Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Lake Formation tutorial
<a name="getting-started-tutorials"></a>

Tutorial berikut disusun menjadi tiga trek dan memberikan step-by-step instruksi tentang cara membangun data lake, menelan data, berbagi, dan mengamankan data lake menggunakan AWS Lake Formation:

1. **Membangun data lake dan menelan data:** Belajar membangun data lake dan menggunakan cetak biru untuk memindahkan, menyimpan, membuat katalog, membersihkan, dan mengatur data Anda. Anda juga akan belajar mengatur tabel yang diatur. Tabel yang diatur adalah jenis tabel Amazon S3 baru yang mendukung transaksi atom, konsisten, terisolasi, dan tahan lama (ACID).

   Sebelum Anda mulai, pastikan Anda telah menyelesaikan langkah-langkahnya[Memulai dengan Lake Formation](getting-started-setup.md).
   + [Membuat danau data dari AWS CloudTrail sumber](getting-started-cloudtrail-tutorial.md)

     Buat dan muat data lake pertama Anda dengan menggunakan CloudTrail log Anda sendiri sebagai sumber data. 
   + [Membuat data lake dari sumber JDBC di Lake Formation](getting-started-tutorial-jdbc.md)

     Buat data lake dengan menggunakan salah satu penyimpanan data yang dapat diakses JDBC Anda, seperti database relasional, sebagai sumber data.

1. **Mengamankan data lake:** Pelajari cara menggunakan kontrol akses berbasis tag dan tingkat baris untuk mengamankan dan mengelola akses ke danau data Anda secara efektif.
   + [Menyiapkan izin untuk format penyimpanan tabel terbuka di Lake Formation](otf-tutorial.md)

     Tutorial ini menunjukkan cara mengatur izin untuk format tabel transaksional open source (Apache Iceberg, Apache Hudi, dan tabel Linux Foundation Delta Lake) di Lake Formation.
   + [Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation](managing-dl-tutorial.md)

     Pelajari cara mengelola akses ke data dalam data lake menggunakan kontrol akses berbasis tag di Lake Formation.
   + [Mengamankan data lake dengan kontrol akses tingkat baris](cbac-tutorial.md)

     Pelajari cara menyiapkan izin tingkat baris yang memungkinkan Anda membatasi akses ke baris tertentu berdasarkan kepatuhan data dan kebijakan tata kelola di Lake Formation.

1. **Berbagi data:** Pelajari cara berbagi data dengan aman Akun AWS menggunakan kontrol akses berbasis tag (TBAC) dan mengelola izin terperinci pada kumpulan data yang dibagikan di antaranya. Akun AWS
   + [Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama](share-dl-tbac-tutorial.md)

     Dalam tutorial ini, Anda mempelajari cara membagikan data Anda dengan aman Akun AWS menggunakan Lake Formation.
   + [Berbagi data lake menggunakan kontrol akses berbutir halus Lake Formation](share-dl-fgac-tutorial.md)

     Dalam tutorial ini, Anda mempelajari cara berbagi kumpulan data dengan cepat dan mudah menggunakan Lake Formation saat mengelola beberapa Akun AWS dengan. AWS Organizations

**Topics**
+ [Membuat danau data dari AWS CloudTrail sumber](getting-started-cloudtrail-tutorial.md)
+ [Membuat data lake dari sumber JDBC di Lake Formation](getting-started-tutorial-jdbc.md)
+ [Menyiapkan izin untuk format penyimpanan tabel terbuka di Lake Formation](otf-tutorial.md)
+ [Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation](managing-dl-tutorial.md)
+ [Mengamankan data lake dengan kontrol akses tingkat baris](cbac-tutorial.md)
+ [Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama](share-dl-tbac-tutorial.md)
+ [Berbagi data lake menggunakan kontrol akses berbutir halus Lake Formation](share-dl-fgac-tutorial.md)

# Membuat danau data dari AWS CloudTrail sumber
<a name="getting-started-cloudtrail-tutorial"></a>

Tutorial ini memandu Anda melalui tindakan yang harus diambil pada konsol Lake Formation untuk membuat dan memuat data lake pertama Anda dari AWS CloudTrail sumber.

**Langkah-langkah tingkat tinggi untuk membuat danau data**

1. Daftarkan jalur Amazon Simple Storage Service (Amazon S3) sebagai data lake.

1. Berikan izin Lake Formation untuk menulis ke Katalog Data dan ke lokasi Amazon S3 di data lake.

1. Buat database untuk mengatur tabel metadata dalam Katalog Data.

1. Gunakan cetak biru untuk membuat alur kerja. Jalankan alur kerja untuk menyerap data dari sumber data.

1. Siapkan izin Lake Formation Anda untuk memungkinkan orang lain mengelola data di Katalog Data dan data lake.

1. Siapkan Amazon Athena untuk menanyakan data yang Anda impor ke danau data Amazon S3 Anda.

1. Untuk beberapa jenis penyimpanan data, siapkan Amazon Redshift Spectrum untuk menanyakan data yang Anda impor ke data lake Amazon S3 Anda.

**Topics**
+ [Audiens yang dituju](#cloudtrail-tut-personas)
+ [Prasyarat](#cloudtrail-tut-prereqs)
+ [Langkah 1: Buat pengguna analis data](#cloudtrail-tut-create-lf-user)
+ [Langkah 2: Tambahkan izin untuk membaca AWS CloudTrail log ke peran alur kerja](#cloudtrail-tut-grant-cloudtrail)
+ [Langkah 3: Buat bucket Amazon S3 untuk data lake](#cloudtrail-tut-create-bucket)
+ [Langkah 4: Daftarkan jalur Amazon S3](#cloudtrail-tut-register)
+ [Langkah 5: Berikan izin lokasi data](#cloudtrail-tut-data-location)
+ [Langkah 6: Buat database di Katalog Data](#cloudtrail-tut-create-db)
+ [Langkah 7: Berikan izin data](#cloudtrail-tut-data-permissions)
+ [Langkah 8: Gunakan cetak biru untuk membuat alur kerja](#cloudtrail-tut-create-workflow)
+ [Langkah 9: Jalankan alur kerja](#cloudtrail-tut-run-workflow)
+ [Langkah 10: Berikan SELECT pada tabel](#cloudtrail-tut-grant-table)
+ [Langkah 11: Kueri data lake Menggunakan Amazon Athena](#cloudtrail-tut-query)

## Audiens yang dituju
<a name="cloudtrail-tut-personas"></a>

Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini untuk membuat danau data.


