Conceder permissões**, verifique se o quadro **Minha conta** está selecionado. Em seguida, forneça as seguintes informações:
   + Para **usuários e funções do IAM**, escolha um ou mais entidades principais. 
   + Para **usuários e grupos do SAML e do Amazon Quick**, insira um ou mais nomes de recursos da Amazon (ARNs) para usuários ou grupos federados por meio do SAML ou para usuários ou grupos do ARNs Amazon Quick.

     Insira um ARN por vez e pressione **Enter** após cada ARN. Para obter informações sobre como construir o ARNs, consulte[Lake Formation concede e revoga comandos AWS CLI](lf-permissions-reference.md#perm-command-format).
   + Para **Locais de armazenamento**, escolha **Browse** e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation. Escolha **Procurar** novamente para adicionar outro local. Você também pode digitar o local, mas certifique-se de preceder o local com `s3://`.
   + Em **Local da conta registrada**, insira o ID da AWS conta em que o local está registrado. O padrão é o ID da sua conta. Em um cenário de várias contas, os administradores de data lake em uma conta de destinatário podem especificar a conta do proprietário aqui ao conceder a permissão de localização de dados a outras entidades principais na conta do destinatário.
   + (Opcional) Para permitir que as entidades principais selecionadas concedam permissões de localização de dados no local selecionado, escolha **Concedível**.  
![\[Na caixa de diálogo Conceder permissões, o usuário datalake_user e o local de armazenamento s3://119 são selecionados. retail/transactions/q\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-location-dialog-local.png)

1. Selecione **Conceder**.

------
#### [ AWS CLI ]

**Como conceder permissões de localização de dados (mesma conta)**
+ Execute um comando `grant-permissions` e conceda `DATA_LOCATION_ACCESS` à entidade principal, especificando o caminho do Amazon S3 como o recurso.  
**Example**  

  O exemplo a seguir concede permissões de localização de dados em `s3://retail` ao usuário `datalake_user1`.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
  ```  
**Example**  

  O exemplo a seguir concede permissões de localização de dados em `s3://retail` ao grupo `ALLIAMPrincipals`.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
  ```

------

**Consulte também:**  
[Referência de permissões do Lake Formation](lf-permissions-reference.md)

# Concessão de permissões de localização de dados (conta externa)
<a name="granting-location-permissions-external"></a>

Siga estas etapas para conceder permissões de localização de dados a uma AWS conta ou organização externa. 

Você pode conceder permissões usando o console do Lake Formation, a API ou a AWS Command Line Interface (AWS CLI).

**Antes de começar**  
Certifique-se de que todos os pré-requisitos de acesso entre contas sejam atendidos. Para obter mais informações, consulte [Pré-requisitos](cross-account-prereqs.md).

------
#### [ Console de gerenciamento da AWS ]

**Para conceder permissões de localização de dados (conta externa, console)**

1. Abra o AWS Lake Formation console em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Faça login como administrador de data lake.

1. No painel de navegação, em **Permissões**, escolha **Localizações dos dados** e, em seguida, escolha **Conceder**.

1. Na caixa de diálogo **Conceder permissões**, escolha o quadro **Conta externa**.

1. Forneça as informações a seguir:
   + Para **ID AWS da conta ou ID AWS da organização**, insira números de AWS conta IDs, organização ou unidade organizacional válidos IDs.

     Pressione **Enter** após cada ID.

     O ID da organização consiste em "o-" seguido por 10 a 32 letras minúsculas ou dígitos.

     Um ID de unidade organizacional consiste em "ou-" seguido de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa string é seguida por um segundo "-" (hífen) e 8 a 32 letras minúsculas ou dígitos adicionais.
   + Em **Locais de armazenamento**, escolha **Procurar** e escolha um local de armazenamento do Amazon Simple Storage Service (Amazon S3). O local deve ser registrado no Lake Formation.  
![\[A caixa de diálogo Conceder permissão tem o botão de opção Conta externa selecionado, uma AWS conta especificada e um local de armazenamento especificado.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-location-dialog-external.png)

1. Selecione **Concedível**.

1. Selecione **Conceder**.

------
#### [ AWS CLI ]

**Para conceder permissões de localização de dados (conta externa AWS CLI)**
+ Para conceder permissões a uma AWS conta externa, digite um comando semelhante ao seguinte.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Esse comando concede a `DATA_LOCATION_ACCESS` a opção de concessão à conta 1111-2222-3333 no local `s3://retail/transactions/2020q1` do Amazon S3, que pertence à conta 1234-5678-9012.

  Para conceder permissões a uma organização, digite um comando semelhante ao seguinte:

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Este comando concede a `DATA_LOCATION_ACCESS` a opção de concessão à organização `o-abcdefghijkl` no local do Amazon S3 `s3://retail/transactions/2020q1`, que pertence à conta 1234-5678-9012.

   Para conceder permissões a um principal em uma AWS conta externa, digite um comando semelhante ao seguinte.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
  ```

  Esse comando é concedido `DATA_LOCATION_ACCESS` a uma entidade principal na conta 1111-2222-3333 na localização `s3://retail/transactions/2020q1` do Amazon S3, que pertence à conta 1234-5678-9012.  
**Example**  

  O exemplo a seguir concede permissões de localização de dados a `s3://retail` para um grupo `ALLIAMPrincipals` em uma conta externa.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
  ```

------

**Consulte também:**  
[Referência de permissões do Lake Formation](lf-permissions-reference.md)

# Conceder permissões em um local de dados compartilhado com sua conta
<a name="regranting-locations"></a>

Depois que um recurso do Catálogo de Dados é compartilhado com sua AWS conta, como administrador do data lake, você pode conceder permissões sobre o recurso a outros diretores da sua conta. Se a permissão `ALTER` for concedida em uma tabela compartilhada e a tabela apontar para um local registrado no Amazon S3, você também deverá conceder permissões de localização de dados no local. Da mesma forma, se a permissão `CREATE_TABLE` ou `ALTER` for concedida em um banco de dados compartilhado e o banco de dados tiver uma propriedade de localização que aponte para um local registrado, você também deverá conceder permissões de localização de dados no local.

Para conceder permissões de localização de dados em um local compartilhado a uma entidade principal em sua conta, sua conta deve ter recebido a permissão `DATA_LOCATION_ACCESS` no local com a opção de concessão. Ao conceder `DATA_LOCATION_ACCESS` a outro principal em sua conta, você deve incluir a ID do catálogo de dados (ID da AWS conta) da conta do proprietário. A conta do proprietário é a conta que registrou o local.

Você pode usar o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI para conceder permissões de localização de dados.

**Para conceder permissões em um local de dados compartilhado com sua conta (console)**
+ Siga as etapas em [Concessão de permissões de localização de dados (mesma conta)](granting-location-permissions-local.md).

  Para **Locais de armazenamento**, você deve digitar os locais. Em **Localização da conta registrada**, insira o AWS ID da conta do proprietário.

**Para conceder permissões em um local de dados compartilhado com sua conta (AWS CLI)**
+ Digite um dos comandos a seguir para conceder permissões a um usuário ou a uma função.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  ```