Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Lake Formation Tutorials
Die folgenden Tutorials sind in drei Abschnitte gegliedert und enthalten step-by-step Anweisungen zum Aufbau eines Data Lakes, zum Ingestieren von Daten, zum Teilen und Sichern von Data Lakes mithilfe von AWS Lake Formation:
1. **Einen Data Lake erstellen und Daten aufnehmen:** Erfahren Sie, wie Sie einen Data Lake erstellen und mithilfe von Blueprints Ihre Daten verschieben, speichern, katalogisieren, bereinigen und organisieren. Sie werden auch lernen, verwaltete Tabellen einzurichten. Eine verwaltete Tabelle ist ein neuer Amazon S3 S3-Tabellentyp, der atomare, konsistente, isolierte und dauerhafte Transaktionen (ACID) unterstützt.
Bevor Sie beginnen, stellen Sie sicher, dass Sie die unter aufgeführten Schritte abgeschlossen haben[Erste Schritte mit Lake Formation](getting-started-setup.md).
+ [Einen Data Lake aus einer AWS CloudTrail Quelle erstellen](getting-started-cloudtrail-tutorial.md)
Erstellen und laden Sie Ihren ersten Data Lake, indem Sie Ihre eigenen CloudTrail Logs als Datenquelle verwenden.
+ [Erstellen eines Data Lakes aus einer JDBC-Quelle in Lake Formation](getting-started-tutorial-jdbc.md)
Erstellen Sie einen Data Lake, indem Sie einen Ihrer auf JDBC zugänglichen Datenspeicher, z. B. eine relationale Datenbank, als Datenquelle verwenden.
1. **Sicherung von Data Lakes:** Erfahren Sie, wie Sie mithilfe von Tag-basierten Zugriffskontrollen und Zugriffskontrollen auf Zeilenebene den Zugriff auf Ihre Data Lakes effektiv sichern und verwalten können.
+ [Berechtigungen für Open-Table-Speicherformate in Lake Formation einrichten](otf-tutorial.md)
Dieses Tutorial zeigt, wie Sie Berechtigungen für Open-Source-Transaktionstabellenformate (Apache Iceberg-, Apache Hudi- und Delta Lake-Tabellen der Linux Foundation) in Lake Formation einrichten.
+ [Verwaltung eines Data Lakes mithilfe der Tag-basierten Zugriffskontrolle von Lake Formation](managing-dl-tutorial.md)
Erfahren Sie, wie Sie den Zugriff auf die Daten in einem Data Lake mithilfe der tagbasierten Zugriffskontrolle in Lake Formation verwalten.
+ [Sicherung von Data Lakes mit Zugriffskontrolle auf Zeilenebene](cbac-tutorial.md)
Erfahren Sie, wie Sie Berechtigungen auf Zeilenebene einrichten, mit denen Sie den Zugriff auf bestimmte Zeilen auf der Grundlage von Datenkonformitäts- und Governance-Richtlinien in Lake Formation einschränken können.
1. **Gemeinsame Nutzung von Daten:** Erfahren Sie, wie Sie Ihre Daten AWS-Konten mithilfe von Tag-Based Access Control (TBAC) sicher teilen und detaillierte Berechtigungen für gemeinsam genutzte Datensätze verwalten können. AWS-Konten
+ [Gemeinsame Nutzung eines Data Lakes mithilfe von Tag-basierter Zugriffskontrolle von Lake Formation und benannten Ressourcen](share-dl-tbac-tutorial.md)
In diesem Tutorial erfahren Sie, wie Sie Ihre Daten AWS-Konten mithilfe von Lake Formation sicher teilen können.
+ [Gemeinsame Nutzung eines Data Lakes mithilfe der feinkörnigen Zugriffskontrolle von Lake Formation](share-dl-fgac-tutorial.md)
In diesem Tutorial erfahren Sie, wie Sie mithilfe von Lake Formation schnell und einfach Datensätze gemeinsam nutzen können, wenn Sie mehrere AWS-Konten mit AWS Organizations verwalten.
**Topics**
+ [Einen Data Lake aus einer AWS CloudTrail Quelle erstellen](getting-started-cloudtrail-tutorial.md)
+ [Erstellen eines Data Lakes aus einer JDBC-Quelle in Lake Formation](getting-started-tutorial-jdbc.md)
+ [Berechtigungen für Open-Table-Speicherformate in Lake Formation einrichten](otf-tutorial.md)
+ [Verwaltung eines Data Lakes mithilfe der Tag-basierten Zugriffskontrolle von Lake Formation](managing-dl-tutorial.md)
+ [Sicherung von Data Lakes mit Zugriffskontrolle auf Zeilenebene](cbac-tutorial.md)
+ [Gemeinsame Nutzung eines Data Lakes mithilfe von Tag-basierter Zugriffskontrolle von Lake Formation und benannten Ressourcen](share-dl-tbac-tutorial.md)
+ [Gemeinsame Nutzung eines Data Lakes mithilfe der feinkörnigen Zugriffskontrolle von Lake Formation](share-dl-fgac-tutorial.md)
# Einen Data Lake aus einer AWS CloudTrail Quelle erstellen
Dieses Tutorial führt Sie durch die Aktionen, die Sie in der Lake Formation Formation-Konsole ausführen müssen, um Ihren ersten Data Lake aus einer AWS CloudTrail Quelle zu erstellen und zu laden.
**Allgemeine Schritte zum Erstellen eines Data Lakes**
1. Registrieren Sie einen Amazon Simple Storage Service (Amazon S3) -Pfad als Data Lake.
1. Erteilen Sie Lake Formation die Berechtigungen, in den Datenkatalog und in Amazon S3 S3-Standorte im Data Lake zu schreiben.
1. Erstellen Sie eine Datenbank, um die Metadatentabellen im Datenkatalog zu organisieren.
1. Verwenden Sie einen Blueprint, um einen Workflow zu erstellen. Führen Sie den Workflow aus, um Daten aus einer Datenquelle aufzunehmen.
1. Richten Sie Ihre Lake Formation Formation-Berechtigungen so ein, dass andere Personen Daten im Datenkatalog und im Data Lake verwalten können.
1. Richten Sie Amazon Athena so ein, dass die Daten, die Sie in Ihren Amazon S3 S3-Data Lake importiert haben, abgefragt werden.
1. Richten Sie Amazon Redshift Spectrum für einige Datenspeichertypen so ein, dass die Daten abgefragt werden, die Sie in Ihren Amazon S3 S3-Data Lake importiert haben.
**Topics**
+ [Zielgruppe](#cloudtrail-tut-personas)
+ [Voraussetzungen](#cloudtrail-tut-prereqs)
+ [Schritt 1: Erstellen Sie einen Data Analyst-Benutzer](#cloudtrail-tut-create-lf-user)
+ [Schritt 2: Fügen Sie der Workflow-Rolle Berechtigungen zum Lesen von AWS CloudTrail Protokollen hinzu](#cloudtrail-tut-grant-cloudtrail)
+ [Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake](#cloudtrail-tut-create-bucket)
+ [Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad](#cloudtrail-tut-register)
+ [Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort](#cloudtrail-tut-data-location)
+ [Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog](#cloudtrail-tut-create-db)
+ [Schritt 7: Erteilen Sie Datenberechtigungen](#cloudtrail-tut-data-permissions)
+ [Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen](#cloudtrail-tut-create-workflow)
+ [Schritt 9: Führen Sie den Workflow aus](#cloudtrail-tut-run-workflow)
+ [Schritt 10: Gewähren Sie SELECT für die Tabellen](#cloudtrail-tut-grant-table)
+ [Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena](#cloudtrail-tut-query)
## Zielgruppe
In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet wurden, um einen Data Lake zu erstellen.
**Zielgruppe**
| Rolle | Description |
| --- | --- |
| IAM-Administrator | Hat die AWS verwaltete Richtlinie:AdministratorAccess. Kann IAM-Rollen und Amazon S3 S3-Buckets erstellen. |
| Data-Lake-Administrator | Benutzer, der auf den Datenkatalog zugreifen, Datenbanken erstellen und anderen Benutzern Lake Formation Formation-Berechtigungen gewähren kann. Hat weniger IAM-Berechtigungen als der IAM-Administrator, reicht aber aus, um den Data Lake zu verwalten. |
| Datenanalyst | Benutzer, der Abfragen für den Data Lake ausführen kann. Hat nur genügend Berechtigungen, um Abfragen auszuführen. |
| Workflow-Rolle | Rolle mit den erforderlichen IAM-Richtlinien zur Ausführung eines Workflows. Weitere Informationen finden Sie unter [(Optional) Erstellen Sie eine IAM-Rolle für Workflows](initial-lf-config.md#iam-create-blueprint-role). |
## Voraussetzungen
Bevor Sie beginnen:
+ Stellen Sie sicher, dass Sie die Aufgaben in [Richten AWS Lake Formation](initial-lf-config.md) abgeschlossen haben.
+ Informieren Sie sich über den Speicherort Ihrer CloudTrail Protokolle.
+ Athena verlangt von der Datenanalyst-Persona, dass sie vor der Verwendung von Athena einen Amazon S3 S3-Bucket zum Speichern von Abfrageergebnissen erstellt.
Vertrautheit mit AWS Identity and Access Management (IAM) wird vorausgesetzt. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
## Schritt 1: Erstellen Sie einen Data Analyst-Benutzer
Dieser Benutzer verfügt über die Mindestberechtigungen, um den Data Lake abzufragen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) die IAM-Konsole. Melden Sie sich als der Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.
1. Erstellen Sie einen Benutzer `datalake_user` mit dem Namen mit den folgenden Einstellungen:
+ AWS-Managementkonsole Zugriff aktivieren.
+ Legen Sie ein Passwort fest und fordern Sie kein Zurücksetzen des Passworts an.
+ Hängen Sie die `AmazonAthenaFullAccess` AWS verwaltete Richtlinie an.
+ Fügen Sie die folgende Inline-Richtlinie an. Speichern Sie die Richtlinie unter dem Namen `DatalakeUserBasic`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
## Schritt 2: Fügen Sie der Workflow-Rolle Berechtigungen zum Lesen von AWS CloudTrail Protokollen hinzu
1. Fügen Sie der Rolle die folgende Inline-Richtlinie hinzu`LakeFormationWorkflowRole`. Die Richtlinie gewährt die Erlaubnis, Ihre AWS CloudTrail Protokolle zu lesen. Speichern Sie die Richtlinie unter dem Namen `DatalakeGetCloudTrail`.
Weitere Informationen zum Erstellen der `LakeFormationWorkflowRole`-Rolle finden Sie unter [(Optional) Erstellen Sie eine IAM-Rolle für Workflows](initial-lf-config.md#iam-create-blueprint-role).
**Wichtig**
**Ersetzen Sie durch den Amazon S3 S3-Speicherort Ihrer CloudTrail Daten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": ["arn:aws:s3:::/*"]
}
]
}
```
------
1. Stellen Sie sicher, dass der Rolle drei Richtlinien zugeordnet sind.
## Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake
Erstellen Sie den Amazon S3 S3-Bucket, der der Stammspeicherort Ihres Data Lakes sein soll.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)und melden Sie sich als der Administratorbenutzer an, den Sie erstellt haben[Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin).
1. Wählen Sie **Create Bucket** und erstellen Sie mithilfe des Assistenten einen Bucket mit dem ** Namen`-datalake-cloudtrail`, der Ihren Vor- und Nachnamen enthält. Beispiel: `jdoe-datalake-cloudtrail`.
Eine ausführliche Anleitung zur Erstellung eines Amazon S3 S3-Buckets finden Sie unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html).
## Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad
Registrieren Sie einen Amazon S3 S3-Pfad als Stammverzeichnis Ihres Data Lakes.
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.
1. Wählen Sie im Navigationsbereich unter **Registrieren und aufnehmen** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Speicherort registrieren** und dann **Durchsuchen** aus.
1. Wählen Sie den `-datalake-cloudtrail` Bucket aus, den Sie zuvor erstellt haben, akzeptieren Sie die Standard-IAM-Rolle `AWSServiceRoleForLakeFormationDataAccess` und wählen Sie dann **Standort registrieren** aus.
Weitere Informationen zur Registrierung von Standorten finden Sie unter[Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).
## Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort
Prinzipale müssen über *Datenspeicherberechtigungen für* einen Data Lake-Standort verfügen, um Datenkatalogtabellen oder Datenbanken zu erstellen, die auf diesen Speicherort verweisen. Sie müssen der IAM-Rolle für Workflows Datenspeicherberechtigungen erteilen, damit der Workflow in das Datenaufnahmeziel schreiben kann.
1. **Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option Datenspeicherorte aus.**
1. Wählen Sie **Grant** aus, und treffen Sie im Dialogfeld **Berechtigungen gewähren** die folgenden Auswahlen:
1. Wählen Sie für **IAM-Benutzer und -Rollen** die Option. `LakeFormationWorkflowRole`
1. Wählen Sie für **Speicherorte** Ihren `-datalake-cloudtrail` Bucket aus.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zu Berechtigungen für Datenspeicherorte finden Sie unter[Underlying data access control](access-control-underlying-data.md#data-location-permissions).
## Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog
Metadatentabellen im Lake Formation Data Catalog werden in einer Datenbank gespeichert.
1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie **Datenbank erstellen** aus, und geben Sie unter **Datenbankdetails** den Namen ein`lakeformation_cloudtrail`.
1. Lassen Sie die anderen Felder leer und wählen Sie **Datenbank erstellen** aus.
## Schritt 7: Erteilen Sie Datenberechtigungen
Sie müssen Berechtigungen zum Erstellen von Metadatentabellen im Datenkatalog erteilen. Da der Workflow mit der Rolle ausgeführt wird`LakeFormationWorkflowRole`, müssen Sie der Rolle diese Berechtigungen erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie die `lakeformation_cloudtrail` Datenbank aus und wählen Sie dann in der Dropdownliste **Aktionen** unter der Überschrift Berechtigungen die Option **Grant** aus.
1. Treffen Sie im Dialogfeld „**Datenberechtigungen gewähren**“ die folgenden Optionen:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `LakeFormationWorkflowRole`
1. Wählen Sie unter **LF-Tags or catalog resources (LF-Tags oder Katalogressourcen)** die Option **Named Data Catalog resources (Benannte Datenkatalogressourcen)**.
1. Bei **Datenbanken** sollten Sie sehen, dass die `lakeformation_cloudtrail` Datenbank bereits hinzugefügt wurde.
1. Wählen Sie unter **Datenbankberechtigungen** die Optionen **Tabelle erstellen**, **Ändern** und **Löschen** aus, und deaktivieren Sie **Super**, falls diese Option ausgewählt ist.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zur Erteilung von Lake Formation Formation-Berechtigungen finden Sie unter[Verwaltung von Lake Formation Formation-Berechtigungen](managing-permissions.md).
## Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen
Um die CloudTrail Protokolle zu lesen, ihre Struktur zu verstehen und die entsprechenden Tabellen im Datenkatalog zu erstellen, müssen wir einen Workflow einrichten, der aus AWS Glue Crawlern, Jobs, Triggern und Workflows besteht. Die Blueprints von Lake Formation vereinfachen diesen Prozess.
Der Workflow generiert die Jobs, Crawler und Trigger, die Daten erkennen und in Ihren Data Lake aufnehmen. Sie erstellen einen Workflow, der auf einem der vordefinierten Lake Formation-Blueprints basiert.
1. **Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Ingestion die Option **Blueprints** aus, und wählen Sie dann Blueprint** verwenden aus.**
1. **Wählen Sie auf der Seite Blueprint **verwenden unter Blueprint-Typ** die Option aus. **AWS CloudTrail****
1. Wählen **Sie unter Quelle importieren** eine CloudTrail Quelle und ein Startdatum aus.
1. Geben **Sie unter Importziel** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)
1. Wählen Sie für die Importhäufigkeit die Option **Bei Bedarf ausführen aus**.
1. Geben **Sie unter Importoptionen** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)
1. Wählen Sie **Create** und warten Sie, bis die Konsole meldet, dass der Workflow erfolgreich erstellt wurde.
**Tipp**
Haben Sie die folgende Fehlermeldung erhalten?
`User: arn:aws:iam:::user/ is not authorized to perform: iam:PassRole on resource:arn:aws:iam:::role/LakeFormationWorkflowRole...`
Falls ja, überprüfen Sie, ob Sie die Inline-Richtlinie für den Data Lake-Administratorbenutzer durch eine gültige AWS Kontonummer ersetzt ** haben.
## Schritt 9: Führen Sie den Workflow aus
Da Sie angegeben haben, dass es sich um einen Workflow handelt run-on-demand, müssen Sie den Workflow manuell starten.
+ Wählen Sie auf der Seite **Blueprints** den Workflow aus`lakeformationcloudtrailtest`, und klicken Sie im Menü **Aktionen** auf **Start**.
Während der Ausführung des Workflows können Sie seinen Fortschritt in der Spalte **Status der letzten Ausführung einsehen**. Wählen Sie gelegentlich die Schaltfläche „Aktualisieren“.
Der Status wechselt von **LÄUFT** zu **Wird** erkannt, **importiert** und ist **ABGESCHLOSSEN**.
Wenn der Workflow abgeschlossen ist:
+ Der Datenkatalog wird neue Metadatentabellen enthalten.
+ Ihre CloudTrail Protokolle werden in den Data Lake aufgenommen.
Wenn der Workflow fehlschlägt, gehen Sie wie folgt vor:
1. Wählen Sie den Workflow aus, und klicken Sie im Menü **Aktionen** **auf Diagramm anzeigen**.
Der Workflow wird in der AWS Glue Konsole geöffnet.
1. Wählen Sie den Workflow aus und gehen Sie auf die Registerkarte **History (Verlauf)**.
1. Wählen Sie unter **Verlauf** den letzten Lauf aus und klicken Sie **auf Laufdetails anzeigen**.
1. Wählen Sie im dynamischen (Laufzeit-) Diagramm einen fehlgeschlagenen Job oder Crawler aus und überprüfen Sie die Fehlermeldung. Fehlgeschlagene Knoten sind entweder rot oder gelb.
## Schritt 10: Gewähren Sie SELECT für die Tabellen
Sie müssen die `SELECT` Berechtigung für die neuen Datenkatalogtabellen erteilen, damit der Datenanalyst die Daten abfragen kann, auf die die Tabellen verweisen.
**Anmerkung**
Ein Workflow erteilt dem Benutzer, der ihn ausgeführt hat, automatisch die `SELECT` Berechtigung für die Tabellen, die er erstellt hat. Da der Data Lake-Administrator diesen Workflow ausgeführt hat, müssen Sie ihn `SELECT` dem Datenanalysten erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie die `lakeformation_cloudtrail` Datenbank aus und wählen Sie dann in der Dropdownliste **Aktionen** unter der Überschrift Berechtigungen die Option **Grant** aus.
1. Treffen Sie im Dialogfeld „**Datenberechtigungen gewähren**“ die folgenden Optionen:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `datalake_user`
1. Wählen Sie unter **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Für **Datenbanken** sollte die `lakeformation_cloudtrail` Datenbank bereits ausgewählt sein.
1. Wählen Sie für **Tabellen** die Option`cloudtrailtest-cloudtrail`.
1. Wählen Sie unter **Tabellen- und Spaltenberechtigungen** die **Option Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
**Der nächste Schritt wird als Datenanalyst ausgeführt.**
## Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena
Verwenden Sie die Amazon Athena Konsole, um die CloudTrail Daten in Ihrem Data Lake abzufragen.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)und melden Sie sich als Datenanalyst, Benutzer `datalake_user` an.
1. Falls erforderlich, wählen Sie **Get Started**, um zum Athena-Abfrage-Editor zu gelangen.
1. Wählen Sie für **Datenquelle** **AwsDataCatalog** aus.
1. Wählen Sie unter **Database (Datenbank)** Option `lakeformation_cloudtrail` aus.
Die **Tabellenliste** wird aufgefüllt.
1. **Wählen Sie im Überlaufmenü (3 horizontal angeordnete Punkte) neben der Tabelle `cloudtrailtest-cloudtrail` die Option **Tabellenvorschau** und anschließend Ausführen aus.**
Die Abfrage wird ausgeführt und zeigt 10 Datenzeilen an.
Wenn Sie Athena noch nicht verwendet haben, müssen Sie zunächst einen Amazon S3 S3-Standort in der Athena-Konsole zum Speichern der Abfrageergebnisse konfigurieren. Sie `datalake_user` müssen über die erforderlichen Berechtigungen für den Zugriff auf den von Ihnen Amazon S3 S3-Bucket verfügen.
**Anmerkung**
Nachdem Sie das Tutorial abgeschlossen haben, gewähren Sie den Prinzipalen in Ihrer Organisation Datenberechtigungen und Datenspeicherberechtigungen.
# Erstellen eines Data Lakes aus einer JDBC-Quelle in Lake Formation
Dieses Tutorial führt Sie durch die Schritte, die Sie auf der AWS Lake Formation Konsole ausführen müssen, um mithilfe von Lake Formation Ihren ersten Data Lake aus einer JDBC-Quelle zu erstellen und zu laden.