**Audiens yang dituju**  

| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Memiliki kebijakan AWS terkelola:AdministratorAccess. Dapat membuat peran IAM dan bucket Amazon S3. | 
| Administrator danau data | Pengguna yang dapat mengakses katalog data, membuat database, dan memberikan izin Lake Formation kepada pengguna lain. Memiliki izin IAM lebih sedikit daripada administrator IAM, tetapi cukup untuk mengelola data lake. | 
| Analis data | Pengguna yang dapat menjalankan kueri terhadap data lake. Hanya memiliki izin yang cukup untuk menjalankan kueri. | 
| Peran alur kerja | Berperan dengan kebijakan IAM yang diperlukan untuk menjalankan alur kerja. Untuk informasi selengkapnya, lihat [(Opsional) Buat peran IAM untuk alur kerja](initial-lf-config.md#iam-create-blueprint-role). | 

## Prasyarat
<a name="cloudtrail-tut-prereqs"></a>

Sebelum Anda memulai:
+ Pastikan bahwa Anda telah menyelesaikan tugas di[Mengatur AWS Lake Formation](initial-lf-config.md).
+ Ketahui lokasi CloudTrail log Anda.
+ Athena mengharuskan persona analis data untuk membuat bucket Amazon S3 untuk menyimpan hasil kueri sebelum menggunakan Athena.

Keakraban dengan AWS Identity and Access Management (IAM) diasumsikan. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

## Langkah 1: Buat pengguna analis data
<a name="cloudtrail-tut-create-lf-user"></a>

Pengguna ini memiliki set izin minimum untuk menanyakan data lake.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam). Masuk sebagai pengguna administrator yang Anda buat [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin) atau sebagai pengguna dengan kebijakan `AdministratorAccess` AWS terkelola.

1. Buat pengguna bernama `datalake_user` dengan pengaturan berikut:
   + Aktifkan Konsol Manajemen AWS akses.
   + Tetapkan kata sandi dan tidak memerlukan pengaturan ulang kata sandi.
   + Lampirkan kebijakan `AmazonAthenaFullAccess` AWS terkelola.
   + Lampirkan kebijakan inline berikut. Sebutkan kebijakan `DatalakeUserBasic`.

     ```
     {
         "Version": "2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "lakeformation:GetDataAccess",
                     "glue:GetTable",
                     "glue:GetTables",
                     "glue:SearchTables",
                     "glue:GetDatabase",
                     "glue:GetDatabases",
                     "glue:GetPartitions",
                     "lakeformation:GetResourceLFTags",
                     "lakeformation:ListLFTags",
                     "lakeformation:GetLFTag",
                     "lakeformation:SearchTablesByLFTags",
                     "lakeformation:SearchDatabasesByLFTags"                
                ],
                 "Resource": "*"
             }
         ]
     }
     ```

## Langkah 2: Tambahkan izin untuk membaca AWS CloudTrail log ke peran alur kerja
<a name="cloudtrail-tut-grant-cloudtrail"></a>

1. Lampirkan kebijakan inline berikut ke peran`LakeFormationWorkflowRole`. Kebijakan memberikan izin untuk membaca AWS CloudTrail log Anda. Sebutkan kebijakan `DatalakeGetCloudTrail`.

   Untuk membuat `LakeFormationWorkflowRole` peran, lihat[(Opsional) Buat peran IAM untuk alur kerja](initial-lf-config.md#iam-create-blueprint-role).
**penting**  
Ganti *<your-s3-cloudtrail-bucket>* dengan lokasi Amazon S3 data Anda CloudTrail .

