Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung des Zugriffs auf eine Tabelle oder Datenbank mit Lake Formation
<a name="grant-permissions-tables"></a>

Wenn Ihre Tabellen-Buckets mithilfe von Lake Formation in den AWS Analyseservice integriert sind, verwaltet Lake Formation den Zugriff auf Ihre Tabellen und erfordert, dass jeder IAM-Prinzipal (Benutzer oder Rolle) berechtigt ist, dort Aktionen auszuführen. Lake Formation verwendet ein eigenes Berechtigungsmodell (Lake -Formation-Berechtigungen), das eine detaillierte Zugriffskontrolle für Datenkatalogressourcen ermöglicht. 

Weitere Informationen finden Sie unter [Übersicht über Lake-Formation-Berechtigungen](https://docs.aws.amazon.com//lake-formation/latest/dg/lf-permissions-overview.html) im *AWS Lake Formation -Entwicklerhandbuch*.

Es gibt zwei Haupttypen von Berechtigungen in AWS Lake Formation: 

1. Zugriffsberechtigungen für Metadaten steuern die Fähigkeit, Metadatendatenbanken und Tabellen im Datenkatalog zu erstellen, zu lesen, zu aktualisieren und zu löschen.

1. Die zugrunde liegenden Datenzugriffsberechtigungen steuern die Fähigkeit, Daten zu den zugrunde liegenden Amazon-S3-Speicherorten zu lesen und zu schreiben, auf die die Datenkatalogressourcen verweisen.

Lake Formation verwendet eine Kombination aus seinem eigenen Berechtigungsmodell und dem IAM-Berechtigungsmodell, um den Zugriff auf Data Catalog und zugrunde liegende Daten zu steuern.
+ Damit eine Anfrage für den Zugriff auf Datenkatalogressourcen oder zugrunde liegende Daten erfolgreich ist, muss die Anforderung die Berechtigungsprüfungen sowohl von IAM als auch von Lake Formation bestehen.
+ IAM-Berechtigungen steuern den Zugriff auf die Lake Formation AWS Glue APIs und die Ressourcen, wohingegen Lake Formation Formation-Berechtigungen den Zugriff auf die Datenkatalogressourcen, Amazon S3 S3-Standorte und die zugrunde liegenden Daten steuern.

Lake-Formation-Berechtigungen gelten nur in der Region, in der sie erteilt wurden, und ein Prinzipal muss von einem Data Lake-Administrator oder einem anderen Prinzipal mit den erforderlichen Berechtigungen autorisiert werden, um Lake Formation-Berechtigungen zu erhalten. 

**Anmerkung**  
Wenn Sie der Benutzer sind, der die Tabellen-Bucket-Integration durchgeführt hat, verfügen Sie bereits über Lake Formation-Berechtigungen für Ihre Tabellen. Wenn Sie der einzige Prinzipal sind, der auf Ihre Tabellen zugreift, können Sie diesen Schritt überspringen. Sie müssen Lake Formation Berechtigungen für Ihre Tabellen nur anderen IAM-Prinzipal erteilen. Dadurch können andere Prinzipale beim Ausführen von Abfragen auf die Tabelle zugreifen. Weitere Informationen finden Sie unter [Erteilen der Lake Formation-Berechtigung für eine Tabelle oder Datenbank](#grant-lf-table). 

## Erteilen der Lake Formation-Berechtigung für eine Tabelle oder Datenbank
<a name="grant-lf-table"></a>

Sie können einem Lake Formation-Prinzipal Berechtigungen für eine Tabelle oder Datenbank in einem Tabellen-Bucket erteilen, entweder über die Lake Formation-Konsole oder über die AWS CLI.

**Anmerkung**  
Wenn Sie Lake Formation-Berechtigungen für eine Datenkatalogressource einem externen Konto oder direkt einem IAM-Prinzipal in einem anderen Konto gewähren, verwendet Lake Formation den Dienst AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen. Befindet sich das Konto des Empfängers in derselben Organisation wie das Konto des Zuweisungsempfängers, steht die gemeinsam genutzte Ressource dem Empfänger sofort zur Verfügung. Wenn sich das Konto des Zuschussempfängers nicht in derselben Organisation befindet, sendet AWS RAM eine Einladung an das Konto des Empfängers, den Ressourcenzuschuss anzunehmen oder abzulehnen. Um die gemeinsam genutzte Ressource verfügbar zu machen, muss der Data Lake-Administrator des Empfängerkontos dann die AWS RAM Konsole verwenden oder AWS CLI die Einladung annehmen. Weitere Informationen zur kontenübergreifenden Datenfreigabe finden Sie unter [Kontenübergreifender Datenaustausch in Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) im *AWS Lake Formation -Entwicklerhandbuch*.

