Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten AWS Lake Formation
<a name="initial-lf-config"></a>

 In den folgenden Abschnitten finden Sie Informationen zur erstmaligen Einrichtung von Lake Formation. Nicht alle Themen in diesem Abschnitt sind erforderlich, um Lake Formation nutzen zu können. Sie können die Anweisungen verwenden, um das Lake Formation Formation-Berechtigungsmodell einzurichten, um Ihre vorhandenen AWS Glue Data Catalog Objekte und Datenspeicherorte in Amazon Simple Storage Service (Amazon S3) zu verwalten.

1. [Erstellen Sie einen Data Lake-Administrator](#create-data-lake-admin)

1. [Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus](#setup-change-cat-settings)

1. [Konfigurieren Sie einen Amazon S3 S3-Standort für Ihren Data Lake](#register-s3-location)

1. [Benutzern von Lake Formation Berechtigungen zuweisen](#permissions-lf-principal)

1. [Integration von IAM Identity Center](identity-center-integration.md)

1. [(Optional) Einstellungen für die externe Datenfilterung](#external-data-filter)

1. [(Optional) Gewähren Sie Zugriff auf den Datenkatalog-Verschlüsselungsschlüssel](#setup-encrypted-catalog)

1. [(Optional) Erstellen Sie eine IAM-Rolle für Workflows](#iam-create-blueprint-role)

In diesem Abschnitt erfahren Sie, wie Sie Lake Formation Formation-Ressourcen auf zwei verschiedene Arten einrichten:
+ Verwenden einer AWS CloudFormation Vorlage
+ Verwenden der Lake Formation Formation-Konsole

Um Lake Formation mit der AWS Konsole einzurichten, gehen Sie zu[Erstellen Sie einen Data Lake-Administrator](#create-data-lake-admin).

## Lake Formation Formation-Ressourcen mithilfe einer CloudFormation Vorlage einrichten
<a name="lf-setup-cfn"></a>
**Anmerkung**  
Der CloudFormation Stack führt die Schritte 1 bis 6 der oben genannten Schritte aus, mit Ausnahme der Schritte 2 und 5. Führen Sie [Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus](#setup-change-cat-settings) es [Integration von IAM Identity Center](identity-center-integration.md) manuell von der Lake Formation Formation-Konsole aus.

1. Melden Sie sich bei der AWS CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) als IAM-Administrator in der Region USA Ost (Nord-Virginia) an.

1. [Wählen Sie Launch Stack.](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://lf-public.s3.amazonaws.com/cfn/SettingUpLf.yaml)

1. Wählen Sie auf dem Bildschirm „**Stack erstellen**“ die Option „**Weiter**“.

1. Geben Sie einen **Stack-Namen ein.**

1. Geben Sie für **DatalakeAdminName**und **DatalakeAdminPassword**Ihren Benutzernamen und Ihr Passwort für den Data Lake-Admin-Benutzer ein.

1. Geben Sie für **DatalakeUser1Name** und **DatalakeUser1Password** Ihren Benutzernamen und Ihr Passwort für den Data Lake Analyst-Benutzer ein.

1. Geben Sie für **DataLakeBucketName**Ihren neuen Bucket-Namen ein, der erstellt werden soll.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie `I acknowledge that CloudFormation might create IAM resources with custom names` auf der nächsten Seite **Weiter** aus.

1. Überprüfen Sie die Details auf der letzten Seite und wählen Sie **Ich bestätige, dass AWS CloudFormation möglicherweise IAM-Ressourcen erstellt** werden.

1. Wählen Sie **Erstellen** aus.

   Die Erstellung des Stacks kann bis zu zwei Minuten dauern.

**Bereinigen von Ressourcen**

Wenn Sie die CloudFormation Stack-Ressourcen bereinigen möchten:

1. Deregistrieren Sie den Amazon S3 S3-Bucket, den Ihr Stack erstellt und als Data Lake-Standort registriert hat.

1. Löschen Sie den CloudFormation Stack. Dadurch werden alle vom Stack erstellten Ressourcen gelöscht.

## Erstellen Sie einen Data Lake-Administrator
<a name="create-data-lake-admin"></a>

Data Lake-Administratoren sind zunächst die einzigen AWS Identity and Access Management (IAM-) Benutzer oder Rollen, die Lake Formation Formation-Berechtigungen für Datenspeicherorte und Datenkatalogressourcen jedem Prinzipal (einschließlich sich selbst) gewähren können. Weitere Informationen zu den Funktionen von Data Lake-Administratoren finden Sie unter[Implizite Lake Formation Formation-Berechtigungen](implicit-permissions.md). Standardmäßig können Sie mit Lake Formation bis zu 30 Data Lake-Administratoren einrichten.