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": ["arn:aws:s3:::<your-s3-cloudtrail-bucket>/*"]
           }
       ]
   }
   ```

------

1. Verifikasi bahwa ada tiga kebijakan yang melekat pada peran tersebut.

## Langkah 3: Buat bucket Amazon S3 untuk data lake
<a name="cloudtrail-tut-create-bucket"></a>

Buat bucket Amazon S3 yang akan menjadi lokasi root danau data Anda.

1. Buka konsol Amazon S3 di [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)dan masuk sebagai pengguna administrator yang Anda buat. [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin)

1. Pilih **Buat ember**, dan buka wizard untuk membuat bucket bernama`<yourName>-datalake-cloudtrail`, di *<yourName>* mana nama awal dan belakang pertama Anda. Sebagai contoh: `jdoe-datalake-cloudtrail`.

   Untuk petunjuk mendetail tentang cara membuat bucket Amazon S3, lihat [Membuat](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html) bucket.

## Langkah 4: Daftarkan jalur Amazon S3
<a name="cloudtrail-tut-register"></a>

Daftarkan jalur Amazon S3 sebagai lokasi root danau data Anda.

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator danau data.

1. Di panel navigasi, di bawah **Daftar dan konsumsi**, pilih Lokasi **danau data**.

1. Pilih **Daftar lokasi** dan kemudian **Jelajahi**. 

1. Pilih `<yourName>-datalake-cloudtrail` bucket yang Anda buat sebelumnya, terima peran IAM default`AWSServiceRoleForLakeFormationDataAccess`, lalu pilih **Daftar lokasi**.

   Untuk informasi selengkapnya tentang mendaftarkan lokasi, lihat[Menambahkan lokasi Amazon S3 ke danau data Anda](register-data-lake.md).

## Langkah 5: Berikan izin lokasi data
<a name="cloudtrail-tut-data-location"></a>

Prinsipal harus memiliki *izin lokasi data pada lokasi* data lake untuk membuat tabel Katalog Data atau database yang mengarah ke lokasi tersebut. Anda harus memberikan izin lokasi data ke peran IAM untuk alur kerja sehingga alur kerja dapat menulis ke tujuan konsumsi data.

1. Di panel navigasi, di bawah **Izin**, pilih Lokasi **data**.

1. Pilih **Hibah**, dan di kotak dialog **Hibah izin**, buat pilihan ini:

   1. Untuk **pengguna dan peran IAM**, pilih`LakeFormationWorkflowRole`.

   1. Untuk **lokasi Penyimpanan**, pilih `<yourName>-datalake-cloudtrail` bucket Anda.

1. Pilih**Izin**.

Untuk informasi selengkapnya tentang izin lokasi data, lihat[Underlying data access control](access-control-underlying-data.md#data-location-permissions).

## Langkah 6: Buat database di Katalog Data
<a name="cloudtrail-tut-create-db"></a>

Tabel metadata dalam Katalog Data Lake Formation disimpan dalam database.

1. Di panel navigasi, di bawah **Katalog data**, pilih **Database**.

1. Pilih **Buat database**, dan di bawah **rincian Database**, masukkan nama`lakeformation_cloudtrail`.

1. Biarkan bidang lainnya kosong, dan pilih **Buat database**.

## Langkah 7: Berikan izin data
<a name="cloudtrail-tut-data-permissions"></a>

Anda harus memberikan izin untuk membuat tabel metadata di Katalog Data. Karena alur kerja akan berjalan dengan peran`LakeFormationWorkflowRole`, Anda harus memberikan izin ini ke peran tersebut.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Katalog data**, pilih **Database**. 

1. Pilih `lakeformation_cloudtrail` database, lalu, dari daftar drop-down **Tindakan**, pilih **Hibah** di bawah judul Izin.

1. Di kotak dialog **Berikan izin data**, buat pilihan ini:

   1. Di bawah **Prinsipal**, untuk **pengguna dan peran IAM**, pilih. `LakeFormationWorkflowRole`

   1. Di bawah **LF-tag atau sumber katalog, pilih Sumber daya Katalog** **Data Bernama**.

   1. Untuk **Database**, Anda harus melihat bahwa `lakeformation_cloudtrail` database sudah ditambahkan.

   1. Di bawah **Izin database**, pilih **Buat tabel**, **Ubah**, dan **Jatuhkan**, dan hapus **Super** jika dipilih.

1. Pilih**Izin**.

Untuk informasi selengkapnya tentang pemberian izin Lake Formation, lihat. [Mengelola izin Lake Formation](managing-permissions.md)

## Langkah 8: Gunakan cetak biru untuk membuat alur kerja
<a name="cloudtrail-tut-create-workflow"></a>

Untuk membaca CloudTrail log, memahami strukturnya, membuat tabel yang sesuai di Katalog Data, kita perlu menyiapkan alur kerja yang terdiri dari AWS Glue crawler, pekerjaan, pemicu, dan alur kerja. Cetak biru Lake Formation menyederhanakan proses ini. 

Alur kerja menghasilkan pekerjaan, crawler, dan pemicu yang menemukan dan menelan data ke dalam data lake Anda. Anda membuat alur kerja berdasarkan salah satu cetak biru Lake Formation yang telah ditentukan sebelumnya.

1. **Di konsol Lake Formation, di panel navigasi, pilih **Blueprints** di bawah **Tertelan**, lalu pilih Gunakan cetak biru.**

1. Pada halaman **Gunakan cetak biru, di bawah Jenis cetak** **biru**, pilih. **AWS CloudTrail**

1. Di bawah **Impor sumber**, pilih CloudTrail sumber dan tanggal mulai.

1. Di bawah **target Impor**, tentukan parameter ini:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)

1. Untuk frekuensi impor, pilih **Jalankan sesuai permintaan**.

1. Di bawah **opsi Impor**, tentukan parameter ini:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/getting-started-cloudtrail-tutorial.html)

1. Pilih **Buat**, dan tunggu konsol melaporkan bahwa alur kerja berhasil dibuat.
**Tip**  
Apakah Anda mendapatkan pesan kesalahan berikut?  
`User: arn:aws:iam::<account-id>:user/<datalake_administrator_user> is not authorized to perform: iam:PassRole on resource:arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole...`  
Jika demikian, periksa apakah Anda mengganti *<account-id>* dalam kebijakan inline untuk pengguna administrator data lake dengan nomor AWS akun yang valid.

## Langkah 9: Jalankan alur kerja
<a name="cloudtrail-tut-run-workflow"></a>

Karena Anda menentukan bahwa alur kerjanya run-on-demand, Anda harus memulai alur kerja secara manual.
+ **Pada halaman **Blueprints**, pilih alur kerja, dan pada menu **Tindakan `lakeformationcloudtrailtest`**, pilih Mulai.**

  Saat alur kerja berjalan, Anda dapat melihat kemajuannya di kolom **Status Last run**. Pilih tombol refresh sesekali.

  **Status berubah dari **RUNNING**, ke **Discovering**, ke **Importing**, ke COMPLETED.** 

  Saat alur kerja selesai:
  + Katalog Data akan memiliki tabel metadata baru.
  +  CloudTrail Log Anda akan tertelan ke dalam danau data.

  Jika alur kerja gagal, lakukan hal berikut:

  1. Pilih alur kerja, dan pada menu **Tindakan**, pilih **Lihat grafik**.

     Alur kerja terbuka di AWS Glue konsol.

  1. Pastikan bahwa alur kerja sudah dipilih, dan pilih tab **Riwayat**.

  1. Di bawah **Riwayat**, pilih proses terbaru dan pilih **Lihat detail jalankan**.

  1. Pilih job atau crawler yang gagal dalam grafik dinamis (runtime), dan tinjau pesan galatnya. Node yang gagal berwarna merah atau kuning.

## Langkah 10: Berikan SELECT pada tabel
<a name="cloudtrail-tut-grant-table"></a>

Anda harus memberikan `SELECT` izin pada tabel Katalog Data baru sehingga analis data dapat melakukan kueri data yang ditunjukkan tabel.

**catatan**  
Alur kerja secara otomatis memberikan `SELECT` izin pada tabel yang dibuatnya kepada pengguna yang menjalankannya. Karena administrator data lake menjalankan alur kerja ini, Anda harus memberikan `SELECT` kepada analis data.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Katalog data**, pilih **Database**. 

1. Pilih `lakeformation_cloudtrail` database, lalu, dari daftar drop-down **Tindakan**, pilih **Hibah** di bawah judul Izin.

1. Di kotak dialog **Berikan izin data**, buat pilihan ini:

   1. Di bawah **Prinsipal**, untuk **pengguna dan peran IAM**, pilih. `datalake_user`

   1. Di bawah **LF-tag atau sumber katalog**, pilih Sumber daya **katalog data bernama**.

   1. Untuk **Database**, `lakeformation_cloudtrail` database harus sudah dipilih.

   1. Untuk **Tabel**, pilih`cloudtrailtest-cloudtrail`.

   1. Di bawah **Izin tabel dan kolom**, pilih **Pilih**.

1. Pilih**Izin**.

**Langkah selanjutnya dilakukan sebagai analis data.**

## Langkah 11: Kueri data lake Menggunakan Amazon Athena
<a name="cloudtrail-tut-query"></a>

Gunakan Amazon Athena konsol untuk menanyakan CloudTrail data di danau data Anda.

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)dan masuk sebagai analis data, pengguna. `datalake_user`

1. Jika perlu, pilih **Mulai** untuk melanjutkan ke editor kueri Athena.

1. Untuk **Sumber Data**, pilih **AwsDataCatalog**.

1. Untuk **Database**, pilih`lakeformation_cloudtrail`.

   Daftar **Tabel** terisi.

1. **Pada menu overflow (3 titik disusun secara horizontal) di samping tabel, pilih **tabel Pratinjau `cloudtrailtest-cloudtrail`**, lalu pilih Jalankan.**

   Kueri berjalan dan menampilkan 10 baris data.