**Topics**
+ [Zielgruppe](#tut-personas)
+ [Voraussetzungen für das JDBC-Tutorial](#tut-prereqs)
+ [Schritt 1: Erstellen Sie einen Data Analyst-Benutzer](#tut-create-lf-user)
+ [Schritt 2: Erstellen Sie eine Verbindung in AWS Glue](#tut-connection)
+ [Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake](#tut-create-bucket)
+ [Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad](#tut-register)
+ [Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort](#tut-data-location)
+ [Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog](#tut-create-db)
+ [Schritt 7: Erteilen Sie Datenberechtigungen](#tut-grant-data-permissions)
+ [Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen](#tut-create-workflow)
+ [Schritt 9: Führen Sie den Workflow aus](#tut-run-workflow)
+ [Schritt 10: Gewähren Sie SELECT für die Tabellen](#tut-grant-select)
+ [Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena](#tut-query-athena)
+ [Schritt 12: Fragen Sie die Daten im Data Lake mit Amazon Redshift Spectrum ab](#tut-query-redshift)
+ [Schritt 13: Erteilen oder Widerrufen Lake Formation Formation-Berechtigungen mithilfe von Amazon Redshift Spectrum](#getting-started-tutorial-grant-revoke-redshift)
## Zielgruppe
In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem [AWS Lake Formation JDBC-Tutorial](#getting-started-tutorial-jdbc) verwendet werden.
| Rolle | Description |
| --- | --- |
| IAM-Administrator | Ein Benutzer, der AWS Identity and Access Management (IAM) -Benutzer und -Rollen sowie Amazon Simple Storage Service (Amazon S3) -Buckets erstellen kann. Hat die AdministratorAccess AWS verwaltete Richtlinie. |
| Data Lake-Administrator | Ein Benutzer, der auf den Datenkatalog zugreifen, Datenbanken erstellen und anderen Benutzern Lake Formation Formation-Berechtigungen gewähren kann. Hat weniger IAM-Berechtigungen als der IAM-Administrator, reicht aber aus, um den Data Lake zu verwalten. |
| Datenanalyst | Ein Benutzer, der Abfragen für den Data Lake ausführen kann. Hat nur genügend Berechtigungen, um Abfragen auszuführen. |
| Workflow-Rolle | Eine Rolle mit den erforderlichen IAM-Richtlinien zur Ausführung eines Workflows. |
Informationen zu den Voraussetzungen für das Abschließen des Tutorials finden Sie unter[Voraussetzungen für das JDBC-Tutorial](#tut-prereqs).
## Voraussetzungen für das JDBC-Tutorial
Bevor Sie mit dem [AWS Lake Formation JDBC-Tutorial](#getting-started-tutorial-jdbc) beginnen, stellen Sie sicher, dass Sie Folgendes getan haben:
+ Führen Sie die Aufgaben unter au [Erste Schritte mit Lake Formation](getting-started-setup.md).
+ Entscheiden Sie sich für einen JDBC-zugänglichen Datenspeicher, den Sie für das Tutorial verwenden möchten.
+ Sammeln Sie die Informationen, die zum Herstellen einer AWS Glue Verbindung des Typs JDBC erforderlich sind. Dieses Datenkatalogobjekt enthält die URL zum Datenspeicher, Anmeldeinformationen und zusätzliche VPC-spezifische Konfigurationsinformationen, falls der Datenspeicher in einer Amazon Virtual Private Cloud (Amazon VPC) erstellt wurde. *Weitere Informationen finden Sie unter [Definieren von Verbindungen im AWS Glue Datenkatalog im Entwicklerhandbuch](https://docs.aws.amazon.com/glue/latest/dg/populate-add-connection.html).AWS Glue *
In der Anleitung wird davon ausgegangen, dass Sie mit AWS Identity and Access Management (IAM) vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
Um zu beginnen, fahren Sie mit fort. [Schritt 1: Erstellen Sie einen Data Analyst-Benutzer](#tut-create-lf-user)
## Schritt 1: Erstellen Sie einen Data Analyst-Benutzer
In diesem Schritt erstellen Sie einen AWS Identity and Access Management (IAM-) Benutzer, der als Datenanalyst für Ihren Data Lake in fungiert. AWS Lake Formation
Dieser Benutzer verfügt über die Mindestberechtigungen, um den Data Lake abzufragen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) die IAM-Konsole. Melden Sie sich als der Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.
1. Erstellen Sie einen Benutzer `datalake_user` mit dem Namen mit den folgenden Einstellungen:
+ AWS-Managementkonsole Zugriff aktivieren.
+ Legen Sie ein Passwort fest und fordern Sie kein Zurücksetzen des Passworts an.
+ Hängen Sie die `AmazonAthenaFullAccess` AWS verwaltete Richtlinie an.
+ Fügen Sie die folgende Inline-Richtlinie an. Speichern Sie die Richtlinie unter dem Namen `DatalakeUserBasic`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
## Schritt 2: Erstellen Sie eine Verbindung in AWS Glue
**Anmerkung**
Überspringen Sie diesen Schritt, wenn Sie bereits eine AWS Glue Verbindung zu Ihrer JDBC-Datenquelle haben.
AWS Lake Formation *greift über eine Verbindung auf JDBC-Datenquellen zu. AWS Glue* Eine Verbindung ist ein Datenkatalogobjekt, das alle Informationen enthält, die für die Verbindung mit der Datenquelle erforderlich sind. Sie können mit der AWS Glue Konsole eine Verbindung herstellen.
**So stellen Sie eine Verbindung her**
1. Öffnen Sie AWS Glue die Konsole unter [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) und melden Sie sich als der Administratorbenutzer an, den Sie erstellt haben[Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin).
1. Wählen Sie im Navigationsbereich unter **Data catalog** die Option **Connections (Verbindungen)** aus.
1. Wählen Sie auf der Seite **Connectors** die Option **Verbindung erstellen** aus.
1. **Wählen Sie auf der Seite Datenquelle** auswählen die Option **JDBC** als Verbindungstyp aus. Klicken Sie anschließend auf **Weiter**.
1. Fahren Sie mit dem Verbindungsassistenten fort und speichern Sie die Verbindung.
Informationen zum Erstellen einer Verbindung finden Sie unter [AWS Glue JDBC-Verbindungseigenschaften](https://docs.aws.amazon.com/glue/latest/dg/connection-properties.html#connection-properties-jdbc) im *AWS Glue Entwicklerhandbuch*.
## Schritt 3: Erstellen Sie einen Amazon S3 S3-Bucket für den Data Lake
In diesem Schritt erstellen Sie den Amazon Simple Storage Service (Amazon S3) -Bucket, der als Stammverzeichnis Ihres Data Lake dienen soll.
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)und melden Sie sich als der Administratorbenutzer an, den Sie erstellt haben[Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin).
1. Wählen Sie **Create Bucket** und erstellen Sie mithilfe des Assistenten einen Bucket mit dem ** Namen`-datalake-tutorial`, der Ihren Vor- und Nachnamen enthält. Beispiel: `jdoe-datalake-tutorial`.
Eine ausführliche Anleitung zur Erstellung eines Amazon S3 S3-Buckets finden Sie unter [Wie erstelle ich einen S3-Bucket?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Schritt 4: Registrieren Sie einen Amazon S3 S3-Pfad
In diesem Schritt registrieren Sie einen Amazon Simple Storage Service (Amazon S3) -Pfad als Stammverzeichnis Ihres Data Lakes.
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Speicherort registrieren** und dann **Durchsuchen** aus.
1. Wählen Sie den `-datalake-tutorial` Bucket aus, den Sie zuvor erstellt haben, akzeptieren Sie die Standard-IAM-Rolle `AWSServiceRoleForLakeFormationDataAccess` und wählen Sie dann **Standort registrieren** aus.
Weitere Informationen zur Registrierung von Standorten finden Sie unter[Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).
## Schritt 5: Erteilen Sie Berechtigungen für den Datenspeicherort
Prinzipale müssen über *Datenstandortberechtigungen für* einen Data Lake-Standort verfügen, um Datenkatalogtabellen oder Datenbanken zu erstellen, die auf diesen Speicherort verweisen. Sie müssen der IAM-Rolle für Workflows Datenspeicherberechtigungen erteilen, damit der Workflow in das Datenaufnahmeziel schreiben kann.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** aus.
1. Wählen Sie **Grant** aus, und gehen Sie im Dialogfeld **Berechtigungen gewähren** wie folgt vor:
1. Wählen Sie für **IAM-Benutzer und -Rollen** die Option`LakeFormationWorkflowRole`.
1. Wählen Sie für **Speicherorte** Ihren `-datalake-tutorial` Bucket aus.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zu Berechtigungen für Datenspeicherorte finden Sie unter[Underlying data access control](access-control-underlying-data.md#data-location-permissions).
## Schritt 6: Erstellen Sie eine Datenbank im Datenkatalog
Metadatentabellen im Lake Formation Data Catalog werden in einer Datenbank gespeichert.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie **Datenbank erstellen** aus, und geben Sie unter **Datenbankdetails** den Namen ein`lakeformation_tutorial`.
1. Lassen Sie die anderen Felder leer und wählen Sie **Datenbank erstellen** aus.
## Schritt 7: Erteilen Sie Datenberechtigungen
Sie müssen Berechtigungen zum Erstellen von Metadatentabellen im Datenkatalog erteilen. Da der Workflow mit der Rolle ausgeführt wird`LakeFormationWorkflowRole`, müssen Sie der Rolle diese Berechtigungen gewähren.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.
1. Wählen Sie **Grant** aus, und gehen Sie im Dialogfeld **Datenberechtigungen gewähren** wie folgt vor:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `LakeFormationWorkflowRole`
1. Wählen Sie unter **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Wählen Sie für **Datenbanken** die Datenbank aus, die Sie zuvor erstellt haben. `lakeformation_tutorial`
1. Wählen Sie unter **Datenbankberechtigungen** die Optionen **Tabelle erstellen**, **Ändern** und **Löschen** aus, und deaktivieren Sie **Super**, falls diese Option ausgewählt ist.
1. Wählen Sie **Grant (Erteilen)**.
Weitere Informationen zur Erteilung von Lake Formation Formation-Berechtigungen finden Sie unter[Überblick über die Genehmigungen für Lake Formation](lf-permissions-overview.md).
## Schritt 8: Verwenden Sie einen Blueprint, um einen Workflow zu erstellen
Der AWS Lake Formation Workflow generiert die AWS Glue Jobs, Crawler und Trigger, die Daten erkennen und in Ihren Data Lake aufnehmen. Sie erstellen einen Workflow, der auf einem der vordefinierten Lake Formation-Blueprints basiert.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich **Blueprints** und dann **Blueprint verwenden** aus.
1. **Wählen Sie auf der Seite **Blueprint verwenden unter Blueprint-Typ** **die Option Datenbank-Snapshot** aus.**
1. Wählen Sie unter **Importquelle** für **Datenbankverbindung** die Verbindung aus, die Sie gerade erstellt haben`datalake-tutorial`, oder wählen Sie eine bestehende Verbindung für Ihre Datenquelle aus.
1. Geben Sie im Formular `//` unter **Quelldatenpfad** den Pfad ein, aus dem Daten aufgenommen werden sollen.
Sie können den Platzhalter Prozent (%) durch Schema oder Tabelle ersetzen. Geben Sie für Datenbanken, die Schemas unterstützen,**/**/% ein, um alle darin enthaltenen Tabellen abzugleichen. ** ** Oracle Database und MySQL unterstützen kein Schema im Pfad. Geben Sie stattdessen ** /% ein. Für Oracle Database ** ist dies der Systembezeichner (SID).
Wenn eine Oracle-Datenbank beispielsweise die SID hat`orcl`, geben Sie ein, dass sie allen Tabellen `orcl/%` entspricht, auf die der in der JDCB-Verbindung angegebene Benutzer Zugriff hat.
**Wichtig**
Bitte beachten Sie die Groß- und Kleinschreibung.
1. Geben **Sie unter Importziel** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)
1. Wählen Sie für die Importhäufigkeit die Option **Bei Bedarf ausführen aus**.
1. Geben **Sie unter Importoptionen** die folgenden Parameter an:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)
1. Wählen Sie **Create** und warten Sie, bis die Konsole meldet, dass der Workflow erfolgreich erstellt wurde.
**Tipp**
Haben Sie die folgende Fehlermeldung erhalten?
`User: arn:aws:iam:::user/ is not authorized to perform: iam:PassRole on resource:arn:aws:iam:::role/LakeFormationWorkflowRole...`
Falls ja, überprüfen Sie, ob Sie ** in der Inline-Richtlinie für den Data Lake-Administratorbenutzer eine gültige AWS Kontonummer eingegeben haben.
## Schritt 9: Führen Sie den Workflow aus
Da Sie angegeben haben, dass es sich um einen Workflow handelt run-on-demand, müssen Sie den Workflow manuell in starten AWS Lake Formation.
1. Wählen Sie in der Lake Formation Formation-Konsole auf der Seite **Blueprints** den Workflow `lakeformationjdbctest` aus.
1. Wählen Sie **Aktionen** und dann **Start** aus.
1. Während der Ausführung des Workflows können Sie seinen Fortschritt in der Spalte **Status der letzten Ausführung** anzeigen. Wählen Sie gelegentlich die Schaltfläche „Aktualisieren“.
Der Status wechselt von **LÄUFT** zu **Wird** erkannt, **importiert** und ist **ABGESCHLOSSEN**.
Wenn der Workflow abgeschlossen ist:
+ Der Datenkatalog enthält neue Metadatentabellen.
+ Ihre Daten werden in den Data Lake aufgenommen.
Wenn der Workflow fehlschlägt, gehen Sie wie folgt vor:
1. Wählen Sie den Workflow aus. Wählen Sie **Aktionen** und dann **Diagramm anzeigen** aus.
Der Workflow wird in der AWS Glue Konsole geöffnet.
1. Wählen Sie den Workflow und dann die Registerkarte **Verlauf** aus.
1. Wählen Sie den letzten Lauf aus und wählen Sie **Laufdetails anzeigen**.
1. Wählen Sie im dynamischen (Laufzeit-) Diagramm einen fehlgeschlagenen Job oder Crawler aus und überprüfen Sie die Fehlermeldung. Fehlgeschlagene Knoten sind entweder rot oder gelb.
## Schritt 10: Gewähren Sie SELECT für die Tabellen
Sie müssen die `SELECT` Berechtigung für die neuen Datenkatalogtabellen erteilen, AWS Lake Formation damit der Datenanalyst die Daten abfragen kann, auf die die Tabellen verweisen.
**Anmerkung**
Ein Workflow erteilt dem Benutzer, der ihn ausgeführt hat, automatisch die `SELECT` Berechtigung für die Tabellen, die er erstellt hat. Da der Data Lake-Administrator diesen Workflow ausgeführt hat, müssen Sie ihn `SELECT` dem Datenanalysten erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.
1. Wählen Sie **Grant** aus, und gehen Sie im Dialogfeld **Datenberechtigungen gewähren** wie folgt vor:
1. Wählen Sie unter **Principals** für **IAM-Benutzer und -Rollen** die Option aus. `datalake_user`
1. Wählen Sie unter **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Wählen Sie für **Datenbanken** die Option. `lakeformation_tutorial`
Die **Tabellenliste** wird aufgefüllt.
1. Wählen Sie für **Tabellen** eine oder mehrere Tabellen aus Ihrer Datenquelle aus.
1. Wählen Sie unter **Tabellen- und Spaltenberechtigungen** die **Option Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
**Der nächste Schritt wird als Datenanalyst ausgeführt.**
## Schritt 11: Fragen Sie den Data Lake ab mit Amazon Athena
Verwenden Sie die Amazon Athena Konsole, um die Daten in Ihrem Data Lake abzufragen.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)und melden Sie sich als Datenanalyst-Benutzer `datalake_user` an.
1. Falls erforderlich, wählen Sie **Get Started**, um zum Athena-Abfrage-Editor zu gelangen.
1. Wählen Sie für **Datenquelle** **AwsDataCatalog** aus.
1. Wählen Sie unter **Database (Datenbank)** Option `lakeformation_tutorial` aus.
Die **Tabellenliste** wird aufgefüllt.
1. Wählen Sie im Popupmenü neben einer der Tabellen die Option **Tabellenvorschau** aus.
Die Abfrage wird ausgeführt und zeigt 10 Datenzeilen an.
## Schritt 12: Fragen Sie die Daten im Data Lake mit Amazon Redshift Spectrum ab
Sie können Amazon Redshift Spectrum so einrichten, dass die Daten abgefragt werden, die Sie in Ihren Amazon Simple Storage Service (Amazon S3) Data Lake importiert haben. Erstellen Sie zunächst eine AWS Identity and Access Management (IAM-) Rolle, die zum Starten des Amazon Redshift Redshift-Clusters und zum Abfragen der Amazon S3 S3-Daten verwendet wird. Erteilen Sie dieser Rolle anschließend die `Select` Berechtigungen für die Tabellen, die Sie abfragen möchten. Erteilen Sie dem Benutzer anschließend Berechtigungen zur Verwendung des Amazon Redshift Redshift-Abfrage-Editors. Erstellen Sie abschließend einen Amazon Redshift Redshift-Cluster und führen Sie Abfragen aus.
Sie erstellen den Cluster als Administrator und fragen den Cluster als Datenanalyst ab.
Weitere Informationen zu Amazon Redshift Spectrum finden Sie unter [Verwenden von Amazon Redshift Spectrum zur Abfrage externer Daten](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) im *Amazon Redshift Database* Developer Guide.
**So richten Sie Berechtigungen für die Ausführung von Amazon Redshift Redshift-Abfragen ein**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole. Melden Sie sich als der Administratorbenutzer an, den Sie in [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) (Benutzername`Administrator`) erstellt haben, oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.
1. Wählen Sie im Navigationsbereich **Policies** aus.
Wenn Sie zum ersten Mal **Policies (Richtlinien)** auswählen, erscheint die Seite **Welcome to Managed Policies (Willkommen bei verwalteten Richtlinien)**. Wählen Sie **Get Started**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie den Tab **JSON**.
1. Fügen Sie das folgende JSON-Richtliniendokument ein.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartitions",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:GetLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
],
"Resource": "*"
}
]
}
```
1. Wählen Sie, wenn Sie fertig sind, **Review (Überprüfen)** aus. Die Richtlinienvalidierung meldet mögliche Syntaxfehler.
1. Geben Sie auf der Seite „**Richtlinie überprüfen**“ den **Namen** **RedshiftLakeFormationPolicy** für die Richtlinie ein, die Sie erstellen. (Optional) Geben Sie eine **Beschreibung** ein. Überprüfen Sie unter **Summary** die Richtlinienzusammenfassung, um die Berechtigungen einzusehen, die von Ihrer Richtlinie gewährt werden. Wählen Sie dann **Create policy** aus, um Ihre Eingaben zu speichern.
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie für **Select trusted entity** (Vertrauenswürdige Entität auswählen) die Option **AWS -Dienst**.
1. Wählen Sie den Amazon-Redshift-Service aus, um diese Rolle anzunehmen.
1. Wählen Sie den Anwendungsfall **Redshift Costumizable (Durch Redshift anpassbar)** für Ihren Service aus. Wählen Sie dann **Next: Permissions**.
1. Suchen Sie nach der Berechtigungsrichtlinie, die Sie erstellt haben`RedshiftLakeFormationPolicy`, und aktivieren Sie das Kontrollkästchen neben dem Richtliniennamen in der Liste.
1. Wählen Sie **Next: Tags** (Weiter: Tags) aus.
1. Klicken Sie auf **Weiter: Prüfen**.
1. Geben Sie für **Role name (Rollenname)** den Namen **RedshiftLakeFormationRole** ein.
1. (Optional) Geben Sie im Feld **Role description (Rollenbeschreibung)** eine Beschreibung für die neue Rolle ein.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role (Rolle erstellen)**.
**Um `Select` Berechtigungen für die Tabelle zu erteilen, die in der Lake Formation Formation-Datenbank abgefragt werden soll**
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Melden Sie sich als Data Lake-Administrator an.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Data Lake-Berechtigungen** und dann **Grant** aus.
1. Geben Sie die folgenden Informationen ein:
+ Wählen Sie für **IAM-Benutzer und -Rollen** die von Ihnen erstellte IAM-Rolle aus. `RedshiftLakeFormationRole` Wenn Sie den Amazon Redshift Query Editor ausführen, verwendet dieser die IAM-Rolle, um die erforderlichen Berechtigungen für die Daten zu erhalten.
+ Wählen Sie unter **Database (Datenbank)** Option `lakeformation_tutorial` aus.
Die Tabellenliste wird aufgefüllt.
+ Wählen Sie für **Tabelle** eine Tabelle in der abzufragenden Datenquelle aus.
+ Wählen Sie die Berechtigung Tabelle **auswählen**.
1. Wählen Sie **Grant (Erteilen)**.
**So richten Sie Amazon Redshift Spectrum ein und führen Abfragen aus**
1. Öffnen Sie die Amazon Redshift Redshift-Konsole unter[https://console.aws.amazon.com/redshift](https://console.aws.amazon.com/redshift). Melden Sie sich als Benutzer `Administrator` an.
1. Wählen Sie **Cluster erstellen**.
1. Geben Sie auf der Seite **Cluster erstellen** `redshift-lakeformation-demo` die **Cluster-ID** ein.
1. Wählen Sie für den **Knotentyp** **dc2.large** aus.
1. Scrollen Sie nach unten und geben Sie unter **Datenbankkonfigurationen** die folgenden Parameter ein, oder akzeptieren Sie sie:
+ **Admin-Benutzername**: `awsuser`
+ **Admin-Benutzerpasswort**: `(Choose a password)`
1. Erweitern Sie **Cluster-Berechtigungen** und wählen Sie für **Verfügbare IAM-Rollen** die Option **RedshiftLakeFormationRole**. Wählen Sie dann **Add IAM role (IAM-Rolle hinzufügen)** aus.
1. Wenn Sie einen anderen Port als den Standardwert 5439 verwenden müssen, deaktivieren Sie neben **Zusätzliche Konfigurationen** die Option **Standardwerte verwenden**. Erweitern Sie den Abschnitt für **Datenbankkonfigurationen** und geben Sie eine neue **Datenbankportnummer** ein.
1. Wählen Sie **Cluster erstellen**.
Die **Cluster-Seite** wird geladen.
