As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciar expressões de tag LF para controle de acesso a metadados
As expressões LF-Tag são expressões lógicas compostas por uma ou mais tags LF (pares de valores-chave) usadas para conceder permissões em recursos. AWS Glue Data Catalog As expressões de tag LF permitem que você defina regras que controlem o acesso aos seus recursos de dados com base em suas tags de metadados. É possível salvar essas expressões e reutilizá-las em várias concessões de permissão, garantindo a consistência e facilitando o gerenciamento de alterações na ontologia de tags ao longo do tempo.
Em determinada expressão de tag LF, as chaves de tag são combinadas usando a operação AND, enquanto os valores são combinados usando a operação OR. Por exemplo, a expressão de tag `content_type:Sales AND location:US` representa recursos relacionados aos dados de vendas nos EUA.
É possível criar até mil expressões de tag LF em uma Conta da AWS. Essas expressões proporcionam uma forma flexível e escalável de gerenciar permissões com base em tags de metadados, garantindo que somente usuários ou aplicações autorizados possam acessar recursos de dados específicos com base nas regras de tag definidas.
As expressões de tag LF oferecem os seguintes benefícios:
+ **Reutilização**: quando você define e salve expressões de tag LF, não precisa mais replicar manualmente as mesmas expressões ao atribuir permissões a outros recursos ou entidades principais.
+ **Consistência**: a reutilização de expressões de tag LF em várias concessões de permissão garante a consistência na forma como as permissões são concedidas e gerenciadas.
+ **Gerenciamento de ontologia de tags**: as expressões de tag LF ajudam a gerenciar alterações na ontologia de tags ao longo do tempo, pois você pode atualizar as expressões salvas em vez de modificar as permissões individuais.
Para acessar mais informações sobre o controle de acesso baseado em tags, consulte [Controle de acesso baseado em tags do Lake Formation](tag-based-access-control.md).
**Criadores de expressões de tag LF**
O criador de expressão de tag LF é uma entidade principal que tem permissões para criar e gerenciar expressões de tag LF. Os administradores do data lake podem adicionar criadores de expressões de tag LF usando o console do Lake Formation, a CLI, a API ou o SDK. Os criadores da expressões de tag LF têm permissões implícitas do Lake Formation para criar, atualizar e excluir expressões de tag LF e conceder permissões de expressão de tag LF a outras entidades principais.
Os criadores de expressões de tag LF que não são administradores de data lake recebem permissões `Alter`, `Drop`, `Describe` e `Grant with LF-Tag expression` implícitas somente para as expressões criadas.
Os administradores do data lake também podem conceder aos criadores de expressões de tag LF permissões `Create LF-Tag expression` para concessão. Depois, o criador de expressões de tag LF pode conceder a permissão para criar expressões de tag LF a outras entidades principais.
**Topics**
+ [Permissões de IAM necessárias para criar expressões de tag LF](#tag-expression-creator-permissions)
+ [Criadores de expressões de tag LF](#add-lf-tag-expression-creator)
+ [Criar expressões de tag LF](TBAC-creating-tag-expressions.md)
+ [Atualizar expressões de tag LF](TBAC-updating-expressions.md)
+ [Excluir expressões de tag LF](TBAC-deleting-expressions.md)
+ [Listar expressões de tag LF](TBAC-listing-expressions.md)
**Consulte também**
[Gerenciar permissões de valor de tag do LF](TBAC-granting-tags.md)
[Conceder permissões de data lake usando o método LF-TBAC](granting-catalog-perms-TBAC.md)
[Controle de acesso baseado em tags do Lake Formation](tag-based-access-control.md)
## Permissões de IAM necessárias para criar expressões de tag LF
Você deve configurar permissões para permitir que uma entidade principal do Lake Formation crie expressões de tag LF. Adicione a seguinte declaração à política de permissões para a entidade principal que precisa ser um criador de expressões de tag LF.
**nota**
Embora os administradores do data lake tenham permissões implícitas do Lake Formation para criar, atualizar e excluir tags LF e expressões de tag LF, para atribuir tags LF aos recursos e conceder tags LF e expressões de tag LF às entidades principais, os administradores do data lake também precisam das permissões do IAM a seguir.
Para obter mais informações, consulte [Referência de personas e permissões do IAM do Lake Formation](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
```
## Criadores de expressões de tag LF
Os criadores de expressões de tag LF podem criar e salvar expressões de tag LF reutilizáveis, atualizar a chave e os valores da tag, excluir expressões e conceder permissões sobre os recursos do Data Catalog às entidades principais usando o método LF-TBAC. O criador de expressões de tag LF também pode conceder essas permissões a entidades principais.