   Jika Anda belum pernah menggunakan Athena sebelumnya, Anda harus terlebih dahulu mengonfigurasi lokasi Amazon S3 di konsol Athena untuk menyimpan hasil kueri. `datalake_user`Harus memiliki izin yang diperlukan untuk mengakses bucket Amazon S3 yang Anda pilih.

**catatan**  
Sekarang setelah Anda menyelesaikan tutorial, berikan izin data dan izin lokasi data ke kepala sekolah di organisasi Anda.

# Membuat data lake dari sumber JDBC di Lake Formation
<a name="getting-started-tutorial-jdbc"></a>

Tutorial ini memandu Anda melalui langkah-langkah yang harus diambil pada AWS Lake Formation konsol untuk membuat dan memuat data lake pertama Anda dari sumber JDBC menggunakan Lake Formation. 

**Topics**
+ [Audiens yang dituju](#tut-personas)
+ [Prasyarat tutorial JDBC](#tut-prereqs)
+ [Langkah 1: Buat pengguna analis data](#tut-create-lf-user)
+ [Langkah 2: Buat koneksi di AWS Glue](#tut-connection)
+ [Langkah 3: Buat bucket Amazon S3 untuk data lake](#tut-create-bucket)
+ [Langkah 4: Daftarkan jalur Amazon S3](#tut-register)
+ [Langkah 5: Berikan izin lokasi data](#tut-data-location)
+ [Langkah 6: Buat database di Katalog Data](#tut-create-db)
+ [Langkah 7: Berikan izin data](#tut-grant-data-permissions)
+ [Langkah 8: Gunakan cetak biru untuk membuat alur kerja](#tut-create-workflow)
+ [Langkah 9: Jalankan alur kerja](#tut-run-workflow)
+ [Langkah 10: Berikan SELECT pada tabel](#tut-grant-select)
+ [Langkah 11: Kueri data lake menggunakan Amazon Athena](#tut-query-athena)
+ [Langkah 12: Kueri data di danau data menggunakan Amazon Redshift Spectrum](#tut-query-redshift)
+ [Langkah 13: Berikan atau cabut izin Lake Formation menggunakan Amazon Redshift Spectrum](#getting-started-tutorial-grant-revoke-redshift)

## Audiens yang dituju
<a name="tut-personas"></a>

Tabel berikut mencantumkan peran yang digunakan dalam tutorial [AWS Lake Formation JDBC](#getting-started-tutorial-jdbc) ini.


| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Pengguna yang dapat membuat pengguna dan peran AWS Identity and Access Management (IAM) serta bucket Amazon Simple Storage Service (Amazon S3). Memiliki kebijakan yang AdministratorAccess AWS dikelola. | 
| Administrator danau data | Pengguna yang dapat mengakses Katalog Data, membuat database, dan memberikan izin Lake Formation kepada pengguna lain. Memiliki izin IAM lebih sedikit daripada administrator IAM, tetapi cukup untuk mengelola data lake. | 
| Analis data | Pengguna yang dapat menjalankan kueri terhadap data lake. Hanya memiliki izin yang cukup untuk menjalankan kueri. | 
| Peran alur kerja | Peran dengan kebijakan IAM yang diperlukan untuk menjalankan alur kerja. | 

Untuk informasi tentang prasyarat untuk menyelesaikan tutorial, lihat. [Prasyarat tutorial JDBC](#tut-prereqs)

## Prasyarat tutorial JDBC
<a name="tut-prereqs"></a>

Sebelum Anda memulai [tutorial AWS Lake Formation JDBC](#getting-started-tutorial-jdbc), pastikan Anda telah melakukan hal berikut:
+ Selesaikan tugas dalam [Memulai dengan Lake Formation](getting-started-setup.md).
+ Tentukan penyimpanan data yang dapat diakses JDBC yang ingin Anda gunakan untuk tutorial.
+ Kumpulkan informasi yang diperlukan untuk membuat AWS Glue koneksi tipe JDBC. Objek Katalog Data ini menyertakan URL ke penyimpanan data, kredensi login, dan jika penyimpanan data dibuat di Amazon Virtual Private Cloud (Amazon VPC), informasi konfigurasi khusus VPC tambahan. Untuk informasi selengkapnya, lihat [Mendefinisikan Koneksi di Katalog AWS Glue Data](https://docs.aws.amazon.com/glue/latest/dg/populate-add-connection.html) di *Panduan AWS Glue Pengembang*.

Tutorial mengasumsikan bahwa Anda sudah familiar dengan AWS Identity and Access Management (IAM). Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

Untuk memulai, lanjutkan ke[Langkah 1: Buat pengguna analis data](#tut-create-lf-user).

## Langkah 1: Buat pengguna analis data
<a name="tut-create-lf-user"></a>

Pada langkah ini, Anda membuat pengguna AWS Identity and Access Management (IAM) untuk menjadi analis data untuk data lake Anda. AWS Lake Formation

Pengguna ini memiliki set izin minimum untuk menanyakan data lake.

1. Buka konsol IAM di [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam). Masuk sebagai pengguna administrator yang Anda buat [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin) atau sebagai pengguna dengan kebijakan `AdministratorAccess` AWS terkelola.

1. Buat pengguna bernama `datalake_user` dengan pengaturan berikut:
   + Aktifkan Konsol Manajemen AWS akses.
   + Tetapkan kata sandi dan tidak memerlukan pengaturan ulang kata sandi.
   + Lampirkan kebijakan `AmazonAthenaFullAccess` AWS terkelola.
   + Lampirkan kebijakan inline berikut. Sebutkan kebijakan `DatalakeUserBasic`.

     ```
     {
         "Version": "2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Action": [
                     "lakeformation:GetDataAccess",
                     "glue:GetTable",
                     "glue:GetTables",
                     "glue:SearchTables",
                     "glue:GetDatabase",
                     "glue:GetDatabases",
                     "glue:GetPartitions",
                     "lakeformation:GetResourceLFTags",
                     "lakeformation:ListLFTags",
                     "lakeformation:GetLFTag",
                     "lakeformation:SearchTablesByLFTags",
                     "lakeformation:SearchDatabasesByLFTags"                
                ],
                 "Resource": "*"
             }
         ]
     }
     ```

## Langkah 2: Buat koneksi di AWS Glue
<a name="tut-connection"></a>

**catatan**  
Lewati langkah ini jika Anda sudah memiliki AWS Glue koneksi ke sumber data JDBC Anda.

AWS Lake Formation *mengakses sumber data JDBC melalui koneksi. AWS Glue* Koneksi adalah objek Katalog Data yang berisi semua informasi yang diperlukan untuk terhubung ke sumber data. Anda dapat membuat koneksi menggunakan AWS Glue konsol.

**Untuk membuat koneksi**

1. Buka konsol AWS Glue di[https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/), dan masuk sebagai pengguna administrator yang Anda buat[Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin).

1. Pada panel navigasi, di **Katalog data**, pilih **Koneksi**.

1. Pada halaman **Konektor**, pilih **Buat koneksi**.

1. Pada halaman **Pilih sumber data**, pilih **JDBC** sebagai jenis koneksi. Lalu pilih **Selanjutnya**.

1. Lanjutkan melalui wizard koneksi dan simpan koneksi.

   Untuk informasi tentang cara membuat sambungan, lihat [properti koneksi AWS Glue JDBC di Panduan AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/connection-properties.html#connection-properties-jdbc) *Pengembang*.

## Langkah 3: Buat bucket Amazon S3 untuk data lake
<a name="tut-create-bucket"></a>

Pada langkah ini, Anda membuat bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) yang akan menjadi lokasi root danau data Anda.

1. Buka konsol Amazon S3 di [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)dan masuk sebagai pengguna administrator yang Anda buat. [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin)

1. Pilih **Buat ember**, dan buka wizard untuk membuat bucket bernama`<yourName>-datalake-tutorial`, di *<yourName>* mana nama awal dan belakang pertama Anda. Sebagai contoh: `jdoe-datalake-tutorial`.

   Untuk petunjuk mendetail tentang cara membuat bucket Amazon S3, lihat [Bagaimana Cara Membuat Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)? di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

## Langkah 4: Daftarkan jalur Amazon S3
<a name="tut-register"></a>

Pada langkah ini, Anda mendaftarkan jalur Amazon Simple Storage Service (Amazon S3) sebagai lokasi root danau data Anda.

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator danau data.

1. Di panel navigasi, di bawah **Administrasi**, pilih **Lokasi danau data**.

1. Pilih **Daftarkan lokasi**, lalu pilih **Jelajahi**. 

1. Pilih `<yourName>-datalake-tutorial` bucket yang Anda buat sebelumnya, terima peran IAM default`AWSServiceRoleForLakeFormationDataAccess`, lalu pilih **Daftar lokasi**.

   Untuk informasi selengkapnya tentang mendaftarkan lokasi, lihat[Menambahkan lokasi Amazon S3 ke danau data Anda](register-data-lake.md).

## Langkah 5: Berikan izin lokasi data
<a name="tut-data-location"></a>

Prinsipal harus memiliki *izin lokasi data pada lokasi* data lake untuk membuat tabel Katalog Data atau database yang mengarah ke lokasi tersebut. Anda harus memberikan izin lokasi data ke peran IAM untuk alur kerja sehingga alur kerja dapat menulis ke tujuan konsumsi data.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Izin**, pilih Lokasi **data**.

1. Pilih **Hibah**, dan di kotak dialog **Hibah izin**, lakukan hal berikut:

   1. Untuk **pengguna dan peran IAM**, pilih`LakeFormationWorkflowRole`.