1. Warten Sie, bis der Cluster-Status „**Verfügbar“ lautet**. Wählen Sie regelmäßig das Aktualisierungssymbol.
1. Erteilen Sie dem Datenanalysten die Erlaubnis, Abfragen für den Cluster auszuführen. Führen Sie dazu die folgenden Schritte aus:
1. Öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)und melden Sie sich als `Administrator` Benutzer an.
1. Wählen Sie im Navigationsbereich **Benutzer** aus und fügen Sie dem Benutzer `datalake_user` die folgenden verwalteten Richtlinien hinzu.
+ `AmazonRedshiftQueryEditor`
+ `AmazonRedshiftReadOnlyAccess`
1. Melden Sie sich von der Amazon Redshift Redshift-Konsole ab und melden Sie sich erneut als Benutzer `datalake_user` an.
1. Wählen Sie in der linken vertikalen Werkzeugleiste das **EDITOR-Symbol**, um den Abfrage-Editor zu öffnen und eine Verbindung zum Cluster herzustellen. Wenn das Dialogfeld Mit **Datenbank Connect** angezeigt wird, wählen Sie den Clusternamen `redshift-lakeformation-demo` und geben Sie den Datenbanknamen**dev**, den Benutzernamen und das Passwort ein**awsuser**, das Sie erstellt haben. Wählen Sie dann **Connect to database (Verbindung zur Datenbank herstellen)** aus.
**Anmerkung**
Wenn Sie nicht zur Eingabe von Verbindungsparametern aufgefordert werden und bereits ein anderer Cluster im Abfrage-Editor ausgewählt ist, wählen Sie **Verbindung ändern**, um das Dialogfeld Mit **Datenbank Connect zu** öffnen.
1. Geben Sie im Textfeld **Neue Abfrage 1** die folgende Anweisung ein und führen Sie sie aus, um die Datenbank `lakeformation_tutorial` in Lake Formation dem Amazon Redshift Redshift-Schemanamen zuzuordnen: `redshift_jdbc`
**Wichtig**
**Ersetzen Sie es durch eine gültige AWS Kontonummer und ** einen gültigen AWS Regionsnamen (z. B.`us-east-1`).
```
create external schema if not exists redshift_jdbc from DATA CATALOG database 'lakeformation_tutorial' iam_role 'arn:aws:iam:::role/RedshiftLakeFormationRole' region '';
```
1. Wählen Sie in der Schemaliste unter **Schema auswählen** die Option **redshift\$1jdbc** aus.
Die Tabellenliste wird aufgefüllt. Der Abfrage-Editor zeigt nur die Tabellen an, für die Ihnen Lake Formation Data Lake-Berechtigungen erteilt wurden.
1. Wählen Sie im Popupmenü neben einem Tabellennamen die Option **Datenvorschau** aus.
Amazon Redshift gibt die ersten 10 Zeilen zurück.
Sie können jetzt Abfragen für die Tabellen und Spalten ausführen, für die Sie Berechtigungen haben.
## Schritt 13: Erteilen oder Widerrufen Lake Formation Formation-Berechtigungen mithilfe von Amazon Redshift Spectrum
Amazon Redshift unterstützt die Möglichkeit, Lake Formation Formation-Berechtigungen für Datenbanken und Tabellen mithilfe modifizierter SQL-Anweisungen zu gewähren und zu widerrufen. Diese Aussagen ähneln den bestehenden Amazon Redshift Redshift-Aussagen. Weitere Informationen finden Sie unter [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html) und [REVOKE](https://docs.aws.amazon.com/redshift/latest/dg/r_REVOKE.html) im *Amazon Redshift Database Developer Guide*.
# Berechtigungen für Open-Table-Speicherformate in Lake Formation einrichten
AWS Lake Formation unterstützt die Verwaltung von Zugriffsberechtigungen für *Open Table Formats* (OTFs) wie [Apache Iceberg](https://iceberg.apache.org/), [Apache Hudi](https://hudi.incubator.apache.org/) und [Linux](https://delta.io/) Foundation Delta Lake. In diesem Tutorial erfahren Sie, wie Sie Iceberg, Hudi und Delta Lake mit [Symlink-Manifesttabellen](https://docs.delta.io/latest/presto-integration.html) in der AWS Glue Data Catalog Verwendung erstellen AWS Glue, detaillierte Berechtigungen mit Lake Formation einrichten und Daten mit Amazon Athena abfragen.
**Anmerkung**
AWS Analytics-Services unterstützen nicht alle Transaktionstabellenformate. Weitere Informationen finden Sie unter [Zusammenarbeit mit anderen AWS Diensten](working-with-services.md). In diesem Tutorial wird das manuelle Erstellen einer neuen Datenbank und einer Tabelle im Datenkatalog ausschließlich mithilfe von AWS Glue Jobs behandelt.
Dieses Tutorial enthält eine AWS CloudFormation Vorlage für die schnelle Einrichtung. Sie können es überprüfen und an Ihre Bedürfnisse anpassen.
**Topics**
+ [Zielgruppe](#tut-otf-roles)
+ [Voraussetzungen](#tut-otf-prereqs)
+ [Schritt 1: Stellen Sie Ihre Ressourcen bereit](#set-up-otf-resources)
+ [Schritt 2: Richten Sie Berechtigungen für eine Iceberg-Tabelle ein](#set-up-iceberg-table)
+ [Schritt 3: Richten Sie Berechtigungen für eine Hudi-Tabelle ein](#set-up-hudi-table)
+ [Schritt 4: Richten Sie Berechtigungen für eine Delta Lake-Tabelle ein](#set-up-delta-table)
+ [Schritt 5: Ressourcen bereinigen AWS](#otf-tut-clean-up)
## Zielgruppe
Dieses Tutorial richtet sich an IAM-Administratoren, Data Lake-Administratoren und Geschäftsanalysten. In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial zum Erstellen einer gesteuerten Tabelle mit Lake Formation verwendet wurden.
| Rolle | Description |
| --- | --- |
| IAM-Administrator | Ein Benutzer, der IAM-Benutzer und -Rollen sowie Amazon S3 S3-Buckets erstellen kann. Hat die AdministratorAccess AWS verwaltete Richtlinie. |
| Data Lake-Administrator | Ein Benutzer, der auf den Datenkatalog zugreifen, Datenbanken erstellen und anderen Benutzern Lake Formation Formation-Berechtigungen gewähren kann. Hat weniger IAM-Berechtigungen als der IAM-Administrator, reicht aber aus, um den Data Lake zu verwalten. |
| Geschäftsanalyst | Ein Benutzer, der Abfragen für den Data Lake ausführen kann. Hat Berechtigungen zum Ausführen von Abfragen. |
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Benutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen erhalten Sie unter [Melde dich an für ein AWS-Konto](getting-started-setup.md#sign-up-for-aws) und [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin).
In der Anleitung wird davon ausgegangen, dass Sie mit IAM-Rollen und -Richtlinien vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
Sie müssen die folgenden AWS Ressourcen einrichten, um dieses Tutorial abschließen zu können:
+ Data Lake-Administratorbenutzer
+ Data Lake-Einstellungen für Lake Formation
+ Amazon Athena Athena-Engine Version 3
**Um einen Data Lake-Administrator zu erstellen**
1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)als Administratorbenutzer bei der Lake Formation Formation-Konsole an. Für dieses Tutorial werden Sie Ressourcen in der Region USA Ost (Nord-Virginia) erstellen.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Berechtigungen** die Option **Administrative Rollen und Aufgaben** aus.
1. **Wählen Sie unter Data Lake-Administratoren** **die Option Administratoren** auswählen aus.
1. Wählen Sie im Popup-Fenster **Data Lake-Administratoren verwalten** unter **IAM-Benutzer und -Rollen** die Option **IAM-Admin-Benutzer** aus.
1. Wählen Sie **Speichern**.
**Um die Data Lake-Einstellungen zu aktivieren**
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Einstellungen** aus. Deaktivieren Sie Folgendes:
+ Verwenden Sie nur die IAM-Zugriffskontrolle für neue Datenbanken.
+ Verwenden Sie nur die IAM-Zugriffskontrolle für neue Tabellen in neuen Datenbanken.
1. Wählen Sie unter **Einstellungen für kontenübergreifende** **Versionen Version Version 3** als kontoübergreifende Version aus.
1. Wählen Sie **Speichern**.
**Um die Amazon Athena Athena-Engine auf Version 3 zu aktualisieren**
1. Öffnen Sie die Athena-Konsole unter. [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)
1. Wählen Sie die **Arbeitsgruppe und anschließend** die primäre Arbeitsgruppe aus.
1. Stellen Sie sicher, dass für die Arbeitsgruppe mindestens Version 3 installiert ist. Ist dies nicht der Fall, bearbeiten Sie die Arbeitsgruppe, wählen Sie **Manuell** für die **Upgrade-Abfrage-Engine** und wählen Sie Version 3.
1. Wählen Sie **Änderungen speichern ** aus.
## Schritt 1: Stellen Sie Ihre Ressourcen bereit
In diesem Abschnitt erfahren Sie, wie Sie die AWS Ressourcen mithilfe einer CloudFormation Vorlage einrichten.
**Um Ihre Ressourcen mithilfe einer CloudFormation Vorlage zu erstellen**
1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) als IAM-Administrator in der Region USA Ost (Nord-Virginia) an.
1. [Wählen Sie Launch Stack.](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://lf-public.s3.amazonaws.com/cfn/lfotfsetup.template)
1. Wählen Sie auf dem Bildschirm „**Stack erstellen**“ die Option „**Weiter**“.
1. Geben Sie einen **Stack-Namen** ein.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der nächsten Seite **Weiter**.
1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Erstellen** aus.
Die Erstellung des Stacks kann bis zu zwei Minuten dauern.
Durch das Starten des Cloud-Formation-Stacks werden die folgenden Ressourcen erstellt:
+ lf-otf-datalake-123456789012 — Amazon S3 S3-Bucket zum Speichern von Daten
**Anmerkung**
Die Konto-ID, die an den Amazon S3 S3-Bucket-Namen angehängt wird, wird durch Ihre Konto-ID ersetzt.
+ lf-otf-tutorial-123456789012 — Amazon S3 S3-Bucket zum Speichern von Abfrageergebnissen und Jobskripten AWS Glue
+ AWS Glue lficebergdb — Eisberg-Datenbank
+ lfhudidb — AWS Glue Hudi-Datenbank
+ lfdeltadb — AWS Glue Delta-Datenbank
+ native-iceberg-create — AWS Glue Job, der eine Eisberg-Tabelle im Datenkatalog erstellt
+ native-hudi-create — AWS Glue Job, der eine Hudi-Tabelle im Datenkatalog erstellt
+ native-delta-create — AWS Glue Job, der eine Delta-Tabelle im Datenkatalog erstellt
+ LF-OTF-GlueServiceRole — IAM-Rolle, an die Sie übergeben, AWS Glue um die Jobs auszuführen. Dieser Rolle sind die erforderlichen Richtlinien für den Zugriff auf Ressourcen wie Data Catalog, Amazon S3 S3-Bucket usw. zugeordnet.
+ LF-OTF-RegisterRole — IAM-Rolle zur Registrierung des Amazon S3 S3-Standorts bei Lake Formation. Diese Rolle wurde mit `LF-Data-Lake-Storage-Policy` der Rolle verknüpft.
+ lf-consumer-analystuser — IAM-Benutzer zur Abfrage der Daten mit Athena
+ lf-consumer-analystuser-credentials — Passwort für den Data Analyst-Benutzer, gespeichert in AWS Secrets Manager
Nachdem die Stack-Erstellung abgeschlossen ist, navigieren Sie zur Registerkarte „Ausgabe“ und notieren Sie sich die Werte für:
+ AthenaQueryResultLocation — Amazon S3 S3-Standort für die Athena-Abfrageausgabe
+ BusinessAnalystUserCredentials — Passwort für den Data Analyst-Benutzer
Um den Passwortwert abzurufen:
1. Wählen Sie den `lf-consumer-analystuser-credentials` Wert aus, indem Sie zur Secrets Manager Manager-Konsole navigieren.
1. Wählen Sie im Bereich **Secret value (Secret-Wert)** die Option **Retrieve secret value (Secret-Wert abrufen)**.
1. Notieren Sie sich den geheimen Wert für das Passwort.
## Schritt 2: Richten Sie Berechtigungen für eine Iceberg-Tabelle ein
In diesem Abschnitt erfahren Sie, wie Sie eine Iceberg-Tabelle in Amazon Athena erstellen AWS Glue Data Catalog, Datenberechtigungen einrichten und Daten mit Amazon Athena abfragen. AWS Lake Formation
**So erstellen Sie eine Iceberg-Tabelle**
In diesem Schritt führen Sie einen AWS Glue Job aus, der eine Iceberg-Transaktionstabelle im Datenkatalog erstellt.
1. Öffnen Sie die AWS Glue Konsole [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)in der Region USA Ost (Nord-Virginia) als Data Lake-Administratorbenutzer.
1. Wählen Sie im linken Navigationsbereich **Jobs** aus.
1. Wählen Sie `native-iceberg-create`.
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/otf-glu-job-tut.png)
1. Wählen Sie unter **Aktionen** die Option **Job bearbeiten** aus.
1. Erweitern Sie unter **Jobdetails** die **Option Erweiterte Eigenschaften** und aktivieren Sie das Kästchen neben Als **Hive-Metastore verwenden AWS Glue Data Catalog **, um die Tabellenmetadaten in der hinzuzufügen. AWS Glue Data Catalog Dies wird AWS Glue Data Catalog als Metastore für die im Job verwendeten Datenkatalogressourcen angegeben und ermöglicht, dass Lake Formation Formation-Berechtigungen später auf die Katalogressourcen angewendet werden.
1. Wählen Sie **Speichern**.
1. Klicken Sie auf **Ausführen**. Sie können den Status des Jobs anzeigen, während er ausgeführt wird.
Weitere Informationen zu AWS Glue Jobs finden Sie im *AWS Glue Developer Guide* unter [Arbeiten mit Jobs auf der AWS Glue Konsole](https://docs.aws.amazon.com/glue/latest/dg/console-jobs.html).
Dieser Job erstellt eine `product` in der `lficebergdb` Datenbank benannte Iceberg-Tabelle. Überprüfen Sie die Produkttabelle in der Lake Formation Formation-Konsole.
**Um den Datenstandort bei Lake Formation zu registrieren**
Als Nächstes registrieren Sie den Amazon S3 S3-Pfad als Standort Ihres Data Lakes.
1. Öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)als Data Lake-Administratorbenutzer.
1. Wählen Sie im Navigationsbereich unter **Registrieren und aufnehmen** die Option **Datenspeicherort** aus.
1. Wählen Sie oben rechts in der Konsole die Option **Speicherort registrieren** aus.
1. Geben Sie auf der Seite **Speicherort registrieren** Folgendes ein:
+ **Amazon S3 S3-Pfad** — Wählen Sie **Durchsuchen** und wählen Sie aus`lf-otf-datalake-123456789012`. Klicken Sie auf den Rechtspfeil (>) neben dem Amazon S3 S3-Stammverzeichnis, um zum `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-iceberg` Speicherort zu navigieren.
+ **IAM-Rolle** — Wählen Sie `LF-OTF-RegisterRole` als IAM-Rolle aus.
+ Wählen Sie Standort **registrieren.**
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/otf-register-location-tut.png)
Weitere Informationen zur Registrierung eines Datenstandorts bei Lake Formation finden Sie unter[Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).
**Um Lake Formation Formation-Berechtigungen für die Iceberg-Tabelle zu erteilen**
In diesem Schritt erteilen wir dem Business Analyst-Benutzer Data Lake-Berechtigungen.
1. Wählen Sie unter **Data Lake-Berechtigungen** die Option **Grant** aus.
1. Wählen Sie auf dem Bildschirm **Datenberechtigungen gewähren** die Option **IAM-Benutzer und -Rollen** aus.
1. Wählen Sie `lf-consumer-analystuser` aus dem Drop-down-Menü aus.
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/otf-lf-perm-role-tut.png)
1. Wählen Sie **Benannte Datenkatalogressource** aus.
1. Wählen Sie für **Datenbanken**`lficebergdb`.
1. Wählen Sie für **Tabellen**`product`.
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/otf-db-tbl-perm-tut.png)
1. Als Nächstes können Sie spaltenbasierten Zugriff gewähren, indem Sie Spalten angeben.
1. **Wählen Sie unter **Tabellenberechtigungen** die Option Auswählen aus.**
1. Wählen Sie unter **Datenberechtigungen** die Option **Spaltenbasierter Zugriff** und dann Spalten **einbeziehen** aus.
1. Wählen Sie `product_name``price`, und `category` Spalten aus.
1. Wählen Sie **Grant (Erteilen)**.
![\[\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/otf-column-perm-tut.png)
**Um die Iceberg-Tabelle mit Athena abzufragen**
Jetzt können Sie mit der Abfrage der Iceberg-Tabelle beginnen, die Sie mit Athena erstellt haben. Wenn Sie zum ersten Mal Abfragen in Athena ausführen, müssen Sie einen Speicherort für Abfrageergebnisse konfigurieren. Weitere Informationen finden Sie unter [Angeben eines Speicherorts für Abfrageergebnisse](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).
1. Melden Sie sich als Data Lake-Administratorbenutzer ab und melden Sie sich mit dem zuvor `lf-consumer-analystuser` in der CloudFormation Ausgabe angegebenen Kennwort als Benutzer in der Region USA Ost (Nord-Virginia) an.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie **Einstellungen** und anschließend **Verwalten** aus.
1. Geben Sie im Feld **Speicherort des Abfrageergebnisses** den Pfad zu dem Bucket ein, den Sie in CloudFormation Ausgaben erstellt haben. **Kopieren Sie den Wert von `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) und wählen Sie Speichern.**
1. Führen Sie die folgende Abfrage aus, um eine Vorschau von 10 in der Iceberg-Tabelle gespeicherten Datensätzen anzuzeigen:
```
select * from lficebergdb.product limit 10;
```
*Weitere Informationen zum Abfragen von Iceberg-Tabellen mit Athena finden Sie unter [Abfragen von Iceberg-Tabellen](https://docs.aws.amazon.com/athena/latest/ug/querying-iceberg-table-data.html) im Amazon Athena Athena-Benutzerhandbuch.*
## Schritt 3: Richten Sie Berechtigungen für eine Hudi-Tabelle ein
In diesem Abschnitt erfahren Sie, wie Sie eine Hudi-Tabelle in Amazon Athena erstellen AWS Glue Data Catalog, Datenberechtigungen einrichten und Daten mit Amazon Athena abfragen. AWS Lake Formation
**Um eine Hudi-Tabelle zu erstellen**
In diesem Schritt führen Sie einen AWS Glue Job aus, der eine Hudi-Transaktionstabelle im Datenkatalog erstellt.
1. Melden Sie sich bei der AWS Glue Konsole [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)in der Region USA Ost (Nord-Virginia) an
als Data Lake-Administratorbenutzer.
1. Wählen Sie im linken Navigationsbereich **Jobs** aus.
1. Wählen Sie `native-hudi-create`.
1. Wählen Sie unter **Aktionen** die Option **Job bearbeiten** aus.
1. Erweitern Sie unter **Jobdetails** die **Option Erweiterte Eigenschaften** und aktivieren Sie das Kästchen neben Als **Hive-Metastore verwenden AWS Glue Data Catalog **, um die Tabellenmetadaten in der hinzuzufügen. AWS Glue Data Catalog Dies wird AWS Glue Data Catalog als Metastore für die im Job verwendeten Datenkatalogressourcen angegeben und ermöglicht, dass Lake Formation Formation-Berechtigungen später auf die Katalogressourcen angewendet werden.
1. Wählen Sie **Speichern**.
1. Klicken Sie auf **Ausführen**. Sie können den Status des Jobs anzeigen, während er ausgeführt wird.
Weitere Informationen zu AWS Glue Jobs finden Sie im *AWS Glue Developer Guide* unter [Arbeiten mit Jobs auf der AWS Glue Konsole](https://docs.aws.amazon.com/glue/latest/dg/console-jobs.html).
Dieser Job erstellt eine Hudi-Tabelle (cow) in der Datenbank:lfhudidb. Überprüfen Sie die `product` Tabelle in der Lake Formation Formation-Konsole.
**Um den Datenstandort bei Lake Formation zu registrieren**
Als Nächstes registrieren Sie einen Amazon S3 S3-Pfad als Stammverzeichnis Ihres Data Lakes.
1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)als Data Lake-Administratorbenutzer bei der Lake Formation Formation-Konsole an.
1. Wählen Sie im Navigationsbereich unter **Registrieren und aufnehmen** die Option **Datenspeicherort** aus.
1. Wählen Sie oben rechts in der Konsole die Option **Speicherort registrieren** aus.
1. Geben Sie auf der Seite **Speicherort registrieren** Folgendes ein:
+ **Amazon S3 S3-Pfad** — Wählen Sie **Durchsuchen** und wählen Sie aus`lf-otf-datalake-123456789012`. Klicken Sie auf den Rechtspfeil (>) neben dem Amazon S3 S3-Stammverzeichnis, um zum `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-hudi` Speicherort zu navigieren.
+ **IAM-Rolle** — Wählen Sie `LF-OTF-RegisterRole` als IAM-Rolle aus.
+ Wählen Sie Standort **registrieren.**
**Um Data Lake-Berechtigungen für die Hudi-Tabelle zu gewähren**
In diesem Schritt gewähren wir dem Business Analyst-Benutzer Data-Lake-Berechtigungen.
1. Wählen Sie unter **Data Lake-Berechtigungen** die Option **Grant** aus.
1. Wählen Sie auf dem Bildschirm **Datenberechtigungen gewähren** die Option **IAM-Benutzer und -Rollen** aus.
1. `lf-consumer-analystuser`aus dem Drop-down-Menü.
