本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理中繼資料存取控制的 LF-Tag 表達式
<a name="managing-tag-expressions"></a>

 LF-Tag 表達式是由一或多個 LF-Tag （鍵/值對） 組成的邏輯表達式，用於授予 AWS Glue Data Catalog 資源的許可。LF-Tag 表達式可讓您根據資料資源的中繼資料標籤來定義控管存取規則。您可以儲存這些表達式，並在多個許可授予中重複使用這些表達式，確保一致性，並使其直接管理隨時間對標籤本體的變更。

在指定的 LF-Tag 表達式中，標籤索引鍵是使用 AND 操作組合，而值是使用 OR 操作組合。例如，標籤表達式`content_type:Sales AND location:US`代表與美國銷售資料相關的資源。

您可以在 中建立最多 1000 個 LF-Tag 表達式 AWS 帳戶。這些表達式提供彈性且可擴展的方式，以根據中繼資料標籤管理許可，確保只有授權的使用者或應用程式才能根據定義的標籤規則存取特定資料資源。

LF-Tag 表達式提供下列優點：
+ **可重複使用 – **透過定義和儲存 LF-Tag 表達式，您不再需要在將許可指派給其他資源或主體時手動複寫相同的表達式。
+ **一致性 **– 在多個許可授予之間重複使用 LF-Tag 表達式可確保授予和管理許可的方式一致。
+ **標籤本體管理** – LF-Tag 表達式有助於管理標籤本體隨時間的變更，因為您可以更新儲存的表達式，而不是修改個別許可授予。

如需標籤型存取控制的詳細資訊，請參閱 [Lake Formation 標籤型存取控制](tag-based-access-control.md)。

**LF-Tag 表達式建立者**  
LF-Tag 表達式建立者是具有建立和管理 LF-Tag 表達式許可的主體。資料湖管理員可以使用 Lake Formation 主控台、CLI、API 或 SDK 新增 LF-Tag 表達式建立者。LF-Tag 表達式建立者具有隱含 Lake Formation 許可，可建立、更新和刪除 LF-Tag 表達式，以及將 LF-Tag 表達式許可授予其他主體。

非資料湖管理員的 LF-Tag 表達式建立者只會收到他們建立的表達式的隱含 `Describe`、、 `Alter` `Drop`和 `Grant with LF-Tag expression`許可。

資料湖管理員也可以授予 LF-Tag 表達式建立者可授予的`Create LF-Tag expression`許可。然後，LF-Tag 表達式建立者可以將建立 LF-Tag 表達式的許可授予其他主體。

**Topics**
+ [建立 LF-Tag 表達式所需的 IAM 許可](#tag-expression-creator-permissions)
+ [新增 LF-Tag 表達式建立者](#add-lf-tag-expression-creator)
+ [建立 LF-Tag 表達式](TBAC-creating-tag-expressions.md)
+ [更新 LF-Tag 表達式](TBAC-updating-expressions.md)
+ [刪除 LF-Tag 表達式](TBAC-deleting-expressions.md)
+ [列出 LF-Tag 表達式](TBAC-listing-expressions.md)

**另請參閱**  
[管理 LF-Tag 值許可](TBAC-granting-tags.md)
[使用 LF-TBAC 方法授予資料湖許可](granting-catalog-perms-TBAC.md)
[Lake Formation 標籤型存取控制](tag-based-access-control.md)

## 建立 LF-Tag 表達式所需的 IAM 許可
<a name="tag-expression-creator-permissions"></a>

 您必須設定許可，以允許 Lake Formation 主體建立 LF-Tag 表達式。將下列陳述式新增至需要成為 LF-Tag 表達式建立者的主體的許可政策。

**注意**  
雖然資料湖管理員具有隱含 Lake Formation 許可來建立、更新和刪除 LF 標籤和 LF 標籤表達式、將 LF 標籤指派給資源，以及將 LF 標籤和 LF 標籤表達式許可授予主體，但資料湖管理員也需要下列 IAM 許可。

如需詳細資訊，請參閱[Lake Formation 角色和 IAM 許可參考](permissions-reference.md)。

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## 新增 LF-Tag 表達式建立者
<a name="add-lf-tag-expression-creator"></a>

LF-Tag 表達式建立者可以使用 LF-TBAC 方法建立和儲存可重複使用的 LF-Tag 表達式、更新標籤索引鍵和值、刪除表達式，以及將 Data Catalog 資源的許可授予委託人。LF-Tag 表達式建立者也可以將這些許可授予委託人。

您可以使用 AWS Lake Formation 主控台、 API 或 AWS Command Line Interface () 來建立 LF-Tag 表達式建立者角色AWS CLI。

------
#### [ console ]

**新增 LF-Tag 表達式建立者**

1. 開啟 Lake Formation 主控台，網址為 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。

   以資料湖管理員身分登入。

1. 在導覽窗格**的許可**下，選擇 **LF 標籤和許可**。

1. 選擇 **LF-Tag 表達**式索引標籤。

1. 在 **LF-Tag 表達式建立者**區段中，選擇**新增 LF-Tag 表達式建立者**。  
![LF-Tag 表達式建立者詳細資訊容器，顯示具有 許可的 IAM 使用者 datalake_user。](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. 在**新增 LF-Tag 表達式建立者**頁面上，選擇具有建立 LF-Tag 表達式所需許可的 IAM 角色或使用者。

1. 選取`Create LF-Tag expression`許可核取方塊。

1. （選用） 若要讓選取的委託人將`Create LF-Tag expression`許可授予委託人，請選擇可授予`Create LF-Tag expression`許可。

1. 選擇**新增**。

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

LF-Tag 表達式建立者角色可以建立、更新或刪除 LF-Tag 表達式。


| 權限 | Description | 
| --- | --- | 
| Create | 具有此許可的主體可以在資料湖中新增 LF-Tag 表達式。 | 
| Drop | 在 LF-Tag 表達式上具有此許可的主體可以從資料湖刪除 LF-Tag 表達式。 | 
| Alter | 在 LF-Tag 表達式上具有此許可的主體可以更新 LF-Tag 表達式的表達式內文。 | 
| Describe | 在 LF-Tag 表達式上具有此許可的主體可以檢視 LF-Tag 表達式的內容。 | 
| Grant with LF-Tag expression | 此許可允許收件人在授予資料或中繼資料存取許可時，使用標籤表達式做為資源。Grant with LF-Tag expression 隱含授予 Describe。 | 
| Super | 對於 LF-Tag 表達式， Super許可授予 Describe、Drop、 Alter和 的能力，將標籤表達式的許可授予其他主體。 | 

這些許可是可授予的。已使用授予選項授予這些許可的委託人可以將其授予其他委託人。