   1. Untuk **lokasi Penyimpanan**, pilih `<yourName>-datalake-tutorial` bucket Anda.

1. Pilih**Izin**.

Untuk informasi selengkapnya tentang izin lokasi data, lihat[Underlying data access control](access-control-underlying-data.md#data-location-permissions).

## Langkah 6: Buat database di Katalog Data
<a name="tut-create-db"></a>

Tabel metadata dalam Katalog Data Lake Formation disimpan dalam database.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Katalog data**, pilih **Database**.

1. Pilih **Buat database**, dan di bawah **rincian Database**, masukkan nama`lakeformation_tutorial`.

1. Biarkan bidang lainnya kosong, dan pilih **Buat database**.

## Langkah 7: Berikan izin data
<a name="tut-grant-data-permissions"></a>

Anda harus memberikan izin untuk membuat tabel metadata di Katalog Data. Karena alur kerja berjalan dengan peran`LakeFormationWorkflowRole`, Anda harus memberikan izin ini ke peran tersebut.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.

1. Pilih **Hibah**, dan di kotak dialog **Hibah izin data**, lakukan hal berikut:

   1. Di bawah **Prinsipal**, untuk **pengguna dan peran IAM**, pilih. `LakeFormationWorkflowRole`

   1. Di bawah **LF-tag atau sumber katalog**, pilih Sumber daya **katalog data bernama**.

   1. Untuk **Database**, pilih database yang Anda buat sebelumnya,`lakeformation_tutorial`.

   1. Di bawah **Izin database**, pilih **Buat tabel**, **Ubah**, dan **Jatuhkan**, dan hapus **Super** jika dipilih.

1. Pilih**Izin**.

Untuk informasi selengkapnya tentang pemberian izin Lake Formation, lihat. [Ikhtisar izin Lake Formation](lf-permissions-overview.md)

## Langkah 8: Gunakan cetak biru untuk membuat alur kerja
<a name="tut-create-workflow"></a>

 AWS Lake Formation Alur kerja menghasilkan AWS Glue pekerjaan, crawler, dan pemicu yang menemukan dan menelan data ke dalam data lake Anda. Anda membuat alur kerja berdasarkan salah satu cetak biru Lake Formation yang telah ditentukan sebelumnya.

1. **Di konsol Lake Formation, di panel navigasi, pilih **Blueprints, lalu pilih Use blueprint**.**

1. **Pada halaman **Gunakan cetak biru, di bawah Jenis cetak** **biru, pilih snapshot Database**.**

1. Di bawah **Impor sumber**, untuk **koneksi Database**, pilih koneksi yang baru saja Anda buat`datalake-tutorial`, atau pilih sambungan yang ada untuk sumber data Anda.

1. Untuk **jalur data Sumber**, masukkan jalur untuk menelan data, dalam formulir`<database>/<schema>/<table>`.

   Anda dapat mengganti wildcard persen (%) untuk skema atau tabel. Untuk database yang mendukung skema, masukkan*<database>*/*<schema>*/% untuk mencocokkan semua tabel di dalamnya. *<schema>* *<database>* Oracle Database dan MySQL tidak mendukung skema di jalur; sebagai gantinya, masukkan /%. *<database>* Untuk Oracle Database, *<database>* adalah pengenal sistem (SID).

   Misalnya, jika database Oracle memiliki `orcl` SID-nya, masukkan `orcl/%` untuk mencocokkan semua tabel yang pengguna ditentukan dalam koneksi JDCB memiliki akses ke.
**penting**  
Bidang ini peka terhadap huruf besar dan kecil.

1. Di bawah **target Impor**, tentukan parameter ini:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)

1. Untuk frekuensi impor, pilih **Jalankan sesuai permintaan**.

1. Di bawah **opsi Impor**, tentukan parameter ini:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/getting-started-tutorial-jdbc.html)

1. Pilih **Buat**, dan tunggu konsol melaporkan bahwa alur kerja berhasil dibuat.
**Tip**  
Apakah Anda mendapatkan pesan kesalahan berikut?  
`User: arn:aws:iam::<account-id>:user/<datalake_administrator_user> is not authorized to perform: iam:PassRole on resource:arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole...`  
Jika demikian, periksa apakah Anda mengganti *<account-id>* dalam kebijakan inline untuk pengguna administrator data lake dengan nomor AWS akun yang valid.

## Langkah 9: Jalankan alur kerja
<a name="tut-run-workflow"></a>

Karena Anda menentukan bahwa alur kerjanya run-on-demand, Anda harus memulai alur kerja secara manual. AWS Lake Formation

1. Di konsol Lake Formation, pada halaman **Blueprints**, pilih alur kerja. `lakeformationjdbctest`

1. Pilih **Tindakan**, lalu pilih **Mulai**.

1. Saat alur kerja berjalan, lihat kemajuannya di kolom **Status Last run**. Pilih tombol refresh sesekali.

   **Status berubah dari **RUNNING**, ke **Discovering**, ke **Importing**, ke COMPLETED.** 

   Saat alur kerja selesai:
   + Katalog Data memiliki tabel metadata baru.
   + Data Anda tertelan ke danau data.

   Jika alur kerja gagal, lakukan hal berikut:

   1. Pilih alur kerja. Pilih **Tindakan**, lalu pilih **Lihat grafik**.

      Alur kerja terbuka di AWS Glue konsol.

   1. Pilih alur kerja dan pilih tab **History**.

   1. Pilih run terbaru dan pilih **View run details**.

   1. Pilih job atau crawler yang gagal dalam grafik dinamis (runtime), dan tinjau pesan galatnya. Node yang gagal berwarna merah atau kuning.

## Langkah 10: Berikan SELECT pada tabel
<a name="tut-grant-select"></a>

Anda harus memberikan `SELECT` izin pada tabel Katalog Data baru AWS Lake Formation agar analis data dapat melakukan kueri data yang ditunjukkan tabel.

**catatan**  
Alur kerja secara otomatis memberikan `SELECT` izin pada tabel yang dibuatnya kepada pengguna yang menjalankannya. Karena administrator data lake menjalankan alur kerja ini, Anda harus memberikan `SELECT` kepada analis data.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.

1. Pilih **Hibah**, dan di kotak dialog **Hibah izin data**, lakukan hal berikut:

   1. Di bawah **Prinsipal**, untuk **pengguna dan peran IAM**, pilih. `datalake_user`

   1. Di bawah **LF-tag atau sumber katalog**, pilih Sumber daya **katalog data bernama**.

   1. Untuk **Database**, pilih`lakeformation_tutorial`.

      Daftar **Tabel** terisi.

   1. Untuk **Tabel**, pilih satu atau beberapa tabel dari sumber data Anda.

   1. Di bawah **Izin tabel dan kolom**, pilih **Pilih**.

1. Pilih**Izin**.

**Langkah selanjutnya dilakukan sebagai analis data.** 

## Langkah 11: Kueri data lake menggunakan Amazon Athena
<a name="tut-query-athena"></a>

Gunakan Amazon Athena konsol untuk menanyakan data di danau data Anda.

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home), dan masuk sebagai analis data, pengguna. `datalake_user`

1. Jika perlu, pilih **Mulai** untuk melanjutkan ke editor kueri Athena.

1. Untuk **Sumber Data**, pilih **AwsDataCatalog**.

1. Untuk **Database**, pilih`lakeformation_tutorial`.

   Daftar **Tabel** terisi.

1. Di menu pop-up di samping salah satu tabel, pilih **tabel Pratinjau**.

   Kueri berjalan dan menampilkan 10 baris data.

## Langkah 12: Kueri data di danau data menggunakan Amazon Redshift Spectrum
<a name="tut-query-redshift"></a>

Anda dapat mengatur Amazon Redshift Spectrum untuk menanyakan data yang Anda impor ke Amazon Simple Storage Service (Amazon S3) data lake. Pertama, buat peran AWS Identity and Access Management (IAM) yang digunakan untuk meluncurkan cluster Amazon Redshift dan untuk menanyakan data Amazon S3. Kemudian, berikan peran ini `Select` izin pada tabel yang ingin Anda kueri. Kemudian, berikan izin pengguna untuk menggunakan editor kueri Amazon Redshift. Terakhir, buat cluster Amazon Redshift dan jalankan kueri.

Anda membuat cluster sebagai administrator, dan kueri klaster sebagai analis data.

Untuk informasi selengkapnya tentang Amazon Redshift Spectrum, [lihat Menggunakan Amazon Redshift Spectrum untuk Menanyakan](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) Data Eksternal di Panduan Pengembang *Database Amazon Redshift*.

**Untuk mengatur izin untuk menjalankan kueri Amazon Redshift**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Masuk sebagai pengguna administrator yang Anda buat [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin) (nama pengguna`Administrator`) atau sebagai pengguna dengan kebijakan `AdministratorAccess` AWS terkelola.

1. Di panel navigasi, pilih **Kebijakan**.

   Jika ini pertama kalinya Anda memilih **Kebijakan**, akan muncul halaman **Selamat Datang di Kebijakan Terkelola**. Pilih **Memulai**.

1. Pilih **Buat kebijakan**. 

1. Pilih tab **JSON**.

1. Tempel di dokumen kebijakan JSON berikut.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:GetDataAccess",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:SearchTables",
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetPartitions",
                   "lakeformation:GetResourceLFTags",
                   "lakeformation:ListLFTags",
                   "lakeformation:GetLFTag",
                   "lakeformation:SearchTablesByLFTags",
                   "lakeformation:SearchDatabasesByLFTags"                
              ],
               "Resource": "*"
           }
       ]
   }
   ```