1. Wählen Sie **Benannte Datenkatalogressource** aus.
1. Wählen Sie für **Datenbanken**`lfhudidb`.
1. Wählen Sie für **Tabellen**`product`.
1. Als Nächstes können Sie spaltenbasierten Zugriff gewähren, indem Sie Spalten angeben.
1. **Wählen Sie unter **Tabellenberechtigungen** die Option Auswählen aus.**
1. Wählen Sie unter **Datenberechtigungen** die Option **Spaltenbasierter Zugriff** und dann Spalten **einbeziehen** aus.
1. Wählen Sie `product_name``price`, und `category` Spalten aus.
1. Wählen Sie **Grant (Erteilen)**.
**Um die Hudi-Tabelle mit Athena abzufragen**
Beginnen Sie nun mit der Abfrage der Hudi-Tabelle, die Sie mit Athena erstellt haben. Wenn Sie zum ersten Mal Abfragen in Athena ausführen, müssen Sie einen Speicherort für Abfrageergebnisse konfigurieren. Weitere Informationen finden Sie unter [Angeben eines Speicherorts für Abfrageergebnisse](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).
1. Melden Sie sich als Data Lake-Administratorbenutzer ab und melden Sie sich mit dem zuvor `lf-consumer-analystuser` in der CloudFormation Ausgabe angegebenen Kennwort als Benutzer in der Region USA Ost (Nord-Virginia) an.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie **Einstellungen** und anschließend **Verwalten** aus.
1. Geben Sie im Feld **Speicherort des Abfrageergebnisses** den Pfad zu dem Bucket ein, den Sie in CloudFormation Ausgaben erstellt haben. **Kopieren Sie den Wert von `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) und speichern Sie.**
1. Führen Sie die folgende Abfrage aus, um eine Vorschau von 10 in der Hudi-Tabelle gespeicherten Datensätzen anzuzeigen:
```
select * from lfhudidb.product limit 10;
```
Weitere Informationen zum Abfragen von Hudi-Tabellen finden Sie im Abschnitt [Abfragen von Hudi-Tabellen](https://docs.aws.amazon.com/athena/latest/ug/querying-hudi.html) im *Amazon* Athena Athena-Benutzerhandbuch.
## Schritt 4: Richten Sie Berechtigungen für eine Delta Lake-Tabelle ein
In diesem Abschnitt erfahren Sie, wie Sie eine Delta Lake-Tabelle mit einer Symlink-Manifestdatei in der erstellen AWS Glue Data Catalog, Datenberechtigungen in Amazon Athena einrichten AWS Lake Formation und Daten mit Amazon Athena abfragen.
**So erstellen Sie eine Delta Lake-Tabelle**
In diesem Schritt führen Sie einen AWS Glue Job aus, der eine Delta Lake-Transaktionstabelle im Datenkatalog erstellt.
1. Melden Sie sich bei der AWS Glue Konsole [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)in der Region USA Ost (Nord-Virginia) an
als Data Lake-Administratorbenutzer.
1. Wählen Sie im linken Navigationsbereich **Jobs** aus.
1. Wählen Sie `native-delta-create`.
1. Wählen Sie unter **Aktionen** die Option **Job bearbeiten** aus.
1. Erweitern Sie unter **Jobdetails** die **Option Erweiterte Eigenschaften** und aktivieren Sie das Kästchen neben Als **Hive-Metastore verwenden AWS Glue Data Catalog **, um die Tabellenmetadaten in der hinzuzufügen. AWS Glue Data Catalog Dies wird AWS Glue Data Catalog als Metastore für die im Job verwendeten Datenkatalogressourcen angegeben und ermöglicht, dass Lake Formation Formation-Berechtigungen später auf die Katalogressourcen angewendet werden.
1. Wählen Sie **Speichern**.
1. Wählen Sie unter **Aktionen** **die Option Ausführen aus**.
Dieser Job erstellt eine Delta Lake-Tabelle mit dem Namen `product` in der `lfdeltadb` Datenbank. Überprüfen Sie die `product` Tabelle in der Lake Formation Formation-Konsole.
**Um den Datenstandort bei Lake Formation zu registrieren**
Als Nächstes registrieren Sie den Amazon S3 S3-Pfad als Stammverzeichnis Ihres Data Lakes.
1. Öffnen Sie die Lake Formation Formation-Konsole [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)beim Data Lake-Administratorbenutzer.
1. Wählen Sie im Navigationsbereich unter **Registrieren und aufnehmen** die Option **Datenstandort** aus.
1. Wählen Sie oben rechts in der Konsole die Option **Speicherort registrieren** aus.
1. Geben Sie auf der Seite **Speicherort registrieren** Folgendes ein:
+ **Amazon S3 S3-Pfad** — Wählen Sie **Durchsuchen** und wählen Sie aus`lf-otf-datalake-123456789012`. Klicken Sie auf den Rechtspfeil (>) neben dem Amazon S3 S3-Stammverzeichnis, um zum `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-delta` Speicherort zu navigieren.
+ **IAM-Rolle** — Wählen Sie `LF-OTF-RegisterRole` als IAM-Rolle aus.
+ Wählen Sie Standort **registrieren.**
**Um Data Lake-Berechtigungen für die Delta Lake-Tabelle zu erteilen**
In diesem Schritt erteilen wir dem Business Analyst-Benutzer Data-Lake-Berechtigungen.
1. Wählen Sie unter **Data Lake-Berechtigungen** die Option **Grant** aus.
1. Wählen Sie auf dem Bildschirm **Datenberechtigungen gewähren** die Option **IAM-Benutzer und -Rollen** aus.
1. `lf-consumer-analystuser`aus dem Drop-down-Menü.
1. Wählen Sie **Benannte Datenkatalogressource** aus.
1. Wählen Sie für **Datenbanken**`lfdeltadb`.
1. Wählen Sie für **Tabellen**`product`.
1. Als Nächstes können Sie spaltenbasierten Zugriff gewähren, indem Sie Spalten angeben.
1. **Wählen Sie unter **Tabellenberechtigungen** die Option Auswählen aus.**
1. Wählen Sie unter **Datenberechtigungen** die Option **Spaltenbasierter Zugriff** und dann Spalten **einbeziehen** aus.
1. Wählen Sie `product_name``price`, und `category` Spalten aus.
1. Wählen Sie **Grant (Erteilen)**.
**Um die Delta Lake-Tabelle mit Athena abzufragen**
Beginnen Sie nun mit der Abfrage der Delta Lake-Tabelle, die Sie mit Athena erstellt haben. Wenn Sie zum ersten Mal Abfragen in Athena ausführen, müssen Sie einen Speicherort für Abfrageergebnisse konfigurieren. Weitere Informationen finden Sie unter [Angeben eines Speicherorts für Abfrageergebnisse](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).
1. Melden Sie sich als Data Lake-Administratorbenutzer ab und melden Sie sich mit dem zuvor `BusinessAnalystUser` in der CloudFormation Ausgabe angegebenen Kennwort in der Region USA Ost (Nord-Virginia) an.
1. Öffnen Sie die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).
1. Wählen Sie **Einstellungen** und anschließend **Verwalten** aus.
1. Geben Sie im Feld **Speicherort des Abfrageergebnisses** den Pfad zu dem Bucket ein, den Sie in CloudFormation Ausgaben erstellt haben. **Kopieren Sie den Wert von `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) und speichern Sie.**
1. Führen Sie die folgende Abfrage aus, um eine Vorschau von 10 in der Delta Lake-Tabelle gespeicherten Datensätzen anzuzeigen:
```
select * from lfdeltadb.product limit 10;
```
Weitere Informationen zur Abfrage von Delta Lake-Tabellen finden Sie im Abschnitt [Abfragen von Delta Lake-Tabellen](https://docs.aws.amazon.com/athena/latest/ug/delta-lake-tables.html) im *Amazon Athena Athena-Benutzerhandbuch*.
## Schritt 5: Ressourcen bereinigen AWS
**So bereinigen Sie Ressourcen**
Um zu verhindern, dass Ihnen unerwünschte Kosten entstehen AWS-Konto, löschen Sie die AWS Ressourcen, die Sie für dieses Tutorial verwendet haben.
1. Melden Sie sich als CloudFormation IAM-Administrator bei der Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) an.
1. [Löschen Sie den Cloud Formation Stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html). Die von Ihnen erstellten Tabellen werden automatisch mit dem Stack gelöscht.
# Verwaltung eines Data Lakes mithilfe der Tag-basierten Zugriffskontrolle von Lake Formation
Tausende von Kunden bauen darauf Data Lakes im Petabyte-Bereich auf. AWS Viele dieser Kunden nutzen die Möglichkeit AWS Lake Formation , ihre Data Lakes einfach aufzubauen und unternehmensweit gemeinsam zu nutzen. Angesichts der steigenden Anzahl von Tabellen und Benutzern suchen Data Stewards und Administratoren nach Möglichkeiten, Berechtigungen für Data Lakes einfach und skalierbar zu verwalten. Lake Formation Tag-Based Access Control (LF-TBAC) löst dieses Problem, indem Data Stewards ermöglicht wird, *LF-Tags* (basierend auf ihrer Datenklassifizierung und Ontologie) zu erstellen, die dann an Ressourcen angehängt werden können.
LF-TBAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In Lake Formation werden diese Attribute als LF-Tags bezeichnet. Sie können LF-Tags an Datenkatalogressourcen und Lake Formation-Prinzipale anhängen. Data Lake-Administratoren können mithilfe von LF-Tags Berechtigungen für Lake Formation Formation-Ressourcen zuweisen und widerrufen. Weitere Informationen dazu finden Sie unter. [Tag-basierte Zugangskontrolle von Lake Formation](tag-based-access-control.md)
In diesem Tutorial wird gezeigt, wie Sie mithilfe eines AWS öffentlichen Datensatzes eine auf Lake Formation-Tags basierende Zugriffskontrollrichtlinie erstellen. Darüber hinaus wird gezeigt, wie Tabellen, Datenbanken und Spalten abgefragt werden, denen auf Lake Formation-Tags basierende Zugriffsrichtlinien zugeordnet sind.
Sie können LF-TBAC für die folgenden Anwendungsfälle verwenden:
+ Sie haben eine große Anzahl von Tabellen und Prinzipalen, auf die der Data Lake-Administrator Zugriff gewähren muss
+ Sie möchten Ihre Daten auf der Grundlage einer Ontologie klassifizieren und auf der Grundlage der Klassifizierung Berechtigungen gewähren
+ Der Data Lake-Administrator möchte Berechtigungen dynamisch, also lose gekoppelt, zuweisen
Im Folgenden sind die allgemeinen Schritte zur Konfiguration von Berechtigungen mithilfe von LF-TBAC aufgeführt:
1. Der Data Steward definiert die Tag-Ontologie mit zwei LF-Tags: und. `Confidential` `Sensitive` Für Daten mit gelten strengere `Confidential=True` Zugriffskontrollen. Daten mit `Sensitive=True` erfordern eine spezifische Analyse durch den Analysten.
1. Der Data Steward weist dem Dateningenieur verschiedene Berechtigungsstufen zu, um Tabellen mit unterschiedlichen LF-Tags zu erstellen.
1. Der Dateningenieur erstellt zwei Datenbanken: und. `tag_database` `col_tag_database` Alle Tabellen in `tag_database` sind mit konfiguriert`Confidential=True`. Alle Tabellen in der `col_tag_database` sind mit konfiguriert`Confidential=False`. Einige Spalten der Tabelle in `col_tag_database` sind `Sensitive=True` für spezielle Analyseanforderungen mit gekennzeichnet.
1. Der Dateningenieur erteilt dem Analysten Leseberechtigungen für Tabellen mit bestimmten Ausdrucksbedingungen `Confidential=True` und`Confidential=False`,`Sensitive=True`.
1. Mit dieser Konfiguration kann sich der Datenanalyst darauf konzentrieren, Analysen mit den richtigen Daten durchzuführen.
**Topics**
+ [Zielgruppe](#tut-manage-dl-roles)
+ [Voraussetzungen](#tut-manage-dl-prereqs)
+ [Schritt 1: Stellen Sie Ihre Ressourcen bereit](#tut-manage-dl-provision-resources)
+ [Schritt 2: Registrieren Sie Ihren Datenstandort, erstellen Sie eine LF-Tag-Ontologie und gewähren Sie Berechtigungen](#tut-manage-dl-register-datalocation-lftag)
+ [Schritt 3: Lake Formation Formation-Datenbanken erstellen](#tut-manage-dl-tbac-create-databases)
+ [Schritt 4: Erteilen Sie Tabellenberechtigungen](#tut-manage-dl-grant-table-permissions)
+ [Schritt 5: Führen Sie eine Abfrage in Amazon Athena aus, um die Berechtigungen zu überprüfen](#tut-manage-dl-tbac-run-query)
+ [Schritt 6: Ressourcen AWS bereinigen](#tut-manage-dl-tbac-clean-up-db)
## Zielgruppe
Dieses Tutorial richtet sich an Datenverwalter, Dateningenieure und Datenanalysten. Wenn es um die Verwaltung AWS Glue Data Catalog und Verwaltung von Berechtigungen in Lake Formation geht, haben die Data Stewards innerhalb der produzierenden Konten die funktionale Verantwortung, basierend auf den Funktionen, die sie unterstützen, und können verschiedenen Verbrauchern, externen Organisationen und Konten Zugriff gewähren.
In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet werden:
| Rolle | Description |
| --- | --- |
| Datenverwalter (Administrator) | Der lf-data-steward Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/managing-dl-tutorial.html) |
| Dateningenieur | `lf-data-engineer`Der Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/managing-dl-tutorial.html) |
| Datenanalyst | Der lf-data-analyst Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/managing-dl-tutorial.html) |
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Administratorbenutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen finden Sie unter [Erledigen Sie die Aufgaben zur AWS Erstkonfiguration](getting-started-setup.md#initial-aws-signup).
In der Anleitung wird davon ausgegangen, dass Sie mit IAM vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
## Schritt 1: Stellen Sie Ihre Ressourcen bereit
Dieses Tutorial enthält eine AWS CloudFormation Vorlage für eine schnelle Einrichtung. Sie können es überprüfen und an Ihre Bedürfnisse anpassen. Die Vorlage erstellt drei verschiedene Rollen (aufgeführt unter[Zielgruppe](#tut-manage-dl-roles)), um diese Übung durchzuführen, und kopiert den nyc-taxi-data Datensatz in Ihren lokalen Amazon S3 S3-Bucket.
+ Ein Amazon S3 S3-Bucket
+ Die entsprechenden Lake Formation Formation-Einstellungen
+ Die entsprechenden Amazon EC2 EC2-Ressourcen
+ Drei IAM-Rollen mit Anmeldeinformationen
**Erstellen Sie Ihre Ressourcen**
1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.
1. Wählen Sie [Launch Stack](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://aws-bigdata-blog.s3.amazonaws.com/artifacts/lakeformationtbac/cfn/tbac_permission.json).
1. Wählen Sie **Weiter** aus.
1. Geben Sie im Abschnitt **Benutzerkonfiguration** das Passwort für drei Rollen ein:`DataStewardUserPassword`, `DataEngineerUserPassword` und`DataAnalystUserPassword`.
1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Erstellen** aus.
Die Erstellung des Stacks kann bis zu fünf Minuten dauern.
**Anmerkung**
Nachdem Sie das Tutorial abgeschlossen haben, möchten Sie möglicherweise den Stack löschen, CloudFormation um zu vermeiden, dass weiterhin Gebühren anfallen. Stellen Sie sicher, dass die Ressourcen im Ereignisstatus für den Stack erfolgreich gelöscht wurden.
## Schritt 2: Registrieren Sie Ihren Datenstandort, erstellen Sie eine LF-Tag-Ontologie und gewähren Sie Berechtigungen
In diesem Schritt definiert der Data Steward-Benutzer die Tag-Ontologie mit zwei LF-Tags: `Confidential` und und gibt bestimmten IAM-Prinzipalen die Möglichkeit`Sensitive`, neu erstellte LF-Tags an Ressourcen anzuhängen.
**Registrieren Sie einen Datenstandort und definieren Sie die LF-Tag-Ontologie**
1. Führen Sie den ersten Schritt als Data Steward-Benutzer (`lf-data-steward`) aus, um die Daten in Amazon S3 und den Datenkatalog in Lake Formation zu überprüfen.
1. Melden Sie sich bei der Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as `lf-data-steward` mit dem Passwort an, das Sie bei der Bereitstellung des CloudFormation Stacks verwendet haben.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Administrative Rollen und Aufgaben** aus.
1. Wählen Sie im Abschnitt **Data Lake-Administratoren** die Option **Hinzufügen** aus.
1. Wählen Sie auf der Seite **Administrator hinzufügen** für **IAM-Benutzer und -Rollen** den Benutzer `lf-data-steward` aus.
1. Wählen Sie **Speichern**, um es `lf-data-steward` als Lake Formation-Administrator hinzuzufügen.
1. Aktualisieren Sie als Nächstes die Datenkatalogeinstellungen, sodass anstelle der IAM-basierten Zugriffskontrolle die Lake Formation Formation-Berechtigung zur Steuerung der Katalogressourcen verwendet wird.
1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Datenkatalogeinstellungen** aus.
1. Deaktivieren Sie die **Option Nur IAM-Zugriffskontrolle für neue Datenbanken verwenden**.
1. Deaktivieren Sie die Option **Nur IAM-Zugriffskontrolle für neue Tabellen in neuen Datenbanken verwenden**.
1. Klicken Sie auf **Speichern**.
1. Als Nächstes registrieren Sie den Datenstandort für den Data Lake.
1. Wählen Sie im Navigationsbereich unter **Administration** die Option **Data Lake-Standorte** aus.
1. Wählen Sie **Standort registrieren** aus.
1. Geben Sie auf der Seite **Speicherort registrieren** für den **Amazon S3 S3-Pfad** ein`s3://lf-tagbased-demo-Account-ID`.
1. Lassen Sie für die **IAM-Rolle** den Standardwert `AWSServiceRoleForLakeFormationDataAccess` unverändert.
1. Wählen Sie **Lake Formation** als Berechtigungsmodus.
1. Wählen Sie **Standort registrieren**.
1. Als Nächstes erstellen Sie die Ontologie, indem Sie ein LF-Tag definieren.
1. Wählen **Sie im Navigationsbereich unter Berechtigungen** die Option **LF-Tags** und Berechtigungen aus. .
1. Wählen Sie **LF-Tag hinzufügen**.
1. Geben Sie für **Key (Schlüssel)** `Confidential` ein.
1. Fügen Sie für **Werte** und hinzu`True`. `False`
1. Wählen Sie „**LF-Tag hinzufügen**“.
1. Wiederholen Sie die Schritte, um das **LF-Tag** `Sensitive` mit dem Wert zu erstellen. `True`
Sie haben alle erforderlichen LF-Tags für diese Übung erstellt.
**Erteilen Sie IAM-Benutzern Berechtigungen**
1. Geben Sie als Nächstes bestimmten IAM-Prinzipalen die Möglichkeit, neu erstellte LF-Tags an Ressourcen anzuhängen.
1. **Wählen **Sie im Navigationsbereich unter Berechtigungen** die Option LF-Tags und Berechtigungen aus.**
1. **Wählen Sie im Abschnitt **LF-Tag-Berechtigungen die Option Berechtigungen** gewähren aus.**
1. Wählen Sie als **Berechtigungstyp** die Option **LF-Tag-Schlüsselwertpaar-Berechtigungen** aus.
1. Wählen Sie **IAM-Benutzer** und -Rollen aus.
1. Suchen Sie für **IAM-Benutzer und -Rollen** nach der Rolle und wählen Sie sie aus. `lf-data-engineer`
1. Fügen Sie im Abschnitt **LF-Tags** den Schlüssel `Confidential` mit den Werten `True` und und `False` den mit dem `key` `Sensitive` Wert hinzu. `True`
1. Wählen Sie unter **Berechtigungen** die Option **Describe** and **Associate** für **Berechtigungen und Gewährbare Berechtigungen** aus**.**
1. Wählen Sie **Grant (Erteilen)**.
1. Erteilen Sie als Nächstes Berechtigungen `lf-data-engineer` zum Erstellen von Datenbanken in unserem Datenkatalog und im zugrunde liegenden Amazon S3 S3-Bucket, der von erstellt wurde AWS CloudFormation.
1. Wählen Sie im Navigationsbereich unter **Administration** die Option **Administrative Rollen und Aufgaben** aus.
1. Wählen Sie im Abschnitt **Datenbankersteller** die Option **Grant** aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen** die `lf-data-engineer` Rolle aus.
1. Wählen Sie für **Katalogberechtigungen** die Option **Datenbank erstellen** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Als Nächstes gewähren Sie dem `lf-data-engineer` Benutzer Berechtigungen für den Amazon S3 S3-Bucket`(s3://lf-tagbased-demo-Account-ID)`.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **Datenspeicherorte** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie **Mein Konto** aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen** die `lf-data-engineer` Rolle aus.
1. Geben Sie für **Speicherorte** den Amazon S3 S3-Bucket ein, der mit der CloudFormation Vorlage erstellt wurde`(s3://lf-tagbased-demo-Account-ID)`.
1. Wählen Sie **Grant (Erteilen)**.
1. Als Nächstes `lf-data-engineer` gewähren Sie erteilbare Berechtigungen für Ressourcen, die mit dem **LF-Tag-Ausdruck** verknüpft sind. `Confidential=True`
1. Wählen Sie im Navigationsbereich unter **Berechtigungen die Option **Data** Lake-Berechtigungen** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie **IAM-Benutzer und -Rollen** aus.