------
#### [ Console ]

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) und melden Sie sich als Data Lake-Administrator an. Weitere Informationen zum Erstellen eines Data Lake-Administrators finden Sie unter [Erstellen eines Data Lake-Administrators](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#create-data-lake-admin) im *AWS Lake Formation -Entwicklerhandbuch*.

1. Wählen Sie im Navigationsbereich **Datenberechtigungen** und dann **Erteilen** aus. 

1. Führen Sie auf der Seite **Grant Permissions** unter **Prinzipale** einen der folgenden Schritte aus:
   + Wählen Sie für Amazon Athena oder Amazon Redshift **IAM-Benutzer und -Rollen und anschließend den IAM-Prinzipal** aus, den Sie für Abfragen verwenden.
   + Wählen Sie für Amazon Data Firehose **IAM-Benutzer und -Rollen und anschließend** die Servicerolle aus, die Sie für das Streamen in Tabellen erstellt haben.
   + Wählen Sie für Quick **SAML-Benutzer und -Gruppen** aus und geben Sie den Amazon-Ressourcennamen (ARN) Ihres Quick-Admin-Benutzers ein.
   + Wählen Sie für den AWS GlueIceberg REST Endpunktzugriff **IAM-Benutzer und -Rollen und** dann die IAM-Rolle aus, die Sie für Ihren Kunden erstellt haben. Weitere Informationen finden Sie unter [Erstellen Sie eine IAM-Rolle für Ihren Client.](s3-tables-integrating-glue-endpoint.md#glue-endpoint-create-iam-role).

1. Wählen Sie unter **LF-Tags or catalog resources (LF-Tags oder Katalogressourcen)** die Option **Named Data Catalog resources (Benannte Datenkatalogressourcen)**.

1. Wählen Sie für **Kataloge** den Unterkatalog aus, den Sie bei der Integration Ihres Tabellen-Buckets erstellt haben, z. B. `account-id:s3tablescatalog/amzn-s3-demo-bucket`.

1. Wählen Sie für **Databases (Datenbanken)** den Namespace des S3-Tabellen-Buckets aus, den Sie erstellt haben.

1. (Optional) Wählen Sie für **Tabellen** die S3-Tabelle aus, die Sie in Ihrem Tabellen-Bucket erstellt haben. 
**Anmerkung**  
Wenn Sie im Athena-Abfrage-Editor eine neue Tabelle erstellen, wählen Sie keine Tabelle aus. 

1. Führen Sie eine der folgenden Aktionen aus:
   + Wenn Sie im vorherigen Schritt eine Tabelle angegeben haben, wählen Sie für **Tabellenberechtigungen** die Option **Super**.
   + Wenn Sie im vorherigen Schritt keine Tabelle angegeben haben, wechseln Sie zu **Datenbankberechtigungen**. Für die kontoübergreifende gemeinsame Nutzung von Daten können Sie **Super** nicht wählen, um dem anderen Prinzipal alle Berechtigungen für Ihre Datenbank zu gewähren. Wählen Sie stattdessen detailliertere Berechtigungen wie **Beschreiben**.

1. Wählen Sie **Grant (Erteilen)**.

------
#### [ CLI ]

1. Stellen Sie sicher, dass Sie die folgenden AWS CLI Befehle als Data Lake-Administrator ausführen. Weitere Informationen finden Sie unter [Erstellen eines Data Lake-Administrators](https://docs.aws.amazon.com//lake-formation/latest/dg/initial-lf-config.html#create-data-lake-admin) im *AWS Lake Formation -Entwicklerhandbuch*.

1. Führen Sie den folgenden Befehl aus, um einem IAM-Prinzipal Lake-Formation-Berechtigungen in der Tabelle im S3-Table-Bucket für den Zugriff auf die Tabelle zu erteilen. Wenn Sie dieses Beispiel verwenden möchten, ersetzen Sie die *`user input placeholders`* (Platzhalter für Benutzereingaben) durch Ihre Informationen. 

   ```
   aws lakeformation grant-permissions \
   --region us-east-1 \
   --cli-input-json \
   '{
       "Principal": {
           "DataLakePrincipalIdentifier": "user or role ARN, for example, arn:aws:iam::account-id:role/example-role"
       },
       "Resource": {
           "Table": {
               "CatalogId": "account-id:s3tablescatalog/amzn-s3-demo-bucket",
               "DatabaseName": "S3 table bucket namespace, for example, test_namespace",
               "Name": "S3 table bucket table name, for example test_table"
           }
       },
       "Permissions": [
           "ALL"
       ]
   }'
   ```

------