1. Setelah selesai, pilih **Tinjau** untuk meninjau kebijakan. Validator kebijakan melaporkan kesalahan sintaksis.

1. Pada halaman **Kebijakan tinjau**, masukkan **Nama** **RedshiftLakeFormationPolicy** untuk kebijakan yang Anda buat. Masukkan **Deskripsi** (opsional). Ulas **Ringkasan** kebijakan untuk melihat izin yang diberikan oleh kebijakan Anda. Kemudian pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda. 

1. Di panel navigasi konsol IAM, pilih **Peran**, dan lalu pilih **Buat peran**.

1. Untuk **Pilih entitas tepercaya**, pilih **AWS layanan**.

1. Pilih layanan Amazon Redshift untuk mengambil peran ini.

1. Pilih kasus penggunaan **Redshift Customizable untuk layanan** Anda. Kemudian, pilih **Selanjutnya: Izin**.

1. Cari kebijakan izin yang Anda buat`RedshiftLakeFormationPolicy`, dan pilih kotak centang di samping nama kebijakan dalam daftar.

1. Pilih **Berikutnya: Tanda**.

1. Pilih **Berikutnya: Tinjau**. 

1. Untuk **nama Peran**, masukkan nama**RedshiftLakeFormationRole**. 

1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.

1. Tinjau peran lalu pilih **Buat peran**.

**Untuk memberikan `Select` izin pada tabel yang akan ditanyakan dalam database Lake Formation**

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Masuk sebagai administrator danau data.

1. **Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**, lalu pilih Hibah.**

1. Saat diminta, berikan informasi berikut:
   + Untuk **pengguna dan peran IAM**, pilih peran IAM yang Anda buat. `RedshiftLakeFormationRole` Saat Anda menjalankan Amazon Redshift Query Editor, ia menggunakan peran IAM ini untuk izin data. 
   + Untuk **Database**, pilih`lakeformation_tutorial`.