Sie können einen Data Lake-Administrator mithilfe der Lake Formation Formation-Konsole oder mithilfe der `PutDataLakeSettings` Lake Formation Formation-API erstellen.

Die folgenden Berechtigungen sind erforderlich, um einen Data Lake-Administrator zu erstellen. Der `Administrator` Benutzer verfügt implizit über diese Berechtigungen.
+ `lakeformation:PutDataLakeSettings`
+ `lakeformation:GetDataLakeSettings`

Wenn Sie einem Benutzer die `AWSLakeFormationDataAdmin` Richtlinie gewähren, kann dieser Benutzer keine weiteren Lake Formation-Administratorbenutzer erstellen.

**Um einen Data Lake-Administrator (Konsole) zu erstellen**

1. Wenn der Benutzer, der Data Lake-Administrator werden soll, noch nicht existiert, verwenden Sie die IAM-Konsole, um ihn zu erstellen. Wählen Sie andernfalls einen vorhandenen Benutzer aus, der der Data Lake-Administrator werden soll.
**Anmerkung**  
Es wird empfohlen, keinen IAM-Administratorbenutzer (Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie) als Data Lake-Administrator auszuwählen.

   Ordnen Sie dem Benutzer die folgenden AWS verwalteten Richtlinien zu:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/initial-lf-config.html)

1. Fügen Sie die folgende Inline-Richtlinie an, die dem Data Lake-Administrator die Berechtigung erteilt, die mit dem Service verknüpfte Lake Formation Formation-Rolle zu erstellen. Ein empfohlener Name für die Richtlinie lautet`LakeFormationSLR`.