1. Wählen Sie die Rolle `lf-data-engineer` aus.
1. Wählen Sie im Abschnitt **LF-Tags oder Katalogressourcen die Option Ressourcen** **aus, denen LF-Tags zugeordnet sind**.
1. Wählen Sie **LF-Tag-Schlüssel-Wert-Paar hinzufügen**.
1. Fügen Sie den Schlüssel `Confidential` mit den Werten hinzu. `True`
1. Wählen Sie im Abschnitt **Datenbankberechtigungen** für **Datenbankberechtigungen und **Grantable** Permissions** die Option **Describe** aus.
1. Wählen Sie im Abschnitt **Tabellenberechtigungen** sowohl für **Tabellenberechtigungen als auch für **Grantable-Berechtigungen**** die Optionen **Beschreiben**, **Auswählen** und **Ändern** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Erteilen Sie als Nächstes `lf-data-engineer` erteilbare Berechtigungen für Ressourcen, die mit dem LF-Tag-Ausdruck verknüpft sind. `Confidential=False`
1. Wählen Sie im Navigationsbereich unter **Berechtigungen die Option **Data** Lake-Berechtigungen** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie **IAM-Benutzer und -Rollen** aus.
1. Wählen Sie die Rolle `lf-data-engineer` aus.
1. Wählen Sie **Ressourcen aus, denen LF-Tags zugeordnet sind**.
1. Wählen Sie LF-Tag **hinzufügen**.
1. Fügen Sie den Schlüssel `Confidential` mit dem Wert hinzu. `False`
1. Wählen Sie im Abschnitt **Datenbankberechtigungen** für **Datenbankberechtigungen und **Grantable** Permissions** die Option **Describe** aus.
1. Wählen Sie im Abschnitt **Tabellen- und Spaltenberechtigungen** nichts aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Als Nächstes `lf-data-engineer` gewähren wir erteilbare Berechtigungen für Ressourcen, die den **LF-Tag-Schlüssel-Wert-Paaren** und zugeordnet sind. `Confidential=False` `Sensitive=True`
1. **Wählen Sie im Navigationsbereich unter **Berechtigungen die Option Datenberechtigungen** aus.**
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie **IAM-Benutzer und -Rollen** aus.
1. Wählen Sie die Rolle `lf-data-engineer` aus.
1. Wählen Sie im Abschnitt **LF-Tags oder Katalogressourcen die Option Ressourcen** **aus, denen LF-Tags zugeordnet sind**.
1. **Wählen Sie LF-Tag hinzufügen.**
1. Fügen Sie den Schlüssel `Confidential` mit dem Wert hinzu. `False`
1. Wählen Sie „**LF-Tag-Schlüssel-Wert-Paar hinzufügen**“.
1. Fügen Sie den Schlüssel `Sensitive` mit dem Wert hinzu. `True`
1. Wählen Sie im Abschnitt **Datenbankberechtigungen** für **Datenbankberechtigungen und **Grantable** Permissions** die Option **Describe** aus.
1. Wählen Sie im Abschnitt **Tabellenberechtigungen** sowohl für **Tabellenberechtigungen als auch für **Grantable-Berechtigungen**** die Optionen **Beschreiben**, **Auswählen** und **Ändern** aus.
1. Wählen Sie **Grant (Erteilen)**.
## Schritt 3: Lake Formation Formation-Datenbanken erstellen
In diesem Schritt erstellen Sie zwei Datenbanken und fügen den Datenbanken und bestimmten Spalten zu Testzwecken LF-Tags hinzu.
**Erstellen Sie Ihre Datenbanken und Tabellen für den Zugriff auf Datenbankebene**
1. Erstellen Sie zunächst die Datenbank `tag_database` und die Tabelle und fügen Sie die entsprechenden `source_data` LF-Tags hinzu.
1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie **Datenbank erstellen** aus.
1. Geben Sie unter **Name** `tag_database` ein.
1. Geben Sie für **Standort** den Amazon S3 S3-Standort ein, der mit der CloudFormation Vorlage erstellt wurde`(s3://lf-tagbased-demo-Account-ID/tag_database/)`.
1. Deaktivieren Sie die **Option Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank** verwenden.
1. Wählen Sie **Datenbank erstellen** aus.
1. Erstellen Sie als Nächstes eine neue Tabelle darin. `tag_database`
1. Wählen Sie auf der Seite **Datenbanken** die Datenbank aus`tag_database`.
1. Wählen Sie **Tabellen anzeigen** und klicken Sie auf **Tabelle erstellen**.
1. Geben Sie unter **Name** `source_data` ein.
1. Für **Datenbank** wählen Sie die `tag_database`-Datenbank aus.
1. Wählen Sie als **Tabellenformat** die Option ** AWS Glue Standardtabelle** aus.
1. Wählen Sie für **Daten befinden sich in** die Option **Angegebener Pfad in meinem Konto** aus.
1. Geben Sie unter Pfad einschließen den Pfad ein, der von der CloudFormation Vorlage `tag_database` erstellt wurde`(s3://lf-tagbased-demoAccount-ID/tag_database/)`.
1. Wählen Sie als **Datenformat** die Option **CSV** aus.
1. Geben **Sie unter Schema hochladen** das folgende JSON-Array mit Spaltenstruktur ein, um ein Schema zu erstellen:
```
[
{
"Name": "vendorid",
"Type": "string"
},
{
"Name": "lpep_pickup_datetime",
"Type": "string"
},
{
"Name": "lpep_dropoff_datetime",
"Type": "string"
},
{
"Name": "store_and_fwd_flag",
"Type": "string"
},
{
"Name": "ratecodeid",
"Type": "string"
},
{
"Name": "pulocationid",
"Type": "string"
},
{
"Name": "dolocationid",
"Type": "string"
},
{
"Name": "passenger_count",
"Type": "string"
},
{
"Name": "trip_distance",
"Type": "string"
},
{
"Name": "fare_amount",
"Type": "string"
},
{
"Name": "extra",
"Type": "string"
},
{
"Name": "mta_tax",
"Type": "string"
},
{
"Name": "tip_amount",
"Type": "string"
},
{
"Name": "tolls_amount",
"Type": "string"
},
{
"Name": "ehail_fee",
"Type": "string"
},
{
"Name": "improvement_surcharge",
"Type": "string"
},
{
"Name": "total_amount",
"Type": "string"
},
{
"Name": "payment_type",
"Type": "string"
}
]
```
1. Klicken Sie auf **Upload**. Nach dem Hochladen des Schemas sollte das Tabellenschema wie im folgenden Screenshot aussehen:
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tutorial-manage-dl-tbac1.jpg)
1. Wählen Sie **Absenden** aus.
1. Als Nächstes hängen Sie LF-Tags auf Datenbankebene an.
1. Suchen Sie auf der Seite **Datenbanken** nach und wählen Sie es aus. `tag_database`
1. Wählen Sie im Menü **Aktionen** die Option **LF-Tags bearbeiten** aus.
1. Wählen Sie „**Neues LF-Tag zuweisen**“.
1. Wählen Sie unter **Zugewiesene Schlüssel** den `Confidential` LF-Tag aus, den Sie zuvor erstellt haben.
1. Wählen Sie für **Werte die** Option. `True`
1. Wählen Sie **Speichern**.
Damit ist die LF-Tag-Zuweisung zur tag\$1database-Datenbank abgeschlossen.
**Erstellen Sie Ihre Datenbank und Tabelle für den Zugriff auf Spaltenebene**
Wiederholen Sie die folgenden Schritte, um die Datenbank `col_tag_database` und die Tabelle `source_data_col_lvl` zu erstellen und LF-Tags auf Spaltenebene anzuhängen.
1. Wählen Sie auf der Seite **Datenbanken** die Option Datenbank **erstellen** aus.
1. Geben Sie unter **Name** `col_tag_database` ein.
1. Geben Sie für **Standort** den Amazon S3 S3-Standort ein, der mit der CloudFormation Vorlage erstellt wurde`(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`.
1. Deaktivieren Sie die **Option Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank** verwenden.
1. Wählen Sie **Datenbank erstellen** aus.
1. Wählen Sie auf der Seite **Datenbanken** Ihre neue Datenbank aus. `(col_tag_database)`
1. Wählen Sie **Tabellen anzeigen** und klicken Sie auf **Tabelle erstellen**.
1. Geben Sie unter **Name** `source_data_col_lvl` ein.
1. Wählen Sie unter **Datenbank** Ihre neue Datenbank aus`(col_tag_database)`.
1. Wählen Sie als **Tabellenformat** die Option ** AWS Glue Standardtabelle** aus.
1. Wählen Sie für **Daten befinden sich in** die Option **Angegebener Pfad in meinem Konto** aus.
1. Geben Sie den Amazon S3 S3-Pfad für ein `col_tag_database``(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`.
1. Wählen Sie für **Datenformat** die Option`CSV`.
1. Geben Sie `Upload schema` unter das folgende JSON-Schema ein:
```
[
{
"Name": "vendorid",
"Type": "string"
},
{
"Name": "lpep_pickup_datetime",
"Type": "string"
},
{
"Name": "lpep_dropoff_datetime",
"Type": "string"
},
{
"Name": "store_and_fwd_flag",
"Type": "string"
},
{
"Name": "ratecodeid",
"Type": "string"
},
{
"Name": "pulocationid",
"Type": "string"
},
{
"Name": "dolocationid",
"Type": "string"
},
{
"Name": "passenger_count",
"Type": "string"
},
{
"Name": "trip_distance",
"Type": "string"
},
{
"Name": "fare_amount",
"Type": "string"
},
{
"Name": "extra",
"Type": "string"
},
{
"Name": "mta_tax",
"Type": "string"
},
{
"Name": "tip_amount",
"Type": "string"
},
{
"Name": "tolls_amount",
"Type": "string"
},
{
"Name": "ehail_fee",
"Type": "string"
},
{
"Name": "improvement_surcharge",
"Type": "string"
},
{
"Name": "total_amount",
"Type": "string"
},
{
"Name": "payment_type",
"Type": "string"
}
]
```
1. Wählen Sie `Upload`. Nach dem Hochladen des Schemas sollte das Tabellenschema wie im folgenden Screenshot aussehen.
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tutorial-manage-dl-tbac2.jpg)
1. Wählen Sie **Submit**, um die Erstellung der Tabelle abzuschließen.
1. Ordnen Sie nun das `Sensitive=True` LF-Tag den Spalten `vendorid` und zu. `fare_amount`
1. Wählen Sie auf der Seite **Tabellen** die Tabelle aus, die Sie erstellt haben. `(source_data_col_lvl)`
1. Wählen Sie im Menü **Aktionen** die Option **Schema** aus.
1. Wählen Sie die Spalte aus `vendorid` und klicken Sie auf **LF-Tags bearbeiten**.
1. **Wählen Sie für **Zugewiesene Schlüssel** die Option Sensitiv aus.**
1. Wählen Sie für **Werte** die Option **True** aus.
1. Wählen Sie **Speichern**.
1. Ordnen Sie als Nächstes das `Confidential=False` LF-Tag zu. `col_tag_database` Dies ist erforderlich`lf-data-analyst`, um die Datenbank beschreiben zu können, `col_tag_database` wenn Sie von dort aus angemeldet sind. Amazon Athena
1. Suchen Sie auf der Seite **Datenbanken** nach und wählen Sie`col_tag_database`.
1. Wählen Sie im Menü **Aktionen** die Option **LF-Tags bearbeiten** aus.
1. Wählen Sie „**Neues LF-Tag zuweisen**“.
1. Wählen Sie unter **Zugewiesene Schlüssel** den `Confidential` LF-Tag aus, den Sie zuvor erstellt haben.
1. Wählen Sie für **Werte die** Option. `False`
1. Wählen Sie **Speichern**.
## Schritt 4: Erteilen Sie Tabellenberechtigungen
Erteilen Sie Datenanalysten Berechtigungen für die Nutzung der Datenbanken `tag_database` und der Tabelle `col_tag_database` mithilfe von LF-Tags `Confidential` und. `Sensitive`
1. Gehen Sie wie folgt vor, um dem `lf-data-analyst` Benutzer Berechtigungen für die Objekte zu erteilen, die mit dem LF-Tag `Confidential=True` (Database:TAG\$1Database) verknüpft sind, sodass er über die Datenbank und Berechtigungen für Tabellen verfügt. `Describe` `Select`
1. Melden Sie sich bei der Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as an`lf-data-engineer`.
1. Wählen Sie unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie unter **Principals** die Option **IAM-Benutzer und** -Rollen aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen die Option**. `lf-data-analyst`
1. Wählen Sie unter **LF-Tags oder Katalogressourcen die Option Ressourcen** **aus, denen LF-Tags zugeordnet sind**.
1. **Wählen Sie LF-Tag hinzufügen.**
1. Wählen Sie für **Schlüssel** die Option. `Confidential`
1. Wählen Sie für **Werte** die Option`True`.
1. Wählen Sie für **Datenbankberechtigungen** die Option aus`Describe`.
1. Wählen Sie für **Tabellenberechtigungen** die **Option Select** and **Describe** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wiederholen Sie anschließend die Schritte, um Datenanalysten Berechtigungen für den LF-Tag-Ausdruck für zu erteilen. `Confidential=False` Dieses **LF-Tag** wird zur Beschreibung der Tabelle `col_tag_database` und der Tabelle verwendet, `source_data_col_lvl` wenn Sie über Amazon Athena `lf-data-analyst` angemeldet sind.
1. Melden Sie sich bei der Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as an`lf-data-engineer`.
1. Wählen Sie auf der Seite **Datenbanken** die Datenbank aus`col_tag_database`.
1. Wählen Sie **Aktion** und **Grant** aus.
1. Wählen Sie unter **Principals** die Option **IAM-Benutzer und** -Rollen aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen die Option**. `lf-data-analyst`
1. Wählen Sie **Ressourcen aus, denen LF-Tags zugeordnet sind**.
1. Wählen Sie LF-Tag **hinzufügen**.
1. Wählen Sie für **Schlüssel** die Option. `Confidential`
1. Wählen Sie für **Werte** die Option`False`.
1. Wählen Sie für **Datenbankberechtigungen** die Option`Describe`.
1. Wählen Sie für **Tabellenberechtigungen** nichts aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wiederholen Sie anschließend die Schritte, um Datenanalysten Berechtigungen für den LF-Tag-Ausdruck für `Confidential=False` und zu erteilen. `Sensitive=True` Dieses LF-Tag wird zur Beschreibung der `col_tag_database` und der Tabelle `source_data_col_lvl` (auf Spaltenebene) verwendet, wenn Sie über Amazon Athena angemeldet sind. `lf-data-analyst`
1. Melden Sie sich bei der Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as an`lf-data-engineer`.
1. Wählen Sie auf der Seite Datenbanken die Datenbank aus`col_tag_database`.
1. Wählen Sie **Aktion** und **Grant** aus.
1. Wählen Sie unter **Principals** die Option **IAM-Benutzer und** -Rollen aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen die Option**. `lf-data-analyst`
1. Wählen Sie **Ressourcen aus, denen LF-Tags zugeordnet sind**.
1. Wählen Sie LF-Tag **hinzufügen**.
1. Wählen Sie für **Schlüssel** die Option. `Confidential`
1. Wählen Sie für **Werte** die Option`False`.
1. Wählen Sie **LF-Tag hinzufügen**.
1. Wählen Sie für **Schlüssel** die Option. `Sensitive`
1. Wählen Sie für **Werte** die Option`True`.
1. Wählen Sie für **Datenbankberechtigungen** die Option`Describe`.
1. Wählen Sie für **Tabellenberechtigungen** die Option `Select` und aus`Describe`.
1. Wählen Sie **Grant (Erteilen)**.
## Schritt 5: Führen Sie eine Abfrage in Amazon Athena aus, um die Berechtigungen zu überprüfen
Verwenden Sie für diesen Schritt Amazon Athena, um `SELECT` Abfragen für die beiden Tabellen `(source_data and source_data_col_lvl)` auszuführen. Verwenden Sie den Amazon S3 S3-Pfad als Speicherort für die Abfrageergebnisse`(s3://lf-tagbased-demo-Account-ID/athena-results/)`.
1. Melden Sie sich bei der Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)as `lf-data-analyst` an.
1. Wählen Sie im Athena-Abfrage-Editor `tag_database` im linken Bereich.
1. Wählen Sie das Symbol für zusätzliche Menüoptionen (drei vertikale Punkte) neben `source_data` und wählen Sie „**Tabellenvorschau**“.
1. Wählen Sie **Abfrage ausführen**.
Die Ausführung der Abfrage sollte einige Minuten dauern. Die Abfrage zeigt alle Spalten in der Ausgabe an, da das LF-Tag auf Datenbankebene verknüpft ist und die `source_data` Tabelle das automatisch `LF-tag` von der Datenbank übernommen hat. `tag_database`
1. Führen Sie eine weitere Abfrage mit `col_tag_database` und aus. `source_data_col_lvl`
Die zweite Abfrage gibt die beiden Spalten zurück, die als `Non-Confidential` und gekennzeichnet wurden`Sensitive`.
1. Sie können auch überprüfen, ob das Verhalten der Tag-basierten Zugriffsrichtlinie von Lake Formation in Spalten angezeigt wird, für die Sie keine Richtlinienberechtigungen haben. Wenn eine Spalte ohne Tags aus der Tabelle ausgewählt wird`source_data_col_lvl`, gibt Athena einen Fehler zurück. Sie können beispielsweise die folgende Abfrage ausführen, um Spalten ohne Tags auszuwählen: `geolocationid`
```
SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;
```
## Schritt 6: Ressourcen AWS bereinigen
Um zu verhindern, dass Ihnen unerwünschte Kosten entstehen AWS-Konto, können Sie die AWS Ressourcen löschen, die Sie für dieses Tutorial verwendet haben.
1. Melden Sie sich bei der Lake Formation Console an `lf-data-engineer` und löschen Sie die Datenbanken `tag_database` und`col_tag_database`.
1. Melden Sie sich als Nächstes an `lf-data-steward` und bereinigen Sie alle **LF-Tag-Berechtigungen**, **Datenberechtigungen** und **Datenspeicherberechtigungen**, die oben gewährt wurden und gewährt `lf-data-engineer` wurden. `lf-data-analyst.`
1. Melden Sie sich bei der Amazon S3-Konsole als Kontoinhaber mit den IAM-Anmeldeinformationen an, die Sie für die Bereitstellung des CloudFormation Stacks verwendet haben.
1. Löschen Sie die folgenden Buckets:
+ lf-tagbased-demo-accesslogs-*acct-id*
+ lf-tagbased-demo-*acct-id*
1. Melden Sie sich unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) bei der CloudFormation Konsole an und löschen Sie den von Ihnen erstellten Stack. Warten Sie, bis sich der Stack-Status auf ändert. `DELETE_COMPLETE`
# Sicherung von Data Lakes mit Zugriffskontrolle auf Zeilenebene
AWS Lake Formation Mit Berechtigungen auf Zeilenebene können Sie auf der Grundlage von Datenkonformitäts- und Governance-Richtlinien Zugriff auf bestimmte Zeilen in einer Tabelle gewähren. Wenn Sie über große Tabellen verfügen, in denen Milliarden von Datensätzen gespeichert werden, benötigen Sie eine Möglichkeit, verschiedenen Benutzern und Teams den Zugriff nur auf die Daten zu ermöglichen, die sie sehen dürfen. Die Zugriffskontrolle auf Zeilenebene ist eine einfache und leistungsstarke Methode, um Daten zu schützen und Benutzern gleichzeitig Zugriff auf die Daten zu gewähren, die sie für ihre Arbeit benötigen. Lake Formation bietet zentralisierte Audits und Compliance-Berichte, indem ermittelt wird, welche Principals wann und über welche Dienste auf welche Daten zugegriffen haben.
In diesem Tutorial erfahren Sie, wie Zugriffskontrollen auf Zeilenebene in Lake Formation funktionieren und wie Sie sie einrichten.
Dieses Tutorial enthält eine AWS CloudFormation Vorlage für die schnelle Einrichtung der erforderlichen Ressourcen. Sie können es überprüfen und an Ihre Bedürfnisse anpassen.
**Topics**
+ [Zielgruppe](#tut-cbac-roles-tutorial)
+ [Voraussetzungen](#tut-cbac-prereqs)
+ [Schritt 1: Stellen Sie Ihre Ressourcen bereit](#set-up-cbac-resources)
+ [Schritt 2: Abfrage ohne Datenfilter](#query-without-filters)
+ [Schritt 3: Richten Sie Datenfilter ein und gewähren Sie Berechtigungen](#setup-data-filters)
+ [Schritt 4: Abfrage mit Datenfiltern](#query-with-filters)
+ [Schritt 5: AWS Ressourcen bereinigen](#cbac-clean-up)
## Zielgruppe
Dieses Tutorial richtet sich an Datenverwalter, Dateningenieure und Datenanalysten. In der folgenden Tabelle sind die Rollen und Verantwortlichkeiten eines Datenbesitzers und eines Datenkonsumenten aufgeführt.
| Rolle | Beschreibung |
| --- | --- |
| IAM-Administrator | Ein Benutzer, der Benutzer und Rollen sowie Amazon Simple Storage Service (Amazon S3) -Buckets erstellen kann. Hat die AdministratorAccess AWS verwaltete Richtlinie. |
| Data Lake-Administrator | Ein Benutzer, der für die Einrichtung des Data Lakes, die Erstellung von Datenfiltern und die Erteilung von Berechtigungen für Datenanalysten verantwortlich ist. |
| Datenanalyst | Ein Benutzer, der Abfragen für den Data Lake ausführen kann. Datenanalysten mit Wohnsitz in verschiedenen Ländern (für unseren Anwendungsfall in den USA und Japan) können nur Produktbewertungen von Kunden in ihrem eigenen Land analysieren und sollten aus Compliance-Gründen keine Kundendaten in anderen Ländern sehen können. |
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Administratorbenutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen finden Sie unter [Erledigen Sie die Aufgaben zur AWS Erstkonfiguration](getting-started-setup.md#initial-aws-signup).