     Daftar tabel terisi.
   + Untuk **Tabel**, pilih tabel dalam sumber data untuk kueri.
   + Pilih izin **Pilih** tabel.

1. Pilih**Izin**.

**Untuk mengatur Amazon Redshift Spectrum dan menjalankan kueri**

1. Buka konsol Amazon Redshift di. [https://console.aws.amazon.com/redshift](https://console.aws.amazon.com/redshift) Masuk sebagai pengguna`Administrator`.

1. Pilih **Buat klaster**.

1. Pada halaman **Create cluster**, masukkan `redshift-lakeformation-demo` untuk **pengenal Cluster**.

1. Untuk **tipe Node**, pilih **dc2.large**.

1. Gulir ke bawah, dan di bawah **konfigurasi Database**, masukkan atau terima parameter ini:
   + **Nama pengguna admin**: `awsuser`
   + **Kata sandi pengguna admin**: `(Choose a password)`

1. Perluas **izin Cluster**, dan untuk **peran IAM yang Tersedia, pilih**. **RedshiftLakeFormationRole** Kemudian pilih **Tambahkan peran IAM**.

1. Jika Anda harus menggunakan port yang berbeda dari nilai default 5439, di samping **Konfigurasi tambahan**, matikan opsi **Gunakan default**. Perluas bagian untuk **konfigurasi Database**, dan masukkan nomor **port Database** baru.

1. Pilih **Buat klaster**.

   Halaman **Clusters** dimuat.

1. Tunggu hingga status klaster menjadi **Tersedia**. Pilih ikon penyegaran secara berkala.

1. Berikan izin analis data untuk menjalankan kueri terhadap cluster. Untuk melakukannya, selesaikan langkah-langkah berikut.

   1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), dan masuk sebagai `Administrator` pengguna.

   1. Di panel navigasi, pilih **Pengguna**, dan lampirkan kebijakan terkelola berikut ke pengguna`datalake_user`.
      + `AmazonRedshiftQueryEditor`
      + `AmazonRedshiftReadOnlyAccess` 

1. Keluar dari konsol Amazon Redshift dan masuk kembali sebagai pengguna. `datalake_user`

1. Di bilah alat vertikal kiri, pilih ikon **EDITOR** untuk membuka editor kueri dan terhubung ke cluster. Jika kotak dialog **Connect to database** muncul, pilih nama cluster`redshift-lakeformation-demo`, dan masukkan nama database**dev**, nama pengguna**awsuser**, dan kata sandi yang Anda buat. Kemudian pilih **Connect to database**.
**catatan**  
Jika Anda tidak diminta untuk parameter koneksi dan cluster lain sudah dipilih di editor kueri, pilih **Ubah Koneksi** untuk membuka kotak dialog **Connect to database**.

1. Di kotak teks **New Query 1**, masukkan dan jalankan pernyataan berikut untuk memetakan database `lakeformation_tutorial` di Lake Formation ke nama skema Amazon Redshift: `redshift_jdbc`
**penting**  
Ganti *<account-id>* dengan nomor AWS akun yang valid, dan *<region>* dengan nama AWS Region yang valid (misalnya,`us-east-1`).

   ```
   create external schema if not exists redshift_jdbc from DATA CATALOG database 'lakeformation_tutorial' iam_role 'arn:aws:iam::<account-id>:role/RedshiftLakeFormationRole' region '<region>';
   ```

1. **Dalam daftar skema di bawah **Pilih skema, pilih redshift\$1jdbc**.**

   Daftar tabel terisi. Editor kueri hanya menampilkan tabel di mana Anda diberikan izin danau data Lake Formation.

1. Pada menu pop-up di samping nama tabel, pilih **Pratinjau data**.

   Amazon Redshift mengembalikan 10 baris pertama.

   Anda sekarang dapat menjalankan kueri terhadap tabel dan kolom yang Anda memiliki izin.

## Langkah 13: Berikan atau cabut izin Lake Formation menggunakan Amazon Redshift Spectrum
<a name="getting-started-tutorial-grant-revoke-redshift"></a>

Amazon Redshift mendukung kemampuan untuk memberikan dan mencabut izin Lake Formation pada database dan tabel menggunakan pernyataan SQL yang dimodifikasi. Pernyataan ini mirip dengan pernyataan Amazon Redshift yang ada. Untuk informasi selengkapnya, lihat [GRANT](https://docs.aws.amazon.com/redshift/latest/dg/r_GRANT.html) dan [REVOKE di Panduan](https://docs.aws.amazon.com/redshift/latest/dg/r_REVOKE.html) Pengembang *Database Amazon Redshift*. 

# Menyiapkan izin untuk format penyimpanan tabel terbuka di Lake Formation
<a name="otf-tutorial"></a>

AWS Lake Formation [mendukung pengelolaan izin akses untuk *Open Table Formats* (OTFs) seperti [Apache Iceberg, Apache](https://iceberg.apache.org/)[Hudi](https://hudi.incubator.apache.org/), dan Linux foundation Delta Lake.](https://delta.io/) Dalam tutorial ini, Anda akan belajar cara membuat Iceberg, Hudi, dan Delta Lake dengan tabel [manifes](https://docs.delta.io/latest/presto-integration.html) symlink dalam AWS Glue Data Catalog penggunaan AWS Glue, mengatur izin berbutir halus menggunakan Lake Formation, dan kueri data menggunakan Amazon Athena.

**catatan**  
AWS layanan analitik tidak mendukung semua format tabel transaksional. Untuk informasi selengkapnya, lihat [Bekerja dengan AWS layanan lain](working-with-services.md). Tutorial ini secara manual mencakup pembuatan database baru dan tabel di Katalog Data menggunakan AWS Glue pekerjaan saja.

Tutorial ini mencakup AWS CloudFormation template untuk pengaturan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda.

**Topics**
+ [Audiens yang dituju](#tut-otf-roles)
+ [Prasyarat](#tut-otf-prereqs)
+ [Langkah 1: Menyediakan sumber daya Anda](#set-up-otf-resources)
+ [Langkah 2: Siapkan izin untuk tabel Iceberg](#set-up-iceberg-table)
+ [Langkah 3: Siapkan izin untuk tabel Hudi](#set-up-hudi-table)
+ [Langkah 4: Siapkan izin untuk tabel Delta Lake](#set-up-delta-table)
+ [Langkah 5: Bersihkan AWS sumber daya](#otf-tut-clean-up)

## Audiens yang dituju
<a name="tut-otf-roles"></a>

Tutorial ini ditujukan untuk administrator IAM, administrator data lake, dan analis bisnis. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini untuk membuat tabel yang diatur menggunakan Lake Formation.


| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Pengguna yang dapat membuat pengguna dan peran IAM dan bucket Amazon S3. Memiliki kebijakan yang AdministratorAccess AWS dikelola. | 
| Administrator danau data | Pengguna yang dapat mengakses Katalog Data, membuat database, dan memberikan izin Lake Formation kepada pengguna lain. Memiliki izin IAM lebih sedikit daripada administrator IAM, tetapi cukup untuk mengelola data lake. | 
| Analis bisnis | Pengguna yang dapat menjalankan kueri terhadap data lake. Memiliki izin untuk menjalankan kueri. | 

## Prasyarat
<a name="tut-otf-prereqs"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda masuk sebagai pengguna dengan izin yang benar. Untuk informasi selengkapnya, lihat [Mendaftar untuk Akun AWS](getting-started-setup.md#sign-up-for-aws) dan [Buat pengguna dengan akses administratif](getting-started-setup.md#create-an-admin).