Você pode criar funções de criador de expressões LF-Tag usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.
------
#### [ console ]
**Como adicionar um criador de expressões de tag LF**
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Faça login como administrador de data lake.
1. No painel de navegação, em **Permissões**, selecione **permissões e tags do LF**.
1. Escolha a guia **Expressões de tags LF**.
1. Na seção **Criadores de expressões de tag LF**, escolha **Adicionar criadores de expressões de tag LF**.
![\[Form to add LF-Tag expression creators with Usuário do IAM selection and permissions.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)
1. Na página **Adicionar criadores de expressões de tag LF**, escolha um perfil ou usuário do IAM que tenha as permissões necessárias para criar expressões de tag LF.
1. Marque a caixa de seleção de permissão `Create LF-Tag expression`.
1. (Opcional) Para permitir que as entidades principais selecionadas concedam a permissão `Create LF-Tag expression` às entidades principais, escolha a permissão `Create LF-Tag expression` concedível.
1. Escolha **Adicionar**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTagExpression"
],
"PermissionsWithGrantOption": [
"CreateLFTagExpression"
]
}
```
------
O perfil de criador da expressões de tag LF tem a capacidade de criar, atualizar ou excluir expressões de tag LF.
| Permissão | Description |
| --- | --- |
| Create | Uma entidade principal com essa permissão pode adicionar expressões de tag LF no data lake. |
| Drop | Uma entidade principal com essa permissão em uma expressão de tag LF pode excluir uma expressão de tag LF do data lake. |
| Alter | Uma entidade principal com essa permissão em uma expressão de tag LF pode atualizar o corpo de uma expressão de tag LF. |
| Describe | Uma entidade principal com essa permissão em uma expressão de tag LF pode visualizar o conteúdo de uma expressão de tag LF. |
| Grant with LF-Tag expression | Com essa permissão, o destinatário usa a expressão de tag como recurso ao conceder permissões de acesso a dados ou metadados. Conceder Grant with LF-Tag expression concede implicitamente Describe. |
| Super | Em relação a expressões de tag LF, a permissão Super concede a capacidade de Describe, Alter, Drop e concede permissões na expressão de tag a outras entidades principais. |
Essas permissões são concedidas. Uma entidade principal que tenha recebido essas permissões com a opção de concessão pode concedê-las a outras entidades principais.
# Criar expressões de tag LF
É necessário definir todas as tags LF no Lake Formation e atribuí-las aos recursos do Data Catalog para que elas possam ser usadas para criar expressões. Uma expressão de tag LF consiste em mais uma chave ou mais chaves e um ou mais valores possíveis para cada uma.
Depois que o administrador do data lake configurar as permissões necessárias do IAM e as permissões do Lake Formation para o perfil criador de expressões de tag LF, a entidade principal pode criar expressões de tag LF. O criador da expressões de tag LF recupera permissões implícitas a fim de atualizar o corpo da expressão e excluir a expressão de tag LF.
Você pode criar expressões de tag LF usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Como criar uma expressão de tag LF**
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Faça login como uma entidade principal com permissões de criador de expressões de tag LF ou como administrador do data lake.
1. No painel de navegação, em **Permissões**, escolha LF-Tags** e permissões**.
1. Escolha **Expressões de tag LF**. A página **Adicionar expressões de tag LF** é exibida.
![\[A página tem campos para adicionar um nome, uma descrição e uma lista suspensa para selecionar o corpo da expressão. Os usuários também podem ter a opção de conceder permissões.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/add-tag-expression.png)
1. Insira as seguintes informações:
+ Nome: insira um nome exclusivo para a expressão. Não é possível atualizar o nome da expressão.
+ Descrição: forneça uma descrição opcional com os detalhes da expressão.
+ Expressão: crie a expressão especificando as chaves de tag e seus valores associados. É possível adicionar até cinquenta chaves por expressão. É necessário ter permissão `Grant with LF-Tags` do Lake Formation em todas as tags no corpo da expressão.
Cada chave deve ter pelo menos um valor. Para inserir vários valores, insira uma lista delimitada por vírgulas e pressione **Enter** ou insira um valor por vez e escolha **Adicionar** após cada um. O número máximo de valores permitidos por chave é mil.