In der Anleitung wird davon ausgegangen, dass Sie mit IAM vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
**Lake Formation Formation-Einstellungen ändern**
**Wichtig**
Bevor Sie die CloudFormation Vorlage starten, deaktivieren Sie die Option **Nur IAM-Zugriffskontrolle für neue Datenbanken/Tabellen in Lake Formation verwenden**, indem Sie die folgenden Schritte ausführen:
1. Melden Sie sich in der Region USA Ost (Nord-Virginia) oder USA West (Oregon) bei [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)der Lake Formation Formation-Konsole an.
1. Wählen Sie unter Datenkatalog die Option **Einstellungen** aus.
1. Deaktivieren Sie die **Optionen Nur IAM-Zugriffskontrolle für neue Datenbanken** **verwenden und Nur IAM-Zugriffskontrolle für neue Tabellen in neuen** Datenbanken verwenden.
1. Wählen Sie **Save (Speichern)** aus.
## Schritt 1: Stellen Sie Ihre Ressourcen bereit
Dieses Tutorial enthält eine CloudFormation Vorlage für eine schnelle Einrichtung. Sie können es überprüfen und an Ihre Bedürfnisse anpassen. Die CloudFormation Vorlage generiert die folgenden Ressourcen:
+ Benutzer und Richtlinien für:
+ DataLakeAdmin
+ DataAnalystUSA
+ DataAnalystJP
+ Lake Formation Data Lake-Einstellungen und Berechtigungen
+ Eine Lambda-Funktion (für Lambda-gestützte CloudFormation benutzerdefinierte Ressourcen), die verwendet wird, um Beispieldatendateien aus dem öffentlichen Amazon S3 S3-Bucket in Ihren Amazon S3-Bucket zu kopieren
+ Ein Amazon S3 S3-Bucket, der als unser Data Lake dient
+ Eine AWS Glue Data Catalog Datenbank, eine Tabelle und eine Partition
**Erstellen Sie Ihre Ressourcen**
Gehen Sie wie folgt vor, um Ihre Ressourcen mithilfe der CloudFormation Vorlage zu erstellen.
1. Melden Sie sich bei der CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.
1. Wählen Sie [Launch Stack](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/create?templateURL=https://aws-bigdata-blog.s3.amazonaws.com/artifacts/lakeformation_row_security/lakeformation_tutorial_row_security.yaml).
1. Wählen Sie auf dem Bildschirm „**Stack erstellen**“ die Option „**Weiter**“.
1. Geben Sie einen **Stack-Namen ein.**
1. Geben Sie für **DatalakeAdminUserName**und **DatalakeAdminUserPassword**Ihren IAM-Benutzernamen und Ihr Passwort für den Data Lake-Admin-Benutzer ein.
1. Geben Sie für **DataAnalystUsUserName**und **DataAnalystUsUserPassword**den gewünschten Benutzernamen und das Passwort für den Data Analyst-Benutzer, der für den US-Marketplace verantwortlich ist, den gewünschten Benutzernamen und das Passwort ein.
1. Geben Sie für **DataAnalystJpUserName**und **DataAnalystJpUserPassword**den gewünschten Benutzernamen und das Passwort für den Data Analyst-Benutzer, der für den japanischen Marketplace zuständig ist, den gewünschten Benutzernamen und das Passwort ein.
1. Geben Sie für **DataLakeBucketName**den Namen Ihres Daten-Buckets ein.
1. Für **DatabaseName**und **TableName**belassen Sie die Standardeinstellung.
1. Wählen Sie **Weiter**
1. Wählen Sie auf der nächsten Seite **Weiter** aus.
1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Create (Erstellen)** aus.
Die Erstellung des Stacks kann eine Minute dauern.
## Schritt 2: Abfrage ohne Datenfilter
Nachdem Sie die Umgebung eingerichtet haben, können Sie die Tabelle mit den Produktbewertungen abfragen. Fragen Sie zunächst die Tabelle ohne Zugriffskontrollen auf Zeilenebene ab, um sicherzustellen, dass Sie die Daten sehen können. Wenn Sie Abfragen zum ersten Mal in Amazon Athena ausführen, müssen Sie den Speicherort der Abfrageergebnisse konfigurieren.
**Fragen Sie die Tabelle ohne Zugriffskontrolle auf Zeilenebene ab**
1. Melden Sie sich an Athena Konsolen Sie [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)als `DatalakeAdmin` Benutzer und führen Sie die folgende Abfrage aus:
```
SELECT *
FROM lakeformation_tutorial_row_security.amazon_reviews
LIMIT 10
```
Der folgende Screenshot zeigt das Abfrageergebnis. Diese Tabelle hat nur eine Partition`product_category=Video`, sodass jeder Datensatz ein Bewertungskommentar für ein Videoprodukt ist.
![\[Query results showing 10 rows of Amazon product reviews for VHS tapes with various ratings.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cbac-tut-query-results1.jpg)
1. Führen Sie als Nächstes eine Aggregationsabfrage aus, um die Gesamtzahl der Datensätze pro `marketplace` Datensatz abzurufen.
```
SELECT marketplace, count(*) as total_count
FROM lakeformation_tutorial_row_security.amazon_reviews
GROUP BY marketplace
```
Der folgende Screenshot zeigt das Abfrageergebnis. Die `marketplace` Spalte hat fünf verschiedene Werte. In den nachfolgenden Schritten richten Sie zeilenbasierte Filter mithilfe der `marketplace` Spalte ein.
![\[Query results showing marketplace data with total counts for FR, UK, JP, DE, and US.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cbac-tut-query-results2.jpg)
## Schritt 3: Richten Sie Datenfilter ein und gewähren Sie Berechtigungen
In diesem Tutorial werden zwei Datenanalysten verwendet: einer ist für den US-Markt zuständig, der andere für den japanischen Markt. Jeder Analyst verwendet Athena, um Kundenrezensionen nur für seinen spezifischen Marketplace zu analysieren. Erstellen Sie zwei verschiedene Datenfilter, einen für den Analysten, der für den US-Markt verantwortlich ist, und einen weiteren für den, der für den japanischen Markt verantwortlich ist. Erteilen Sie den Analysten anschließend ihre jeweiligen Berechtigungen.
**Erstellen Sie Datenfilter und gewähren Sie Berechtigungen**
1. Erstellen Sie einen Filter, um den Zugriff auf die `US` `marketplace` Daten einzuschränken.
1. Melden Sie sich als `DatalakeAdmin` Benutzer bei der Lake Formation Formation-Konsole [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)in der Region USA Ost (Nord-Virginia) an.
1. Wählen Sie **Datenfilter**.
1. Wählen Sie **Neuen Filter erstellen**.
1. Geben Sie als **Datenfiltername** ein`amazon_reviews_US`.
1. Wählen Sie für **Zieldatenbank** die Datenbank aus`lakeformation_tutorial_row_security`.
1. Wählen Sie für **Zieltabelle** die Tabelle aus`amazon_reviews`.
1. Behalten Sie für **den Zugriff auf Spaltenebene** die Standardeinstellung bei.
1. Geben Sie für **Zeilenfilterausdruck** den Wert ein. `marketplace='US'`
1. Wählen Sie **Create Filter)** (Filter erstellen.
1. Erstellen Sie einen Filter, um den Zugriff auf die japanischen `marketplace` Daten einzuschränken.
1. Wählen Sie auf der Seite **Datenfilter** die Option **Neuen Filter erstellen** aus.
1. Geben Sie als **Datenfiltername** den Wert ein`amazon_reviews_JP`.
1. Wählen Sie für **Zieldatenbank** die Datenbank aus`lakeformation_tutorial_row_security`.
1. Wählen Sie für **Target-Tabelle** die`table amazon_reviews`.
1. Behalten Sie für **den Zugriff auf Spaltenebene** die Standardeinstellung bei.
1. Geben Sie für Zeilenfilterausdruck den Wert ein. `marketplace='JP'`
1. Wählen Sie **Create Filter)** (Filter erstellen.
1. Erteilen Sie als Nächstes den Datenanalysten, die diese Datenfilter verwenden, Berechtigungen. Gehen Sie wie folgt vor, um dem US-Datenanalysten Berechtigungen zu erteilen (`DataAnalystUS`):
1. Wählen Sie unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.
1. Wählen Sie unter **Datenberechtigung** die Option **Erteilen** aus.
1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** anschließend die Rolle aus. `DataAnalystUS`
1. Wählen Sie **für LF-Tags oder Katalogressourcen** die Option **Benannte Datenkatalogressourcen** aus.
1. Wählen Sie unter **Database (Datenbank)** Option `lakeformation_tutorial_row_security` aus.
1. Wählen Sie für **Tabellen optional** die Option. `amazon_reviews`
1. Für **Datenfilter — optional — wählen** Sie. `amazon_reviews_US`
1. Wählen Sie für **Datenfilterberechtigungen** die Option **Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
1. Gehen Sie wie folgt vor, um dem japanischen Datenanalysten (`DataAnalystJP`) Berechtigungen zu erteilen:
1. Wählen Sie unter **Berechtigungen** die Option **Data Lake-Berechtigungen** aus.
1. Wählen Sie unter **Datenberechtigung** die Option **Erteilen** aus.
1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** anschließend die Rolle aus. `DataAnalystJP`
1. Wählen Sie **für LF-Tags oder Katalogressourcen** die Option **Benannte Datenkatalogressourcen** aus.
1. Wählen Sie unter **Database (Datenbank)** Option `lakeformation_tutorial_row_security` aus.
1. Wählen Sie für **Tabellen optional** die Option. `amazon_reviews`
1. Für **Datenfilter — optional — wählen** Sie. `amazon_reviews_JP`
1. Wählen Sie für **Datenfilterberechtigungen** die Option **Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
## Schritt 4: Abfrage mit Datenfiltern
Führen Sie anhand der Datenfilter, die der Tabelle mit den Produktbewertungen beigefügt sind, einige Abfragen durch, um zu sehen, wie Berechtigungen von Lake Formation durchgesetzt werden.
1. Melden Sie sich [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)als `DataAnalystUS` Benutzer bei der Athena-Konsole an.
1. Führen Sie die folgende Abfrage aus, um einige Datensätze abzurufen, die anhand der von uns definierten Berechtigungen auf Zeilenebene gefiltert werden:
```
SELECT *
FROM lakeformation_tutorial_row_security.amazon_reviews
LIMIT 10
```
Der folgende Screenshot zeigt das Abfrageergebnis.
![\[Query results showing 10 rows of Amazon product reviews data, including marketplace, ratings, and product titles.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/cbac-tut-query-results3.png)
1. Führen Sie auf ähnliche Weise eine Abfrage aus, um die Gesamtzahl der Datensätze pro Marketplace zu zählen.
```
SELECT marketplace , count ( * ) as total_count
FROM lakeformation_tutorial_row_security .amazon_reviews
GROUP BY marketplace
```
Das Abfrageergebnis zeigt nur die `marketplace` `US` in den Ergebnissen. Dies liegt daran, dass der Benutzer nur Zeilen sehen darf, in denen der `marketplace` Spaltenwert gleich ist`US`.
1. Wechseln Sie zum `DataAnalystJP` Benutzer und führen Sie dieselbe Abfrage aus.
```
SELECT *
FROM lakeformation_tutorial_row_security.amazon_reviews
LIMIT 10
```
Das Abfrageergebnis zeigt, dass nur die Datensätze zu den gehören `JP``marketplace`.
1. Führen Sie die Abfrage aus, um die Gesamtzahl der Datensätze pro zu zählen`marketplace`.
```
SELECT marketplace, count(*) as total_count
FROM lakeformation_tutorial_row_security.amazon_reviews
GROUP BY marketplace
```
Das Abfrageergebnis zeigt nur die Zeile, die zu der gehört `JP``marketplace`.
## Schritt 5: AWS Ressourcen bereinigen
**Bereinigen von -Ressourcen**
Um zu verhindern, dass Ihnen unerwünschte Kosten entstehen AWS-Konto, können Sie die AWS Ressourcen löschen, die Sie für dieses Tutorial verwendet haben.
+ [Löschen Sie den Cloud-Formation-Stack](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).
# Gemeinsame Nutzung eines Data Lakes mithilfe von Tag-basierter Zugriffskontrolle von Lake Formation und benannten Ressourcen
Dieses Tutorial zeigt, wie Sie konfigurieren können AWS Lake Formation , um Daten, die in einem Data Lake gespeichert sind, sicher mit mehreren Unternehmen, Organisationen oder Geschäftseinheiten gemeinsam zu nutzen, ohne die gesamte Datenbank kopieren zu müssen. Es gibt zwei Möglichkeiten, Ihre Datenbanken und Tabellen mithilfe der kontenübergreifenden Zugriffskontrolle AWS-Konto von Lake Formation gemeinsam mit anderen zu nutzen:
+ **Tag-basierte Zugriffskontrolle von Lake Formation (empfohlen)**
Die tagbasierte Zugriffskontrolle von Lake Formation ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In Lake Formation werden diese Attribute *LF-Tags* genannt. Weitere Informationen finden Sie unter [Verwaltung eines Data Lakes mithilfe der Tag-basierten Zugriffskontrolle von Lake Formation](managing-dl-tutorial.md).
+ **Lake Formation benannte Ressourcen**
Die Methode Lake Formation Named Resource ist eine Autorisierungsstrategie, die Berechtigungen für Ressourcen definiert. Zu den Ressourcen gehören Datenbanken, Tabellen und Spalten. Data Lake-Administratoren können Berechtigungen für Lake Formation Formation-Ressourcen zuweisen und widerrufen. Weitere Informationen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md).
Wir empfehlen die Verwendung benannter Ressourcen, wenn der Data Lake-Administrator es vorzieht, einzelnen Ressourcen explizit Berechtigungen zu gewähren. Wenn Sie die benannte Ressourcenmethode verwenden, um einem externen Konto Lake Formation-Berechtigungen für eine Datenkatalogressource zu gewähren, verwendet Lake Formation AWS Resource Access Manager (AWS RAM), um die Ressource gemeinsam zu nutzen.
**Topics**
+ [Zielgruppe](#tut-share-tbac-roles)
+ [Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto](#tut-share-tbac-LF-settings)
+ [Schritt 1: Stellen Sie Ihre Ressourcen mithilfe von AWS CloudFormation Vorlagen bereit](#tut-tbac-share-provision-resources)
+ [Schritt 2: Voraussetzungen für die gemeinsame Nutzung von Konten bei Lake Formation](#cross-account-share-prerequisistes)
+ [Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode](#tut-share-tbac-method)
+ [Schritt 4: Implementieren Sie die benannte Ressourcenmethode](#tut-named-resource-method)
+ [Schritt 5: AWS Ressourcen bereinigen](#share-tbac-clean-up-db)
## Zielgruppe
Dieses Tutorial richtet sich an Datenverwalter, Dateningenieure und Datenanalysten. Wenn es um die gemeinsame Nutzung von Datenkatalogtabellen von Lake Formation AWS Glue und die Verwaltung von Berechtigungen in Lake Formation geht, haben die Data Stewards innerhalb der produzierenden Konten die funktionale Verantwortung, basierend auf den Funktionen, die sie unterstützen, und können verschiedenen Verbrauchern, externen Organisationen und Konten Zugriff gewähren. In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet werden:
| Rolle | Description |
| --- | --- |
| DataLakeAdminProducer | Der Data Lake-Admin-IAM-Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html) |
| DataLakeAdminConsumer | Der Data Lake-Admin-IAM-Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html) |
| DataAnalyst | Der DataAnalyst Benutzer hat folgenden Zugriff: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/share-dl-tbac-tutorial.html) |
## Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Administratorbenutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen finden Sie unter [Erledigen Sie die Aufgaben zur AWS Erstkonfiguration](getting-started-setup.md#initial-aws-signup).
In der Anleitung wird davon ausgegangen, dass Sie mit IAM vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
**Konfigurieren Sie die Lake Formation Data Catalog-Einstellungen im Produzentenkonto**
**Anmerkung**
In diesem Tutorial wird das Konto, das die Quelltabelle enthält, als Produzentenkonto bezeichnet, und das Konto, das Zugriff auf die Quelltabelle benötigt, wird als Verbraucherkonto bezeichnet.
Lake Formation bietet ein eigenes Genehmigungsverwaltungsmodell. Um die Abwärtskompatibilität mit dem IAM-Berechtigungsmodell aufrechtzuerhalten, wird der Gruppe `IAMAllowedPrincipals` die `Super` Berechtigung standardmäßig für alle vorhandenen AWS Glue Data Catalog Ressourcen erteilt. Außerdem sind die **Einstellungen für die Zugriffskontrolle „Nur IAM verwenden**“ für neue Datenkatalogressourcen aktiviert. In diesem Tutorial wird eine feinkörnige Zugriffskontrolle mithilfe Lake Formation Formation-Berechtigungen und IAM-Richtlinien für eine grobe Zugriffskontrolle verwendet. Details dazu finden Sie unter [Methoden für eine differenzierte Zugriffskontrolle](access-control-fine-grained.md). Bevor Sie eine AWS CloudFormation Vorlage für eine schnelle Einrichtung verwenden, müssen Sie daher die Lake Formation Data Catalog-Einstellungen im Producer-Konto ändern.
**Wichtig**
Diese Einstellung wirkt sich auf alle neu erstellten Datenbanken und Tabellen aus. Wir empfehlen daher dringend, dieses Tutorial in einem Konto zu absolvieren, das nicht zur Produktion verwendet wird, oder mit einem neuen Konto. Wenn Sie ein gemeinsames Konto verwenden (z. B. das Entwicklungskonto Ihres Unternehmens), stellen Sie außerdem sicher, dass sich dies nicht auf andere Ressourcen auswirkt. Wenn Sie es vorziehen, die Standardsicherheitseinstellungen beizubehalten, müssen Sie bei der gemeinsamen Nutzung von `IAMAllowedPrincipals` Ressourcen für andere Konten einen zusätzlichen Schritt ausführen, in dem Sie die **Standard-Superberechtigung** für die Datenbank oder Tabelle entziehen. Wir besprechen die Details später in diesem Tutorial.
Gehen Sie wie folgt vor, um die Lake Formation Data Catalog-Einstellungen im Producer-Konto zu konfigurieren:
1. Melden Sie sich AWS-Managementkonsole mit dem Producer-Konto als Admin-Benutzer oder als Benutzer mit Lake Formation `PutDataLakeSettings` API-Berechtigung an.
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich unter **Datenkatalog** die Option **Einstellungen** aus.
1. Deaktivieren Sie „**Nur IAM-Zugriffskontrolle für neue Datenbanken** **verwenden“ und „Nur IAM-Zugriffskontrolle für neue Tabellen in neuen** Datenbanken verwenden“
Wählen Sie **Speichern**.
![\[Data catalog settings interface for AWS Lake Formation with permission options.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tbac-tut-settings.jpg)
**Darüber hinaus können Sie `IAMAllowedPrincipals` unter **Administratorrollen und -aufgaben** die `CREATE_DATABASE` Berechtigungen für Datenbankersteller entfernen.** Nur dann können Sie mithilfe von Lake Formation Formation-Berechtigungen steuern, wer eine neue Datenbank erstellen kann.
## Schritt 1: Stellen Sie Ihre Ressourcen mithilfe von AWS CloudFormation Vorlagen bereit
Die CloudFormation Vorlage für das Produzentenkonto generiert die folgenden Ressourcen:
+ Ein Amazon S3 S3-Bucket, der als Data Lake dient.
+ Eine Lambda-Funktion (für CloudFormation Lambda-gestützte benutzerdefinierte Ressourcen). Wir verwenden die Funktion, um Beispieldatendateien aus dem öffentlichen Amazon S3 S3-Bucket in Ihren Amazon S3-Bucket zu kopieren.
+ IAM-Benutzer und -Richtlinien: DataLakeAdminProducer.
+ Die entsprechenden Lake Formation Formation-Einstellungen und -Berechtigungen, einschließlich:
+ Definieren des Lake Formation Data Lake-Administrators im Producer-Konto
+ Registrierung eines Amazon S3 S3-Buckets als Lake Formation Data Lake-Standort (Produzentenkonto)
+ Eine AWS Glue Data Catalog Datenbank, eine Tabelle und eine Partition. Da es zwei Optionen für die gemeinsame Nutzung von Ressourcen gibt AWS-Konten, erstellt diese Vorlage zwei separate Gruppen von Datenbank und Tabelle.
Die CloudFormation Vorlage für das Verbraucherkonto generiert die folgenden Ressourcen:
+ IAM-Benutzer und -Richtlinien:
+ DataLakeAdminConsumer
+ DataAnalyst
+ Eine AWS Glue Data Catalog Datenbank. Diese Datenbank dient zum Erstellen von Ressourcenlinks zu gemeinsam genutzten Ressourcen.
**Erstellen Sie Ihre Ressourcen im Produzentenkonto**
1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.
1. Wählen Sie [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_producer.yaml).
1. Wählen Sie **Weiter** aus.
1. Geben Sie **unter Stackname** einen Stacknamen ein, z. `stack-producer` B.
1. Geben Sie im Abschnitt **Benutzerkonfiguration** den Benutzernamen und das Passwort für `ProducerDatalakeAdminUserName` und ein`ProducerDatalakeAdminUserPassword`.