   Die serviceverknüpfte Rolle ermöglicht es dem Data Lake-Administrator, Amazon S3 S3-Standorte einfacher bei Lake Formation zu registrieren. Weitere Informationen zur dienstbezogenen Rolle Lake Formation finden Sie unter[Verwenden von serviceverknüpften Rollen für Lake Formation](service-linked-roles.md).
**Wichtig**  
Ersetzen Sie den Text in allen folgenden Richtlinien *<account-id>* durch eine gültige AWS Kontonummer.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:CreateServiceLinkedRole",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "iam:AWSServiceName": "lakeformation.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:PutRolePolicy"
               ],
               "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
           }
       ]
   }
   ```

1. (Optional) Fügen Sie dem Benutzer die folgende `PassRole` Inline-Richtlinie hinzu. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, Workflows zu erstellen und auszuführen. Die `iam:PassRole` Berechtigung ermöglicht es dem Workflow, die Rolle `LakeFormationWorkflowRole` zum Erstellen von Crawlern und Jobs zu übernehmen und die Rolle den erstellten Crawlern und Jobs zuzuweisen. Ein empfohlener Name für die Richtlinie lautet. `UserPassRole`
**Wichtig**  
*<account-id>*Durch eine gültige AWS Kontonummer ersetzen.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PassRolePermissions",
               "Effect": "Allow",
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

1. (Optional) Fügen Sie diese zusätzliche Inline-Richtlinie bei, wenn Ihr Konto kontoübergreifende Lake Formation Formation-Berechtigungen gewährt oder erhält. Diese Richtlinie ermöglicht es dem Data Lake-Administrator, Einladungen zur gemeinsamen Nutzung von Ressourcen anzuzeigen und anzunehmen AWS Resource Access Manager (AWS RAM). Außerdem beinhaltet die Richtlinie für Data Lake-Administratoren im AWS Organizations Verwaltungskonto die Erlaubnis, Organisationen kontenübergreifende Zuschüsse zu gewähren. Weitere Informationen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](cross-account-permissions.md).

    Ein empfohlener Name für die Richtlinie lautet`RAMAccess`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ram:AcceptResourceShareInvitation",
                   "ram:RejectResourceShareInvitation",
                   "ec2:DescribeAvailabilityZones",
                   "ram:EnableSharingWithAwsOrganization"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Öffnen Sie die AWS Lake Formation Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)und melden Sie sich als Administratorbenutzer an, den Sie in der benutzerverwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als `AdministratorAccess` Benutzer mit AWS benutzerverwalteter Richtlinie.

1. Wenn das Fenster **Welcome to Lake Formation** angezeigt wird, wählen Sie den IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und klicken Sie dann auf **Get started**.

1. Wenn das Fenster **Willkommen bei Lake Formation** nicht angezeigt wird, führen Sie die folgenden Schritte aus, um einen Lake Formation-Administrator zu konfigurieren.

   1. Wählen Sie im Navigationsbereich unter **Administration** die Option **Administrative Rollen und Aufgaben** aus. Wählen Sie auf der Konsolenseite im Abschnitt **Data Lake-Administratoren** die Option **Hinzufügen** aus. 

   1. Wählen **Sie im Dialogfeld Administratoren hinzufügen** unter Zugriffstyp die Option **Data Lake-Administrator** aus. 

   1. **Wählen Sie für **IAM-Benutzer und -Rollen** den IAM-Benutzer aus, den Sie in Schritt 1 erstellt oder ausgewählt haben, und klicken Sie dann auf Speichern.**

## Ändern Sie das Standardberechtigungsmodell oder verwenden Sie den hybriden Zugriffsmodus
<a name="setup-change-cat-settings"></a>

Lake Formation beginnt damit, dass die Einstellungen „Nur IAM-Zugriffskontrolle verwenden“ aktiviert sind, um die Kompatibilität mit dem vorhandenen AWS Glue Data Catalog Verhalten zu gewährleisten. Mit diesen Einstellungen können Sie den Zugriff auf Ihre Daten im Data Lake und dessen Metadaten über IAM-Richtlinien und Amazon S3 S3-Bucket-Richtlinien verwalten. 

Um den Übergang von Data Lake-Berechtigungen von einem IAM- und Amazon S3 S3-Modell zu Lake Formation Formation-Berechtigungen zu vereinfachen, empfehlen wir Ihnen, den hybriden Zugriffsmodus für Data Catalog zu verwenden. Mit dem Hybridzugriffsmodus haben Sie einen inkrementellen Pfad, über den Sie Lake Formation Formation-Berechtigungen für eine bestimmte Gruppe von Benutzern aktivieren können, ohne andere bestehende Benutzer oder Workloads zu unterbrechen.

Weitere Informationen finden Sie unter [Hybrider Zugriffsmodus](hybrid-access-mode.md).