Lake Formation usa a AND/OR lógica para combinar várias chaves e valores em uma expressão. Em um único par (chave: lista de valores), os valores são combinados usando o operador lógico OR. Por exemplo, se o par for (Department : [Sales, Marketing]), significa que a tag vai coincidir se o recurso tiver a tag Department com o valor Sales OU Marketing.
Quando você especifica várias chaves, elas são unidas por um operador lógico AND. Portanto, se a expressão completa for (Department : [Sales, Marketing]) E (Location : [US, Canada]), ela coincidirá com os recursos que têm a tag Department com o valor Sales OU Marketing e também têm a tag Location com o valor US OU Canada. Veja a seguir outro exemplo com várias chaves e valores:
Expressão LF-Tag: (ContentType : [Vídeo, Áudio]) AND (Região: [Europa, Ásia]) AND (Departamento: [Engenharia, ProductManagement]).
Essa expressão corresponderia a recursos que têm: - A ContentType tag com valor Vídeo OU Áudio E - A tag Região com valor Europa OU Ásia E - A tag Departamento com valor Engenharia OR ProductManagement.
Você também pode salvar uma expressão de tag ao conceder permissões de data lake usando tags LF. Escolha os pares de chave e valor e selecione a opção **Salvar como nova expressão**. Insira um nome que descreva a expressão.
![\[A página tem campos para selecionar o corpo da expressão e um campo para inserir um nome.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/save-expression-grant.png)
1. (Opcional) Depois, escolha os usuários/perfis e as permissões na expressão que você deseja conceder a eles na conta. Você também pode escolher permissões para concessão que permitam que os usuários concedam essas permissões a outros usuários na conta. Não é possível conceder permissões entre contas nas expressões de tag.
![\[A página mostra os campos para selecionar a permissão a ser concedida a outras entidades principais.\]](http://docs.aws.amazon.com/pt_br/lake-formation/latest/dg/images/grant-expression-permissions.png)
1. Escolha **Adicionar**.
------
#### [ AWS CLI ]
**Como criar uma expressão de tag LF**
+ Insira um comando `create-lf-tag-expression`.
O exemplo a seguir cria uma expressão de tag LF com a tag `Department` com valores `Sales` e `Marketing` E a tag `Location` com o valor `US`.
```
aws lakeformation create-lf-tag-expression \
-- name "my-tag-expression" \
-- catalog-id "123456789012" \
-- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
```
Esse comando da CLI cria uma nova expressão de tag LF no. AWS Glue Data Catalog A expressão pode ser usada para conceder permissões aos recursos do Data Catalog, como bancos de dados, tabelas, visualizações ou colunas, com base nas tags associadas. Neste exemplo, a expressão coincidirá com recursos que têm a chave `Department` com os valores `Sales` ou `Marketing` e a chave `Location` com o valor `US`.
------
Como criador de expressões de tag, a entidade principal recupera a permissão `Alter` sobre essa expressão de tag LF e pode atualizá-la ou removê-la. A entidade principal criadora de expressões de tag LF também pode conceder a permissão `Alter` a outra entidade principal para atualizar e remover essa expressão.
# Atualizar expressões de tag LF
Somente administradores do data lake, o criador de expressões de tag LF ou entidades principais que tenham a permissão `Alter` ou `Super` na expressão de tag LF podem atualizar uma expressão de tag LF. Além da permissão `Alter`, você também precisa da `lakeformation:UpdateLFTagExpression` do IAM e da `Grant with LF-Tag` em todos os valores de chave subjacentes no novo corpo da expressão para atualizar as expressões.
Atualize as expressões de tag LF atualizando a descrição, o corpo da expressão e as permissões concedidas nela. Não é possível alterar o nome da expressão de tag LF. Para alterar o nome, exclua a expressão de tag LF e adicione uma com a chave necessária.
Você pode atualizar uma expressão de tag LF usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Como atualizar uma expressão de tag LF**
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Faça login como administrador do data lake, o criador de tag LF ou como uma entidade principal com a permissão `Alter` na tag LF.
1. No painel de navegação, em Permissões, escolha **Tags LF e permissões**.
1. Escolha a guia **Expressões de tag LF**.
1. Na seção **Expressões de tag LF**, selecione uma expressão de tag LF e escolha **Editar**.
1. Na caixa de diálogo **Editar expressão de tag LF**, atualize a descrição e o corpo da expressão adicionando ou removendo chaves e valores.