1. Geben Sie für **DataLakeBucketName**den Namen Ihres Data Lake-Buckets ein. Dieser Name muss weltweit eindeutig sein.
1. Behalten Sie für **DatabaseName**und **TableName**die Standardwerte bei.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der nächsten Seite **Weiter** aus.
1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Erstellen** aus.
Die Erstellung des Stacks kann bis zu einer Minute dauern.
**Erstellen Sie Ihre Ressourcen im Kundenkonto**
1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) in der Region USA Ost (Nord-Virginia) an.
1. Wählen Sie [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_consumer.yaml).
1. Wählen Sie **Weiter** aus.
1. Geben Sie **unter Stackname** einen Stacknamen ein, z. `stack-consumer` B.
1. Geben Sie im Abschnitt **Benutzerkonfiguration** den Benutzernamen und das Passwort für `ConsumerDatalakeAdminUserName` und ein`ConsumerDatalakeAdminUserPassword`.
1. Geben Sie für `DataAnalystUserName` und `DataAnalystUserPassword` den gewünschten Benutzernamen und das Kennwort für den IAM-Benutzer von Data Analyst ein.
1. Geben Sie für **DataLakeBucketName**den Namen Ihres Data Lake-Buckets ein. Dieser Name muss weltweit eindeutig sein.
1. Behalten Sie im Feld **DatabaseName** die Standardwerte bei.
1. Geben Sie für `AthenaQueryResultS3BucketName` den Namen des Amazon S3 S3-Buckets ein, in dem die Amazon Athena Athena-Abfrageergebnisse gespeichert werden. Wenn Sie noch keinen haben, [erstellen Sie einen Amazon S3 S3-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der nächsten Seite **Weiter** aus.
1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.
1. Wählen Sie **Erstellen** aus.
Die Erstellung des Stacks kann bis zu einer Minute dauern.
**Anmerkung**
Löschen Sie nach Abschluss des Tutorials den Stack CloudFormation , um Gebühren zu vermeiden. Stellen Sie sicher, dass die Ressourcen im Ereignisstatus für den Stack erfolgreich gelöscht wurden.
## Schritt 2: Voraussetzungen für die gemeinsame Nutzung von Konten bei Lake Formation
Bevor Ressourcen mit Lake Formation gemeinsam genutzt werden können, müssen Voraussetzungen sowohl für die tagbasierte Zugriffskontrollmethode als auch für die benannte Ressourcenmethode erfüllt sein.
**Erfüllen Sie die Voraussetzungen für die tagbasierte Zugriffskontrolle und die kontenübergreifende gemeinsame Nutzung von Daten**
+ Weitere Informationen zu den Anforderungen für die kontenübergreifende gemeinsame Nutzung von Daten finden Sie im [Voraussetzungen](cross-account-prereqs.md) Abschnitt des Kapitels zur kontenübergreifenden Datenfreigabe.
Um Datenkatalogressourcen mit Version 3 oder höher der **Einstellungen für die kontoübergreifende Version gemeinsam nutzen zu können**, benötigt der Gewährer die in der AWS verwalteten Richtlinie `AWSLakeFormationCrossAccountManager` definierten IAM-Berechtigungen in Ihrem Konto.
Wenn Sie Version 1 oder Version 2 der **Einstellungen für die kontenübergreifende Version** verwenden, müssen Sie der Datenkatalog-Ressourcenrichtlinie im Produzentenkonto das folgende `JSON` Berechtigungsobjekt hinzufügen, bevor Sie die tagbasierte Zugriffssteuerungsmethode verwenden können, um kontenübergreifenden Zugriff auf Ressourcen zu gewähren. Dadurch erhält das Verbraucherkonto die Erlaubnis, auf den Datenkatalog zuzugreifen, wenn dies `glue:EvaluatedByLakeFormationTags` zutrifft. Diese Bedingung gilt auch für Ressourcen, für die Sie die Erlaubnis erteilt haben, Lake Formation Formation-Berechtigungs-Tags für das Konto des Verbrauchers zu verwenden. Diese Richtlinie ist für jede Richtlinie erforderlich AWS-Konto , für die Sie Berechtigungen erteilen.
Die folgende Richtlinie muss sich in einem `Statement` Element befinden. Wir besprechen die vollständige IAM-Richtlinie im nächsten Abschnitt.
```
{
"Effect": "Allow",
"Action": [
"glue:*"
],
"Principal": {
"AWS": [
"consumer-account-id"
]
},
"Resource": [
"arn:aws:glue:region:account-id:table/*",
"arn:aws:glue:region:account-id:database/*",
"arn:aws:glue:region:account-id:catalog"
],
"Condition": {
"Bool": {
"glue:EvaluatedByLakeFormationTags": true
}
}
}
```
**Vollständige Voraussetzungen für die kontenübergreifende gemeinsame Nutzung der Methode „Benannte Ressourcen“**
1. Wenn es in Ihrem Konto keine Datenkatalog-Ressourcenrichtlinie gibt, werden die von Ihnen gewährten kontoübergreifenden Zuschüsse von Lake Formation wie gewohnt durchgeführt. Wenn jedoch eine Datenkatalog-Ressourcenrichtlinie existiert, müssen Sie dieser die folgende Erklärung hinzufügen, damit Ihre kontoübergreifenden Zuschüsse erfolgreich sind, wenn sie mit der benannten Ressourcenmethode gewährt werden. Wenn Sie nur die benannte Ressourcenmethode oder nur die tagbasierte Zugriffskontrollmethode verwenden möchten, können Sie diesen Schritt überspringen. In diesem Tutorial evaluieren wir beide Methoden und müssen die folgende Richtlinie hinzufügen.
Die folgende Richtlinie muss sich in einem `Statement` Element befinden. Wir besprechen die vollständige IAM-Richtlinie im nächsten Abschnitt.
```
{
"Effect": "Allow",
"Action": [
"glue:ShareResource"
],
"Principal": {
"Service":"ram.amazonaws.com"
},
"Resource": [
"arn:aws:glue:region:account-id:table/*/*",
"arn:aws:glue:region:account-id:database/*",
"arn:aws:glue:region:account-id:catalog"
]
}
```
1. Fügen Sie als Nächstes die AWS Glue Data Catalog Ressourcenrichtlinie mithilfe von AWS Command Line Interface (AWS CLI) hinzu.
Wenn Sie kontenübergreifende Berechtigungen sowohl mithilfe der tagbasierten Zugriffskontrollmethode als auch der benannten Ressourcenmethode gewähren, müssen Sie das `EnableHybrid` Argument auf „true“ setzen, wenn Sie die vorherigen Richtlinien hinzufügen. Weil diese Option derzeit nicht auf der Konsole unterstützt wird und Sie die `glue:PutResourcePolicy` API und verwenden müssen. AWS CLI
Erstellen Sie zunächst ein Richtliniendokument (z. B. policy.json) und fügen Sie die beiden vorherigen Richtlinien hinzu. *consumer-account-id*Ersetzen Sie es durch die Angabe *account ID* des AWS-Konto Empfängers des Zuschusses, *region* durch die Region des Datenkatalogs, die die Datenbanken und Tabellen enthält, für die Sie Berechtigungen gewähren, und *account-id* durch die AWS-Konto Producer-ID.
Geben Sie den folgenden AWS CLI Befehl ein. *glue-resource-policy*Ersetzen Sie durch die richtigen Werte (z. B. file: //policy.json).
```
aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE
```
Weitere Informationen finden Sie unter [put-resource-policy.](https://docs.aws.amazon.com/cli/latest/reference/glue/put-resource-policy.html)
## Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode
In diesem Abschnitt führen wir Sie durch die folgenden allgemeinen Schritte:
1. Definieren Sie ein LF-Tag.
1. Weisen Sie der Zielressource das LF-Tag zu.
1. Erteilen Sie dem Verbraucherkonto LF-Tag-Berechtigungen.
1. Erteilen Sie dem Verbraucherkonto Datenberechtigungen.
1. Widerrufen Sie optional die `IAMAllowedPrincipals` Berechtigungen für die Datenbank, Tabellen und Spalten.
1. Erstellen Sie einen Ressourcenlink zu der gemeinsam genutzten Tabelle.
1. Erstellen Sie ein LF-Tag und weisen Sie es der Zieldatenbank zu.
1. Erteilen Sie dem Verbraucherkonto LF-Tag-Datenberechtigungen.
**Definieren Sie ein LF-Tag**
**Anmerkung**
Wenn Sie mit Ihrem Produzentenkonto angemeldet sind, melden Sie sich ab, bevor Sie die folgenden Schritte ausführen.
1. Melden Sie sich als Data Lake-Administrator unter beim Produzentenkonto an [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Verwenden Sie die Producer-Kontonummer, den IAM-Benutzernamen (die Standardeinstellung ist`DatalakeAdminProducer`) und das Passwort, die Sie bei der CloudFormation Stack-Erstellung angegeben haben.
1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) im Navigationsbereich unter **Berechtigungen** die Optionen **LF-Tags and** Permissions aus.
1. Wählen Sie „LF-Tag **hinzufügen**“.
**Weisen Sie der Zielressource das LF-Tag zu**
Weisen Sie der Zielressource das LF-Tag zu und gewähren Sie einem anderen Konto Datenberechtigungen
Als Data Lake-Administrator können Sie Tags an Ressourcen anhängen. Wenn Sie beabsichtigen, eine separate Rolle zu verwenden, müssen Sie der separaten Rolle möglicherweise Berechtigungen zum Beschreiben und Anhängen erteilen.
1. Wählen Sie im Navigationsbereich unter **Datenkatalog** die Option **Datenbanken** aus.
1. Wählen Sie die Zieldatenbank aus `(lakeformation_tutorial_cross_account_database_tbac)` und klicken Sie im Menü **Aktionen** auf **LF-Tags bearbeiten**.
In diesem Tutorial weisen Sie einer Datenbank ein LF-Tag zu, Sie können aber auch Tabellen und Spalten LF-Tags zuweisen.
1. **Wählen Sie Neues LF-Tag zuweisen.**
1. Fügen Sie den Schlüssel `Confidentiality` und den Wert hinzu. `public`
1. Wählen Sie **Speichern**.
**Erteilen Sie dem Kundenkonto die **LF-Tag-Erlaubnis****
Erteilen Sie dem Verbraucherkonto, das sich immer noch im Herstellerkonto befindet, Berechtigungen für den Zugriff auf das LF-Tag.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen** die Option **LF-Tags** und Berechtigungen aus.
1. ****Wählen Sie die Registerkarte **LF-Tags** und wählen Sie den **Schlüssel** und die **Werte** des LF-Tags aus, das mit dem Kundenkonto geteilt wird (Schlüssel und Wert). `Confidentiality`**** `public`
1. Klicken Sie auf**Gewähren von Berechtigungen**aus.
1. Wählen Sie als **Berechtigungstyp die** Option **LF-Tag-Schlüssel-Wert-Paar-Berechtigungen** aus.
1. **Wählen Sie für **Principals** die Option Externe Konten aus.**
1. Geben Sie die **AWS-Konto Ziel-ID** ein.
AWS-Konten innerhalb derselben Organisation werden automatisch angezeigt. Andernfalls müssen Sie die AWS-Konto ID manuell eingeben.
1. Wählen Sie unter **Berechtigungen** die Option **Describe** aus.
Dies sind die Berechtigungen, die dem Verbraucherkonto erteilt wurden. Erteilbare Berechtigungen sind Berechtigungen, die das Verbraucherkonto anderen Prinzipalen gewähren kann.
1. Wählen Sie **Grant (Erteilen)**.
Zu diesem Zeitpunkt sollte der Data Lake-Administrator in der Lage sein, das Policy-Tag, das über die Lake Formation Formation-Konsole des Verbraucherkontos gemeinsam genutzt wird, unter **Berechtigungen**, **LF-Tags und** Berechtigungen zu finden.
**Erteilen Sie dem Verbraucherkonto eine Datenberechtigung**
Wir werden nun Datenzugriff auf das Verbraucherkonto gewähren, indem wir einen LF-Tag-Ausdruck angeben und dem Verbraucherkonto Zugriff auf alle Tabellen oder Datenbanken gewähren, die dem Ausdruck entsprechen..
1. **Wählen Sie im Navigationsbereich unter **Berechtigungen und Data Lake-Berechtigungen** **die Option Grant** aus.**
1. Wählen Sie für **Principals** die Option **Externe Konten** aus und geben Sie die AWS-Konto Ziel-ID ein.
1. ****Wählen Sie für **LF-Tags oder Katalogressourcen** den **Schlüssel** und die **Werte** des **LF-Tags** aus, das mit dem Kundenkonto geteilt wird (Schlüssel und Wert). `Confidentiality`**** `public`
1. **Wählen Sie für **Berechtigungen** unter **Ressourcen, denen LF-Tags zugeordnet sind (empfohlen) die Option LF-Tag hinzufügen** aus.**
1. Wählen Sie den **Schlüssel** und den **Wert** des Tags aus, das mit dem Kundenkonto geteilt wird (Schlüssel `Confidentiality` und Wert). `public`
1. Wählen Sie für **Datenbankberechtigungen** unter **Datenbankberechtigungen** die Option **Beschreiben** aus, um Zugriffsberechtigungen auf Datenbankebene zu gewähren.
1. Der Data Lake-Administrator für Verbraucher sollte das Policy-Tag, das über das Verbraucherkonto geteilt wird, in der Lake Formation Formation-Konsole unter **Berechtigungen [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)**, **Administratorrollen und Aufgaben**, **LF-Tags** finden können.
1. Wählen Sie unter **Erteilbare Berechtigungen** die Option **Beschreiben** aus, damit das Verbraucherkonto seinen Benutzern Berechtigungen auf Datenbankebene gewähren kann.
1. **Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter Tabellenberechtigungen die **Option Auswählen** und **Beschreiben** aus.**
1. **Wählen Sie unter **Erteilbare Berechtigungen** die Option Auswählen** und **Beschreiben** aus.
1. Wählen Sie **Grant (Erteilen)**.
**Widerrufen Sie die Berechtigung für `IAMAllowedPrincipals` die Datenbank, Tabellen und Spalten (optional).**
Ganz am Anfang dieses Tutorials haben Sie die Lake Formation Data Catalog-Einstellungen geändert. Wenn Sie diesen Teil übersprungen haben, ist dieser Schritt erforderlich. Wenn Sie Ihre Lake Formation Data Catalog-Einstellungen geändert haben, können Sie diesen Schritt überspringen.
In diesem Schritt müssen wir die standardmäßige **Super-Berechtigung** für die Datenbank oder Tabelle widerrufen. `IAMAllowedPrincipals` Details dazu finden Sie unter [Schritt 4: Stellen Sie Ihre Datenspeicher auf das Lake Formation Formation-Berechtigungsmodell um](upgrade-glue-lake-formation.md#upgrade-glue-lake-formation-step4).
Bevor Sie die Genehmigung für widerrufen`IAMAllowedPrincipals`, stellen Sie sicher, dass Sie bestehenden IAM-Prinzipalen die erforderliche Genehmigung über Lake Formation erteilt haben. Dies umfasst drei Schritte:
1. Fügen Sie dem IAM-Zielbenutzer oder der Zielrolle mit der `GetDataAccess` Aktion Lake Formation (mit IAM-Richtlinie) eine IAM-Berechtigung hinzu.
1. Erteilen Sie dem Ziel-IAM-Benutzer oder der Zielrolle Lake Formation Formation-Datenberechtigungen (ändern, auswählen usw.).
1. Widerrufen Sie anschließend die Berechtigungen für`IAMAllowedPrincipals`. Andernfalls können bestehende IAM-Prinzipale nach dem Widerruf der Berechtigungen für `IAMAllowedPrincipals` möglicherweise nicht mehr auf die Zieldatenbank oder den Datenkatalog zugreifen.
Der Widerruf der **Super-Berechtigung** für `IAMAllowedPrincipals` ist erforderlich, wenn Sie das Lake Formation Formation-Berechtigungsmodell (anstelle des IAM-Richtlinienmodells) anwenden möchten, um den Benutzerzugriff innerhalb eines einzelnen Kontos oder zwischen mehreren Konten mithilfe des Lake Formation Formation-Berechtigungsmodells zu verwalten. Sie müssen die Erlaubnis `IAMAllowedPrincipals` für andere Tabellen nicht widerrufen, für die Sie das traditionelle IAM-Richtlinienmodell beibehalten möchten.
Zu diesem Zeitpunkt sollte der Data Lake-Administrator des Verbraucherkontos in der Lage sein, die Datenbank und die Tabelle, die über das Verbraucherkonto gemeinsam genutzt werden [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), in der Lake Formation Formation-Konsole unter **Data Catalog unter Datenbanken** zu finden. Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:
1. Den Zieldatenbanken und -tabellen werden das richtige Policy-Tag und die richtigen Werte zugewiesen.
1. Dem Verbraucherkonto werden die richtigen Tagberechtigungen und Datenberechtigungen zugewiesen.
1. Widerrufen Sie die Standard-Superberechtigung für die Datenbank oder Tabelle. `IAMAllowedPrincipals`
**Erstellen Sie einen Ressourcenlink zu der gemeinsam genutzten Tabelle**
Wenn eine Ressource von mehreren Konten gemeinsam genutzt wird und die gemeinsam genutzten Ressourcen nicht in den Datenkatalog der Verbraucherkonten aufgenommen werden. Um sie verfügbar zu machen und die zugrunde liegenden Daten einer gemeinsam genutzten Tabelle mithilfe von Diensten wie Athena abzufragen, müssen wir einen Ressourcenlink zu der gemeinsam genutzten Tabelle erstellen. Ein Ressourcenlink ist ein Datenkatalog-Objekt, bei dem es sich um einen Link zu einer lokalen oder gemeinsam genutzten Datenbank oder Tabelle handelt. Details hierzu finden Sie unter [Ressourcenlinks erstellen](creating-resource-links.md). Durch das Erstellen einer Ressourcenverknüpfung können Sie:
+ Weisen Sie einer Datenbank oder Tabelle einen anderen Namen zu, der Ihren Richtlinien zur Benennung von Ressourcen im Datenkatalog entspricht.
+ Verwenden Sie Dienste wie Athena und Redshift Spectrum, um gemeinsam genutzte Datenbanken oder Tabellen abzufragen.
Gehen Sie wie folgt vor, um einen Ressourcenlink zu erstellen:
1. Wenn Sie in Ihrem Kundenkonto angemeldet sind, melden Sie sich ab.
1. Melden Sie sich als Data Lake-Administrator für das Verbraucherkonto an. Verwenden Sie die Benutzerkonto-ID, den IAM-Benutzernamen (Standard DatalakeAdminConsumer) und das Passwort, die Sie bei der CloudFormation Stack-Erstellung angegeben haben.
1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) im Navigationsbereich unter **Datenkatalog, Datenbanken** die gemeinsam genutzte Datenbank aus`lakeformation_tutorial_cross_account_database_tbac`.
Wenn Sie die Datenbank nicht sehen, wiederholen Sie die vorherigen Schritte, um zu überprüfen, ob alles richtig konfiguriert ist.
1. Wählen Sie „**Tabellen anzeigen**“.
1. Wählen Sie die gemeinsam genutzte Tabelle aus`amazon_reviews_table_tbac`.
1. Wählen Sie im Menü **Aktionen** die Option **Ressourcenlink erstellen** aus.
1. Geben Sie **unter Name des Ressourcenlinks** einen Namen ein (für dieses Tutorial,`amazon_reviews_table_tbac_resource_link`).
1. Wählen Sie unter **Datenbank** die Datenbank aus, in der der Ressourcenlink erstellt wurde (für diesen Beitrag hat der CloudFormation n-Stack die Datenbank erstellt`lakeformation_tutorial_cross_account_database_consumer`).
1. Wählen Sie **Erstellen** aus.
Der Ressourcenlink wird unter **Datenkatalog**, **Tabellen** angezeigt.
**Erstellen Sie ein LF-Tag und weisen Sie es der Zieldatenbank zu**
Lake Formation-Tags befinden sich im selben Datenkatalog wie die Ressourcen. Das bedeutet, dass im Produzentenkonto erstellte Tags nicht verwendet werden können, wenn Zugriff auf die Ressourcenlinks im Verbraucherkonto gewährt wird. Sie müssen einen separaten Satz von LF-Tags im Verbraucherkonto erstellen, um die auf LF-Tags basierende Zugriffskontrolle bei der gemeinsamen Nutzung der Ressourcenlinks im Verbraucherkonto verwenden zu können.
1. Definieren Sie das LF-Tag im Verbraucherkonto. Für dieses Tutorial verwenden wir Schlüssel `Division` und Werte `sales``marketing`, und. `analyst`
1. Weisen Sie der Datenbank, in der der Ressourcenlink erstellt wird`lakeformation_tutorial_cross_account_database_consumer`, `analyst` den LF-Tag-Schlüssel `Division` und den Wert zu.
**Erteilen Sie dem Verbraucher die Erlaubnis für LF-Tag-Daten**
Erteilen Sie dem Verbraucher als letzten Schritt die Genehmigung für LF-Tag-Daten.
1. **Wählen Sie im Navigationsbereich unter **Berechtigungen, Data Lake-Berechtigungen** **die Option Grant** aus.**
1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** dann den Benutzer aus. `DataAnalyst`
1. Wählen Sie für **LF-Tags oder Katalogressourcen die Option Ressourcen, denen** **LF-Tags zugeordnet sind** (empfohlen) aus.