Deaktivieren Sie die Standardeinstellungen, um alle vorhandenen Benutzer einer Tabelle in einem einzigen Schritt nach Lake Formation zu verschieben.

**Wichtig**  
Wenn Sie bereits AWS Glue Data Catalog Datenbanken und Tabellen haben, folgen Sie nicht den Anweisungen in diesem Abschnitt. Folgen Sie stattdessen den Anweisungen in [AWS GlueDatenberechtigungen für das AWS Lake Formation Modell aktualisieren](upgrade-glue-lake-formation.md).

**Warnung**  
Wenn Sie über eine Automatisierung verfügen, die Datenbanken und Tabellen im Datenkatalog erstellt, können die folgenden Schritte dazu führen, dass die Automatisierungs- und Downstream-Jobs zum Extrahieren, Transformieren und Laden (ETL) fehlschlagen. Fahren Sie erst fort, nachdem Sie entweder Ihre vorhandenen Prozesse geändert oder den erforderlichen Prinzipalen explizite Lake Formation Formation-Berechtigungen erteilt haben. Informationen zu den Berechtigungen für Lake Formation finden Sie unter[Referenz zu den Genehmigungen von Lake Formation](lf-permissions-reference.md).

**So ändern Sie die Standardeinstellungen für den Datenkatalog**

1. Fahren Sie in der Lake Formation Formation-Konsole unter fort [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Stellen Sie sicher, dass Sie als der Administratorbenutzer, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie angemeldet sind.

1. Ändern Sie die Datenkatalogeinstellungen:

   1. Wählen Sie im Navigationsbereich unter **Verwaltung** die Option **Datenkatalogeinstellungen** aus.

   1. Deaktivieren Sie beide Kontrollkästchen und wählen Sie **Speichern**.  
![\[Das Dialogfeld mit den Einstellungen für den Datenkatalog hat den Untertitel „Standardberechtigungen für neu erstellte Datenbanken und Tabellen“ und verfügt über zwei Kontrollkästchen, die im Text beschrieben werden.\]](http://docs.aws.amazon.com/de_de/lake-formation/latest/dg/images/settings-page.png)

1. Widerrufen Sie `IAMAllowedPrincipals` die Erlaubnis für Datenbankersteller.

   1. Wählen Sie im Navigationsbereich unter **Administration** die Option **Administrative Rollen und Aufgaben** aus.

   1. Wählen Sie auf der Konsolenseite für **Administratorrollen und -aufgaben** im Abschnitt **Datenbankersteller** die `IAMAllowedPrincipals` Gruppe aus und klicken Sie auf **Widerrufen**.

      Das Dialogfeld „Berechtigungen **widerrufen**“ wird angezeigt, in dem angegeben wird, dass die `IAMAllowedPrincipals` Person über die Berechtigung „**Datenbank erstellen**“ verfügt.

   1. Wählen Sie „**Widerrufen**“.

## Benutzern von Lake Formation Berechtigungen zuweisen
<a name="permissions-lf-principal"></a>

Erstellen Sie einen Benutzer, der Zugriff auf den Data Lake in haben soll AWS Lake Formation. Dieser Benutzer verfügt über die geringsten Rechte, um den Data Lake abzufragen.

Weitere Informationen zum Erstellen von Benutzern oder Gruppen finden Sie unter [IAM-Identitäten im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html).

**So weisen Sie einem Benutzer ohne Administratorrechte Berechtigungen für den Zugriff auf Lake Formation Formation-Daten zu**

1. Öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) und melden Sie sich als Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.

1. Wählen Sie **Benutzer** oder **Benutzergruppen** aus. 

1. Wählen Sie in der Liste den Namen des Benutzers oder der Gruppe, in die eine Richtlinie eingebettet werden soll.

   Wählen Sie **Berechtigungen**.

1. Wählen Sie „**Berechtigungen hinzufügen**“ und anschließend „**Richtlinien direkt anhängen**“. Geben Sie `Athena` in das Textfeld **Richtlinien filtern** ein. Markieren Sie in der Ergebnisliste das Kästchen für`AmazonAthenaFullAccess`.

1. Wählen Sie die Schaltfläche **Richtlinie erstellen**. Wählen Sie auf der Seite **Richtlinie erstellen** die Registerkarte **JSON** aus. Kopieren Sie den folgenden Code und fügen Sie ihn in den Richtlinien-Editor ein.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:GetDataAccess",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:SearchTables",
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetPartitions",
                   "lakeformation:GetResourceLFTags",
                   "lakeformation:ListLFTags",
                   "lakeformation:GetLFTag",
                   "lakeformation:SearchTablesByLFTags",
                   "lakeformation:SearchDatabasesByLFTags"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Klicken Sie unten auf die Schaltfläche **Weiter**, bis Sie die Seite **„Richtlinie überprüfen**“ sehen. Geben Sie einen Namen für die Richtlinie ein, `DatalakeUserBasic` z. B. Wählen Sie **Richtlinie erstellen** und schließen Sie dann die Registerkarte **Richtlinien** oder das Browserfenster.