Para adicionar vários valores, no campo **Valores**, escolha os valores no menu suspenso.
1. Escolha **Salvar**.
------
#### [ AWS CLI ]
O update-lf-tag-expression comando no Lake Formation permite que você atualize uma expressão de tag LF existente.
```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```
Veja o que significam os parâmetros no comando fornecido:
+ name: o nome da expressão de tag nomeada existente que você deseja atualizar.
+ description: uma nova descrição para a expressão.
catalog-id: o ID do Data Catalog em que a expressão de tag nomeada reside.
+ expression: a nova string de expressão de tag com a qual você deseja atualizar a expressão.
------
# Excluir expressões de tag LF
É possível excluir as expressões de tag LF que não estão mais em uso. Se você concedeu permissões a entidades principais nos recursos do Data Catalog usando a expressão de tag LF, elas não terão mais as permissões.
Somente administradores do data lake, o criador de expressões de tag LF ou uma entidade principal que tenha a permissão `Drop` na expressão de tag LF podem excluir uma expressão de tag LF. Além da permissão `Drop`, a entidade principal também precisa da permissão `lakeformation:DeleteLFTagExpression` do IAM para excluir uma expressão de tag LF.
Você pode excluir uma expressão de tag LF usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Como excluir uma expressão de tag LF (console)**
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Faça login como administrador do data lake, criador da expressão de tag LF ou entidade principal que tenha permissões para excluir a expressão.
1. No painel de navegação, em **Permissões**, selecione **permissões e tags do LF**.
1. Escolha a guia **Expressões de tag LF**.
1. Na seção **Expressões de tag LF**, selecione uma expressão de tag LF e escolha **Excluir**.
1. Na caixa de diálogo **Excluir expressão de tag LF?**, para confirmar a exclusão, insira o nome da expressão de tag LF no campo designado e escolha **Excluir**.
------
#### [ AWS CLI ]
**Como excluir uma tag LF (AWS CLI)**
+ Insira um comando `delete-lf-tag-expression`. Forneça o nome da expressão e o ID do catálogo a serem excluídos.
**Example**
No exemplo a seguir, a expressão de tag LF é excluída com o nome `my-tag-expression` do Data Catalog com o ID `123456789012`. O `catalog-id` parâmetro é opcional se você estiver usando a mesma conta da sua AWS CLI configuração. Depois de excluir uma expressão de tag LF, o Lake Formation limpa os registros de permissão associados a ela. Isso inclui registros de permissão individuais e registros de permissão agregados que contêm a expressão excluída.
```
aws lakeformation delete-lf-tag-expression \
--name "my-tag-expression" \
--catalog-id "123456789012"
```
------
# Listar expressões de tag LF
Você pode listar as expressões de tag LF nas quais você tem as permissões Describe. Administradores de data lake, criadores de expressões de tag LF e administradores somente leitura podem ver implicitamente todas as expressões de tag nas respectivas contas.
Você pode listar expressões de tag LF usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Como listar expressões de tag LF (console)**
1. Abra o console do Lake Formation em [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Faça login como criador de expressões de tag LF, como administrador do data lake ou como entidade principal que recebeu permissões em expressões de tag LF e que tenha a permissão `lakeformation:ListLFTagExpressions` do IAM.
1. No painel de navegação, em **Permissões**, **Tags LF e permissões**.
1. Escolha a guia **Expressões de tag LF** para ver as expressões. Esta seção mostra as informações sobre as expressões de tag LF existentes, incluindo o nome, a própria expressão com links para as tags incluídas e opções para criar, editar ou excluir expressões.
------
#### [ AWS CLI ]
**Para listar tags do LF (AWS CLI)**
+ Para listar expressões de tag LF usando o AWS CLI, você pode usar o list-lf-tag-expressions comando. A sintaxe da solicitação é:
```
aws lakeformation list-lf-tag-expressions \
-- catalog-id "123456789012" \
-- max-items "100" \
-- next-token "next-token"
```
Em que:
+ `catalog-id`é o ID da AWS conta do Catálogo de Dados para o qual você deseja listar expressões de tag.
+ `max-items` especifica o número máximo de expressões de tag a serem exibidas. Se esse parâmetro não é usado, o valor padrão é 100.
+ `next-token` é um token de continuação caso os resultados tenham sido truncados em uma solicitação anterior.
A resposta incluirá uma lista de expressões de tag LF e um próximo token, se aplicável.
------