1. **Wählen Sie „**Key** Division“ und „Value Analyst“.**
1. Wählen Sie für **Datenbankberechtigungen** unter **Datenbankberechtigungen** **die** Option Describe aus.
1. Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter **Tabellenberechtigungen** die **Option Auswählen** und **Beschreiben** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Wiederholen Sie diese Schritte für den Benutzer`DataAnalyst`, wobei sich der LF-Tag-Schlüssel `Confidentiality` und der Wert befinden. `public`
Zu diesem Zeitpunkt sollte der Data Analyst-Benutzer im Kundenkonto in der Lage sein, die Datenbank und den Ressourcenlink zu finden und die gemeinsam genutzte Tabelle über die Athena-Konsole unter [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)abzufragen. Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:
+ Der Ressourcenlink wird für die gemeinsam genutzte Tabelle erstellt
+ Sie haben dem Benutzer Zugriff auf das vom Producer-Konto gemeinsam genutzte LF-Tag gewährt
+ Sie haben dem Benutzer Zugriff auf das LF-Tag gewährt, das dem Ressourcenlink und der Datenbank zugeordnet ist, in der der Ressourcenlink erstellt wurde
+ Überprüfen Sie, ob Sie dem Ressourcenlink und der Datenbank, in der der Ressourcenlink erstellt wurde, das richtige LF-Tag zugewiesen haben
## Schritt 4: Implementieren Sie die benannte Ressourcenmethode
Um die Methode „Named Resource“ zu verwenden, führen wir Sie durch die folgenden allgemeinen Schritte:
1. Widerrufen Sie optional die Zugriffsrechte für `IAMAllowedPrincipals` die Datenbank, Tabellen und Spalten.
1. Erteilen Sie dem Kundenkonto die Datenberechtigung.
1. Akzeptieren Sie eine gemeinsame Nutzung einer Ressource von AWS Resource Access Manager.
1. Erstellen Sie einen Ressourcenlink für die gemeinsam genutzte Tabelle.
1. Erteilen Sie dem Verbraucher die Datenberechtigung für die gemeinsam genutzte Tabelle.
1. Erteilen Sie dem Verbraucher die Datenberechtigung für den Ressourcenlink.
**Widerrufen Sie `IAMAllowedPrincipals` die Berechtigung für die Datenbank, Tabellen und Spalten (optional)**
+ Ganz am Anfang dieses Tutorials haben wir die Einstellungen für den Lake Formation Data Catalog geändert. Wenn Sie diesen Teil übersprungen haben, ist dieser Schritt erforderlich. Anweisungen finden Sie im optionalen Schritt im vorherigen Abschnitt.
**Erteilen Sie dem Kundenkonto die Datenberechtigung**
1.
**Anmerkung**
Wenn Sie als anderer Benutzer beim Produzentenkonto angemeldet sind, melden Sie sich zuerst ab.
Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Data Lake-Administrator des Producer-Kontos bei der Lake Formation Formation-Konsole an. Verwenden Sie AWS-Konto dabei die ID, den IAM-Benutzernamen (Standard ist`DatalakeAdminProducer`) und das Passwort, die bei der CloudFormation Stack-Erstellung angegeben wurden.
1. Wählen Sie auf der Seite **Berechtigungen** unter **Data Lake-Berechtigungen** die Option **Grant** aus.
1. Wählen Sie unter **Principals** die Option **Externe Konten** aus und geben Sie eine AWS-Konto IDs oder mehrere AWS Organisationen IDs ein. Weitere Informationen finden Sie unter: [AWS Organizations](https://aws.amazon.com/organizations/).
Organizations, zu denen das Produzentenkonto gehört und zu AWS-Konten derselben Organisation gehört, werden automatisch angezeigt. Andernfalls geben Sie die Konto- oder Organisations-ID manuell ein.
1. Wählen Sie für **LF-Tags oder Katalogressourcen**. `Named data catalog resources`
1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_named_resource`
1. Wählen Sie **LF-Tag hinzufügen**.
1. Wählen Sie unter **Tabellen** die Option **Alle** Tabellen aus.
1. Wählen Sie für **Tabellenspaltenberechtigungen** die **Option Auswählen** und unter **Tabellenberechtigungen** die Option **Beschreiben** aus.
1. **Wählen Sie unter **Erteilbare Berechtigungen** die Option Auswählen** und **beschreiben** aus.
1. Wählen Sie optional für **Datenberechtigungen** die Option **Einfacher spaltenbasierter Zugriff** aus, wenn eine Berechtigungsverwaltung auf Spaltenebene erforderlich ist.
1. Wählen Sie **Grant (Erteilen)**.
**Wenn Sie die Berechtigung für nicht widerrufen haben`IAMAllowedPrincipals`, wird die Fehlermeldung „Berechtigungen nicht erteilt“ angezeigt.** Zu diesem Zeitpunkt sollten Sie unter **Berechtigungen, Datenberechtigungen die Zieltabelle sehen, AWS RAM ** über die für das Verbraucherkonto freigegeben wurde.
**Akzeptieren Sie eine gemeinsame Nutzung einer Ressource von AWS RAM**
**Anmerkung**
Dieser Schritt ist nur für die gemeinsame Nutzung AWS-Konto auf der Grundlage von Organisationen erforderlich, nicht für die gemeinsame Nutzung innerhalb einer Organisation.
1. Melden Sie sich mit dem Data Lake-Administrator des Verbraucherkontos [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)mit dem IAM-Benutzernamen (Standard ist DatalakeAdminConsumer) und dem Passwort, das Sie bei der Stack-Erstellung angegeben haben, bei der AWS CloudFormation Konsole an.
1. Wählen Sie auf der AWS RAM Konsole im Navigationsbereich unter **Für mich freigegeben, Ressourcenfreigaben** die gemeinsam genutzte Lake Formation Formation-Ressource aus. Der **Status sollte „****Ausstehend“ lauten**.
1. Wählen Sie **Aktion** und **Grant** aus.
1. Bestätigen Sie die Ressourcendetails und wählen Sie „**Ressourcenfreigabe akzeptieren**“.
Zu diesem Zeitpunkt sollte der Data Lake-Administrator des Benutzerkontos in der Lage sein, die gemeinsam genutzte Ressource in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Datenkatalog**, **Datenbanken** zu finden.
**Erstellen Sie einen Ressourcenlink für die gemeinsam genutzte Tabelle**
+ Folgen Sie den Anweisungen in [Schritt 3: Implementieren Sie die kontenübergreifende gemeinsame Nutzung mithilfe der tagbasierten Zugriffskontrollmethode](#tut-share-tbac-method) (Schritt 6), um einen Ressourcenlink für eine gemeinsam genutzte Tabelle zu erstellen. Benennen Sie den Ressourcenlink`amazon_reviews_table_named_resource_resource_link`. Erstellen Sie den Ressourcenlink in der Datenbank`lakeformation_tutorial_cross_account_database_consumer`.
**Erteilen Sie dem Benutzer die Datenberechtigung für die gemeinsam genutzte Tabelle**
Gehen Sie wie folgt vor, um dem Verbraucher die Datenberechtigung für die gemeinsam genutzte Tabelle zu erteilen:
1. **Wählen Sie auf der Lake Formationconsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Berechtigungen und Data Lake-Berechtigungen** **die Option Grant** aus.**
1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und dann** den Benutzer aus. `DataAnalyst`
1. Wählen Sie für **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_named_resource` Wenn Sie die Datenbank nicht in der Dropdownliste sehen, wählen Sie **Mehr laden** aus.
1. Wählen Sie unter **Tabellen** die Tabelle aus`amazon_reviews_table_named_resource`.
1. Wählen Sie für **Tabellen- und Spaltenberechtigungen** unter **Tabellenberechtigungen** die **Option Auswählen** und **Beschreiben** aus.
1. Wählen Sie **Grant (Erteilen)**.
**Erteilen Sie dem Verbraucher die Datenberechtigung für den Ressourcenlink**
Sie müssen dem Data Lake-Benutzer nicht nur die Berechtigung für den Zugriff auf die gemeinsam genutzte Tabelle gewähren, sondern auch dem Data Lake-Benutzer die Berechtigung für den Zugriff auf den Ressourcenlink erteilen.
1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) unter **Berechtigungen**, **Data Lake-Berechtigungen** die Option **Grant** aus.
1. Wählen Sie für **Principals** die Option **IAM-Benutzer und -Rollen und** dann den Benutzer aus. `DataAnalyst`
1. Wählen Sie für **LF-Tags oder Katalogressourcen** die Option **Benannte** Datenkatalogressourcen aus.
1. Wählen Sie unter **Datenbanken die Datenbank** aus. `lakeformation_tutorial_cross_account_database_consumer` Wenn Sie die Datenbank nicht in der Dropdownliste sehen, wählen Sie **Mehr laden** aus.
1. Wählen Sie unter **Tabellen** die Tabelle aus`amazon_reviews_table_named_resource_resource_link`.
1. Wählen Sie für **Berechtigungen für Ressourcenlinks** die Option **Beschreiben** unter **Berechtigungen für Ressourcenlinks** aus.
1. Wählen Sie **Grant (Erteilen)**.
Zu diesem Zeitpunkt sollte der Data Analyst-Benutzer im Verbraucherkonto in der Lage sein, die Datenbank und den Ressourcenlink zu finden und die gemeinsam genutzte Tabelle über die Athena-Konsole abzufragen.
Falls nicht, überprüfen Sie, ob die folgenden Komponenten ordnungsgemäß konfiguriert sind:
+ Der Ressourcenlink wird für die gemeinsam genutzte Tabelle erstellt
+ Sie haben dem Benutzer Zugriff auf die vom Producer-Konto gemeinsam genutzte Tabelle gewährt
+ Sie haben dem Benutzer Zugriff auf den Ressourcenlink und die Datenbank gewährt, für die der Ressourcenlink erstellt wurde
## Schritt 5: AWS Ressourcen bereinigen
Um zu verhindern, dass Ihnen unerwünschte Kosten entstehen AWS-Konto, können Sie die AWS Ressourcen löschen, die Sie für dieses Tutorial verwendet haben.
1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Produzentenkonto bei der Lake Formation Formation-Konsole an und löschen oder ändern Sie Folgendes:
+ AWS Resource Access Manager gemeinsame Nutzung von Ressourcen
+ Lake Formation Stichworte
+ CloudFormation stapeln
+ Lake Formation Formation-Einstellungen
+ AWS Glue Data Catalog
1. Melden Sie sich [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)mit dem Kundenkonto bei der Lake Formation Formation-Konsole an und löschen oder ändern Sie Folgendes:
+ Lake Formation Stichworte
+ CloudFormation stapeln
# Gemeinsame Nutzung eines Data Lakes mithilfe der feinkörnigen Zugriffskontrolle von Lake Formation
Dieses Tutorial enthält step-by-step Anweisungen, wie Sie mithilfe von Lake Formation schnell und einfach Datensätze gemeinsam nutzen können, wenn Sie mehrere AWS-Konten mit AWS Organizations verwalten. Sie definieren detaillierte Berechtigungen, um den Zugriff auf sensible Daten zu kontrollieren.
Die folgenden Verfahren zeigen auch, wie ein Data Lake-Administrator von Konto A differenzierten Zugriff für Konto B bereitstellen kann und wie ein Benutzer in Konto B, der als Data Steward fungiert, anderen Benutzern in seinem Konto differenzierten Zugriff auf die gemeinsam genutzte Tabelle gewähren kann. Data Stewards in jedem Konto können den Zugriff unabhängig voneinander an ihre eigenen Benutzer delegieren, sodass jedes Team oder jeder Geschäftsbereich (LOB) Autonomie erhält.
Der Anwendungsfall geht davon aus, dass Sie Ihre verwenden, um Ihre AWS Organizations zu verwalten. AWS-Konten Der Benutzer von Konto A in einer Organisationseinheit (OU1) gewährt Benutzern von Konto B in Zugriff OU2. Sie können denselben Ansatz verwenden, wenn Sie Organizations nicht verwenden, z. B. wenn Sie nur wenige Konten haben. Das folgende Diagramm veranschaulicht die detaillierte Zugriffskontrolle von Datensätzen in einem Data Lake. Der Data Lake ist in Konto A verfügbar. Der Data Lake-Administrator von Konto A bietet detaillierten Zugriff auf Konto B. Das Diagramm zeigt auch, dass ein Benutzer von Konto B einem anderen Benutzer in Konto B Zugriff auf die Data-Lake-Tabelle von Konto A auf Spaltenebene gewährt.
![\[AWS Organization structure with two OUs, showing data lake access and user permissions across accounts.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/tutorial-fine-grained-access1.jpg)
**Topics**
+ [Zielgruppe](#tut-share-fine-grained-roles)
+ [Voraussetzungen](#tut-share-fine-grained-prereqs)
+ [Schritt 1: Stellen Sie einen detaillierten Zugriff auf ein anderes Konto bereit](#tut-fgac-another-account)
+ [Schritt 2: Bieten Sie einem Benutzer im selben Konto differenzierten Zugriff](#tut-fgac-same-account)
## Zielgruppe
Dieses Tutorial richtet sich an Datenverwalter, Dateningenieure und Datenanalysten. In der folgenden Tabelle sind die Rollen aufgeführt, die in diesem Tutorial verwendet werden:
| Rolle | Beschreibung |
| --- | --- |
| IAM-Administrator | Benutzer, der über die AWS verwaltete Richtlinie verfügt:AdministratorAccess. |
| Data Lake-Administrator | Benutzer, dem die Rolle „ AWS Verwaltete Richtlinie:“ `AWSLakeFormationDataAdmin` zugewiesen ist. |
| Datenanalyst | Benutzer, dem die AWS verwaltete Richtlinie: AmazonAthenaFullAccess angehängt ist. |
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen, benötigen Sie eine AWS-Konto , mit der Sie sich als Administratorbenutzer mit den richtigen Berechtigungen anmelden können. Weitere Informationen finden Sie unter [Erledigen Sie die Aufgaben zur AWS Erstkonfiguration](getting-started-setup.md#initial-aws-signup).
In der Anleitung wird davon ausgegangen, dass Sie mit IAM vertraut sind. Informationen zu IAM finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
**Für dieses Tutorial benötigen Sie die folgenden Ressourcen:**
+ Zwei Organisationseinheiten:
+ OU1 — Enthält Konto A
+ OU2 — Enthält Konto B
+ Ein Amazon S3 S3-Data-Lake-Standort (Bucket) in Konto A.
+ Ein Data Lake-Administratorbenutzer in Konto A. Sie können einen Data Lake-Administrator mithilfe der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) oder mithilfe der `PutDataLakeSettings` Lake Formation Formation-API erstellen.
+ Lake Formation ist in Konto A konfiguriert, und der Amazon S3 S3-Data-Lake-Standort, der bei Lake Formation in Konto A registriert ist.
+ Zwei Benutzer in Konto B mit den folgenden IAM-verwalteten Richtlinien:
+ testuser1 — hat die AWS verwalteten Richtlinien angehängt. `AWSLakeFormationDataAdmin`
+ testuser2 — Die verwaltete Richtlinie ist AWS angehängt. `AmazonAthenaFullAccess`
+ Eine Datenbank-Testdb in der Lake Formation Formation-Datenbank für Account B.
## Schritt 1: Stellen Sie einen detaillierten Zugriff auf ein anderes Konto bereit
Erfahren Sie, wie ein Data Lake-Administrator von Konto A differenzierten Zugriff für Konto B bereitstellt.
**Gewähren Sie einem anderen Konto differenzierten Zugriff**
1. Melden Sie sich AWS-Managementkonsole [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)bei Konto A als Data Lake-Administrator an.
1. Öffnen Sie die Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) und wählen Sie **Get started**.
1. wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie **Create database (Datenbank erstellen)** aus.
1. Wählen Sie im Abschnitt **Datenbankdetails** die Option **Datenbank** aus.
1. Geben Sie unter **Name** einen Namen ein (für dieses Tutorial verwenden wir`sampledb01`).
1. Stellen Sie sicher, dass die Option **Nur IAM-Zugriffskontrolle für neue Tabellen in dieser Datenbank verwenden** nicht ausgewählt ist. Wenn diese Option nicht ausgewählt ist, können wir den Zugriff von Lake Formation aus kontrollieren.
1. Wählen Sie **Datenbank erstellen** aus.
1. Wählen Sie auf der Seite **Datenbanken** Ihre Datenbank `sampledb01` aus.
1. Wählen Sie im Menü **Aktionen** die Option **Grant** aus.
1. Wählen Sie im Abschnitt **Berechtigungen gewähren** die Option **Externes Konto** aus.
1. Geben Sie für AWS-Konto ID oder AWS Organisations-ID die Konto-ID für Konto B unter ein OU2.
1. Wählen Sie für **Tabelle** die Tabelle aus, auf die Konto B Zugriff haben soll (für diesen Beitrag verwenden wir Tabelle`acc_a_area`). Optional können Sie Zugriff auf Spalten in der Tabelle gewähren, was wir in diesem Beitrag tun.
1. Wählen Sie **unter Spalten einbeziehen** die Spalten aus, auf die Konto B Zugriff haben soll (für diesen Beitrag gewähren wir Berechtigungen für Typ, Namen und Identifikatoren).
1. Wählen Sie für **Spalten** die Option **Spalten einbeziehen** aus.
1. Wählen Sie für **Tabellenberechtigungen** die Option **Auswählen aus**.
1. Wählen Sie **für Erteilbare Berechtigungen** die Option **Auswählen** aus. Erteilbare Berechtigungen sind erforderlich, damit Administratorbenutzer in Konto B anderen Benutzern in Konto B Berechtigungen gewähren können.
1. Wählen Sie **Grant (Erteilen)**.
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.
1. Im Abschnitt AWS-Konten und AWS Organisationen mit Zugriff wurde möglicherweise eine aktive Verbindung angezeigt.
**Erstellen Sie einen Ressourcenlink**
Integrierte Dienste wie Amazon Athena können nicht direkt kontenübergreifend auf Datenbanken oder Tabellen zugreifen. Daher müssen Sie einen Ressourcenlink erstellen, damit Athena auf Ressourcenlinks in Ihrem Konto zu Datenbanken und Tabellen in anderen Konten zugreifen kann. Erstellen Sie einen Ressourcenlink zur Tabelle (`acc_a_area`), damit Benutzer von Account B ihre Daten mit Athena abfragen können.
1. Melden Sie sich in der AWS Konsole unter [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)in Konto B an als`testuser1`.
1. Wählen Sie in der Lake Formation Formation-Konsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) im Navigationsbereich die Option **Tabellen** aus. Sie sollten die Tabellen sehen, auf die Konto A Zugriff gewährt hat.
1. Wählen Sie die `acc_a_area` Tabelle aus.
1. Wählen Sie im Menü **Aktionen** die Option **Ressourcenlink erstellen** aus.
1. Geben Sie **unter Name des Ressourcenlinks** einen Namen ein (für dieses Tutorial,`acc_a_area_rl`).
1. Wählen Sie für **Datenbank** Ihre Datenbank (`testdb`) aus.
1. Wählen Sie **Create (Erstellen)** aus.
1. Wählen Sie im Navigationsbereich **Tables** (Tabellen) aus.
1. Wählen Sie die `acc_b_area_rl` Tabelle aus.
1. Wählen Sie im Menü **Aktionen** die Option **Daten anzeigen** aus.
Sie werden zur Athena-Konsole weitergeleitet, wo Sie die Datenbank und die Tabelle sehen sollten.
Sie können jetzt eine Abfrage in der Tabelle ausführen, um den Spaltenwert zu ermitteln, auf den testuser1 von Konto B aus Zugriff gewährt wurde.
## Schritt 2: Bieten Sie einem Benutzer im selben Konto differenzierten Zugriff
In diesem Abschnitt wird gezeigt, wie ein Benutzer in Konto B (`testuser1`), der als Datenverwalter fungiert, einem anderen Benutzer desselben Kontos (`testuser2`) differenzierten Zugriff auf den Spaltennamen in der gemeinsam genutzten Tabelle gewährt. `aac_b_area_rl`
**Gewähren Sie einem Benutzer im selben Konto differenzierten Zugriff**
1. Melden Sie sich bei der AWS Konsole unter Konto B [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)an als. `testuser1`
1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich die Option **Tabellen** aus.
Sie können über den zugehörigen Ressourcenlink Berechtigungen für eine Tabelle gewähren. Wählen Sie dazu auf der Seite **Tabellen** den Ressourcenlink `acc_b_area_rl` und dann im Menü **Aktionen** die Option **Auf Ziel gewähren** aus.
1. Wählen Sie im Abschnitt **Berechtigungen gewähren** die Option **Mein Konto** aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen** den Benutzer `testuser2` aus.
1. Wählen Sie für **Spalte** den Spaltennamen aus.
1. Wählen Sie für **Tabellenberechtigungen** die Option **Auswählen aus**.
1. Wählen Sie **Grant (Erteilen)**.
Wenn Sie einen Ressourcenlink erstellen, können nur Sie ihn anzeigen und darauf zugreifen. Um anderen Benutzern in Ihrem Konto den Zugriff auf den Ressourcenlink zu ermöglichen, müssen Sie Berechtigungen für den Ressourcenlink selbst erteilen. Sie müssen **DESCRIBE** - oder **DROP-Berechtigungen** erteilen. Wählen Sie auf der **Seite Tabellen** erneut Ihre Tabelle aus und klicken Sie im Menü **Aktionen** auf **Grant**.
1. Wählen Sie im Abschnitt **Berechtigungen gewähren** die Option **Mein Konto** aus.
1. Wählen Sie für **IAM-Benutzer und -Rollen** den Benutzer `testuser2` aus.
1. Wählen Sie für **Resource Link Permissions** die Option **Describe** aus.
1. Wählen Sie **Grant (Erteilen)**.
1. Melden Sie sich in der AWS Konsole mit Konto B als an`testuser2`.
Auf der Athena-Konsole ([https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)) sollten Sie die Datenbank und die Tabelle `acc_b_area_rl` sehen. Sie können jetzt eine Abfrage in der Tabelle ausführen, um den Spaltenwert zu sehen, auf den Sie Zugriff `testuser2` haben.