## Konfigurieren Sie einen Amazon S3 S3-Standort für Ihren Data Lake
<a name="register-s3-location"></a>

Um Lake Formation zur Verwaltung und Sicherung der Daten in Ihrem Data Lake zu verwenden, müssen Sie zunächst einen Amazon S3 S3-Standort registrieren. Wenn Sie einen Standort registrieren, werden dieser Amazon S3 S3-Pfad und alle Ordner unter diesem Pfad registriert, sodass Lake Formation Berechtigungen auf Speicherebene erzwingen kann. Wenn der Benutzer Daten von einer integrierten Engine wie Amazon Athena anfordert, bietet Lake Formation Datenzugriff, anstatt die Benutzerberechtigungen zu verwenden.

Wenn Sie einen Standort registrieren, geben Sie eine IAM-Rolle an, die read/write Berechtigungen für diesen Standort gewährt. Lake Formation übernimmt diese Rolle bei der Bereitstellung temporärer Anmeldeinformationen für integrierte AWS Dienste, die Zugriff auf Daten am registrierten Amazon S3 S3-Standort anfordern. Sie können entweder die serviceverknüpfte Rolle (SLR) von Lake Formation angeben oder Ihre eigene Rolle erstellen.

Verwenden Sie eine benutzerdefinierte Rolle in den folgenden Situationen:
+ Sie planen, Metriken in Amazon CloudWatch Logs zu veröffentlichen. Die benutzerdefinierte Rolle muss zusätzlich zu den SLR-Berechtigungen eine Richtlinie für das Hinzufügen von CloudWatch Protokollen in Logs und das Veröffentlichen von Metriken enthalten. Ein Beispiel für eine Inline-Richtlinie, die die erforderlichen CloudWatch Berechtigungen gewährt, finden Sie unter. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md)
+ Der Amazon S3 S3-Standort ist in einem anderen Konto vorhanden. Details hierzu finden Sie unter [Registrierung eines Amazon S3 S3-Standorts in einem anderen AWS Konto](register-cross-account.md).
+ Der Amazon S3 S3-Standort enthält Daten, die mit einem verschlüsselt sind Von AWS verwalteter Schlüssel. Details dazu finden Sie unter [Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-encrypted.md) und [AWS Kontoübergreifende Registrierung eines verschlüsselten Amazon S3 S3-Standorts](register-cross-encrypted.md).
+ Sie planen, mit Amazon EMR auf den Amazon S3-Standort zuzugreifen. Weitere Informationen zu den Rollenanforderungen finden Sie unter [IAM-Rollen für Lake Formation](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-lf-iam-role.html) im *Amazon EMR Management Guide*.

Die Rolle, die Sie wählen, muss über die erforderlichen Berechtigungen verfügen, wie unter beschrieben. [Anforderungen für Rollen, die zur Registrierung von Standorten verwendet werden](registration-role.md) Anweisungen zur Registrierung eines Amazon S3 S3-Standorts finden Sie unter[Hinzufügen eines Amazon S3 S3-Standorts zu Ihrem Data Lake](register-data-lake.md).

## (Optional) Einstellungen für die externe Datenfilterung
<a name="external-data-filter"></a>

Wenn Sie beabsichtigen, Daten in Ihrem Data Lake mithilfe von Abfrage-Engines von Drittanbietern zu analysieren und zu verarbeiten, müssen Sie sich dafür entscheiden, externen Engines den Zugriff auf von Lake Formation verwaltete Daten zu ermöglichen. Wenn Sie sich nicht anmelden, können externe Engines nicht auf Daten an Amazon S3 S3-Standorten zugreifen, die bei Lake Formation registriert sind.

Lake Formation unterstützt Berechtigungen auf Spaltenebene, um den Zugriff auf bestimmte Spalten in einer Tabelle einzuschränken. Integrierte Analysedienste wie Amazon Athena Amazon Redshift Spectrum und Amazon EMR rufen ungefilterte Tabellenmetadaten aus dem ab. AWS Glue Data Catalog Das eigentliche Filtern von Spalten in Abfrageantworten liegt in der Verantwortung des integrierten Dienstes. Es liegt in der Verantwortung der Drittanbieteradministratoren, mit Berechtigungen ordnungsgemäß umzugehen, um unbefugten Zugriff auf Daten zu verhindern. 

**So stimmen Sie zu, dass Drittanbieter-Engines auf Daten zugreifen und diese filtern können (Konsole)**

1. Fahren Sie in der Lake Formation Formation-Konsole unter fort [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Stellen Sie sicher, dass Sie als Principal angemeldet sind, der über die IAM-Berechtigung für den Lake Formation `PutDataLakeSettings` API-Vorgang verfügt. Der IAM-Administratorbenutzer, den Sie erstellt haben, [Melde dich an für ein AWS-Konto](getting-started-setup.md#sign-up-for-aws) verfügt über diese Berechtigung.

1. Wählen Sie im Navigationsbereich unter **Administration** die Option **Anwendungsintegrationseinstellungen** aus.

1. Gehen Sie auf der Seite mit den **Einstellungen für die Anwendungsintegration** wie folgt vor:

   1. Markieren Sie das Kästchen **Erlauben Sie externen Engines, Daten an Amazon S3 S3-Standorten zu filtern, die bei Lake Formation registriert** sind.

   1.  Geben Sie **Sitzungs-Tag-Werte** ein, die für Engines von Drittanbietern definiert sind. 

   1. Geben Sie als **AWS Konto** das Konto ein IDs, IDs von dem aus Engines von Drittanbietern auf Standorte zugreifen können, die bei Lake Formation registriert sind. Drücken **Sie nach jeder Konto-ID die Eingabetaste**.

   1. Wählen Sie **Speichern**.

 Informationen dazu, wie externe Engines ohne Überprüfung des Sitzungs-Tags auf Daten zugreifen können, finden Sie unter [Anwendungsintegration für vollständigen Tabellenzugriff](full-table-credential-vending.md) 

## (Optional) Gewähren Sie Zugriff auf den Datenkatalog-Verschlüsselungsschlüssel
<a name="setup-encrypted-catalog"></a>

Wenn der verschlüsselt AWS Glue Data Catalog ist, gewähren Sie allen Prinzipalen, die Lake Formation Formation-Berechtigungen für Data Catalog-Datenbanken und -Tabellen gewähren müssen, AWS Identity and Access Management (IAM) -Berechtigungen für den AWS KMS Schlüssel.

Weitere Informationen finden Sie im *AWS Key Management Service -Entwicklerhandbuch*.

## (Optional) Erstellen Sie eine IAM-Rolle für Workflows
<a name="iam-create-blueprint-role"></a>

Mit AWS Lake Formation können Sie Ihre Daten mithilfe von *Workflows* importieren, die von AWS Glue Crawlern ausgeführt werden. Ein Workflow definiert die Datenquelle und den Zeitplan für den Import von Daten in Ihren Data Lake. Mithilfe der von Lake Formation bereitgestellten *Blueprints* oder Vorlagen können Sie ganz einfach Workflows definieren.

Wenn Sie einen Workflow erstellen, müssen Sie ihm eine AWS Identity and Access Management (IAM-) Rolle zuweisen, die Lake Formation die erforderlichen Berechtigungen zum Ingestieren der Daten gewährt.

Das folgende Verfahren setzt Vertrautheit mit IAM voraus.

**Um eine IAM-Rolle für Workflows zu erstellen**

1. Öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) und melden Sie sich als der Administratorbenutzer an, den Sie in der verwalteten Richtlinie erstellt haben, [Erstellen eines Benutzers mit Administratorzugriff](getting-started-setup.md#create-an-admin) oder als Benutzer mit der `AdministratorAccess` AWS verwalteten Richtlinie.

1. Wählen Sie im Navigationsbereich **Rollen** und anschließend **Rolle erstellen** aus.

1. Wählen Sie auf der Seite **Rolle erstellen** die Option **AWS Service** und dann **Glue** aus. Wählen Sie **Weiter** aus.

1. Suchen Sie auf der Seite „**Berechtigungen hinzufügen**“ nach der **AWSGlueServiceRole**verwalteten Richtlinie und aktivieren Sie das Kontrollkästchen neben dem Richtliniennamen in der Liste. Schließen Sie dann den Assistenten zum **Erstellen von Rollen** ab und geben Sie der Rolle einen Namen`LFWorkflowRole`. Um den Vorgang abzuschließen, wählen Sie **Create role (Rolle erstellen**).

1. Gehen Sie zurück zur **Rollenseite**`LFWorkflowRole`, suchen Sie nach dem Rollennamen und wählen Sie ihn aus.

1. Wählen Sie auf der Seite mit der **Rollenzusammenfassung** unter dem Tab **Berechtigungen** die Option **Inline-Richtlinie erstellen** aus. Navigieren Sie auf dem Bildschirm „**Richtlinie erstellen**“ zur Registerkarte JSON und fügen Sie die folgende Inline-Richtlinie hinzu. Ein empfohlener Name für die Richtlinie lautet`LakeFormationWorkflow`.
**Wichtig**  
Ersetzen Sie den Text in der folgenden Richtlinie *<account-id>* durch eine gültige AWS-Konto Zahl.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                    "lakeformation:GetDataAccess",
                    "lakeformation:GrantPermissions"
                ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": ["iam:PassRole"],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

   Im Folgenden finden Sie eine kurze Beschreibung der Berechtigungen in dieser Richtlinie:
   + `lakeformation:GetDataAccess`ermöglicht es Aufträgen, die durch den Workflow erstellt wurden, an den Zielspeicherort zu schreiben.
   + `lakeformation:GrantPermissions`ermöglicht es dem Workflow, die `SELECT` Berechtigung für Zieltabellen zu erteilen.
   + `iam:PassRole`ermöglicht es dem Service, die Rolle beim `LakeFormationWorkflowRole` Erstellen von Crawlern und Jobs (Instanzen von Workflows) zu übernehmen und die Rolle den erstellten Crawlern und Jobs zuzuweisen.

1. Stellen Sie sicher, dass der Rolle `LakeFormationWorkflowRole` zwei Richtlinien zugeordnet sind.

1. Wenn Sie Daten aufnehmen, die sich außerhalb des Data Lake-Speicherorts befinden, fügen Sie eine Inline-Richtlinie hinzu, die Berechtigungen zum Lesen der Quelldaten gewährt.