Tutorial mengasumsikan bahwa Anda terbiasa dengan peran dan kebijakan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

 Anda perlu mengatur AWS sumber daya berikut untuk menyelesaikan tutorial ini:
+ Pengguna administrator danau data
+ Pengaturan danau data Lake Formation
+ Mesin Amazon Athena versi 3

**Untuk membuat administrator data lake**

1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)sebagai pengguna administrator. Anda akan membuat sumber daya di Wilayah AS Timur (Virginia N.) untuk tutorial ini.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Izin, pilih Peran** **dan tugas administratif**.

1. Pilih **Pilih Administrator** di bawah **Administrator danau data**.

1.  Di jendela pop-up, **Kelola administrator danau data**, di bawah **pengguna dan peran IAM, pilih pengguna** admin **IAM**.

1. Pilih **Simpan**.

**Untuk mengaktifkan pengaturan data lake**

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Di panel navigasi, di bawah **Katalog data**, pilih **Pengaturan**. Hapus centang pada hal berikut:
   + Gunakan hanya kontrol akses IAM untuk database baru.
   + Gunakan hanya kontrol akses IAM untuk tabel baru di database baru.

1. Di bawah **Pengaturan versi Cross account**, pilih **Versi 3** sebagai versi lintas akun. 

1. Pilih **Simpan**.

**Untuk meningkatkan mesin Amazon Athena ke versi 3**

1. Buka konsol Athena di. [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)

1. Pilih **Workgroup** dan pilih workgroup utama.

1. Pastikan bahwa workgroup berada pada versi minimal 3. Jika tidak, edit workgroup, pilih **Manual** for **Upgrade query engine**, dan pilih versi 3.

1. Pilih **Simpan perubahan**.

## Langkah 1: Menyediakan sumber daya Anda
<a name="set-up-otf-resources"></a>

Bagian ini menunjukkan kepada Anda cara mengatur AWS sumber daya menggunakan CloudFormation templat.

**Untuk membuat sumber daya Anda menggunakan CloudFormation template**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) sebagai administrator IAM di Wilayah AS Timur (Virginia Utara).

1. Pilih [Launch Stack](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://lf-public.s3.amazonaws.com/cfn/lfotfsetup.template).

1. Pilih **Berikutnya** di layar **Buat tumpukan**.

1. Masukkan **Nama tumpukan**.

1. Pilih **Berikutnya**.

1. Di halaman berikutnya, pilih **Berikutnya**.

1. Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1. Pilih **Buat**.

   Pembuatan tumpukan bisa memakan waktu hingga dua menit.

Meluncurkan tumpukan formasi cloud menciptakan sumber daya berikut:
+ lf-otf-datalake-123456789012 - Bucket Amazon S3 untuk menyimpan data
**catatan**  
Id akun yang ditambahkan ke nama bucket Amazon S3 diganti dengan id akun Anda.
+ lf-otf-tutorial-123456789012 — Amazon S3 bucket untuk menyimpan hasil kueri dan skrip pekerjaan AWS Glue 
+ lficebergdb - Database Gunung Es AWS Glue 
+ lfhudidb — Database Hudi AWS Glue 
+ lfdeltadb - Database Delta AWS Glue 
+ native-iceberg-create — AWS Glue pekerjaan yang membuat tabel Gunung Es di Katalog Data
+ native-hudi-create — AWS Glue pekerjaan yang membuat tabel Hudi di Katalog Data
+ native-delta-create — AWS Glue pekerjaan yang membuat tabel Delta di Katalog Data
+ LF-OTF-GlueServiceRole — Peran IAM yang Anda berikan AWS Glue untuk menjalankan pekerjaan. Peran ini memiliki kebijakan yang diperlukan yang dilampirkan untuk mengakses sumber daya seperti Katalog Data, bucket Amazon S3, dll.
+ LF-OTF-RegisterRole — Peran IAM untuk mendaftarkan lokasi Amazon S3 dengan Lake Formation. Peran ini `LF-Data-Lake-Storage-Policy` melekat pada peran tersebut.
+ lf-consumer-analystuser — Pengguna IAM untuk menanyakan data menggunakan Athena
+ lf-consumer-analystuser-credentials — Kata sandi untuk pengguna analis data yang disimpan di AWS Secrets Manager

Setelah pembuatan tumpukan selesai, navigasikan ke tab output dan catat nilai untuk:
+ AthenaQueryResultLocation — Lokasi Amazon S3 untuk output kueri Athena
+ BusinessAnalystUserCredentials — Kata sandi untuk pengguna analis data

  Untuk mengambil nilai kata sandi:

  1. Pilih `lf-consumer-analystuser-credentials` nilainya dengan menavigasi ke konsol Secrets Manager.

  1. Di bagian **Nilai rahasia**, pilih **Ambil nilai rahasia**.

  1. Catat nilai rahasia untuk kata sandi.

## Langkah 2: Siapkan izin untuk tabel Iceberg
<a name="set-up-iceberg-table"></a>

Di bagian ini, Anda akan mempelajari cara membuat tabel Gunung Es di AWS Glue Data Catalog, mengatur izin data di AWS Lake Formation, dan kueri data menggunakan Amazon Athena.

**Untuk membuat tabel Iceberg**

Pada langkah ini, Anda akan menjalankan AWS Glue pekerjaan yang membuat tabel transaksional Iceberg di Katalog Data.

1. Buka AWS Glue konsol [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)di Wilayah AS Timur (Virginia N.) sebagai pengguna administrator danau data.

1. Pilih **pekerjaan** dari panel navigasi kiri.

1. Pilih `native-iceberg-create`.  
![\[\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/otf-glu-job-tut.png)

1. Di bawah **Tindakan**, pilih **Edit pekerjaan**.

1. Di bawah **Job details**, perluas **properti Advanced**, dan centang kotak di samping **Use AWS Glue Data Catalog as the Hive metastore** untuk menambahkan metadata tabel di. AWS Glue Data Catalog Ini menentukan AWS Glue Data Catalog sebagai metastore untuk sumber daya Katalog Data yang digunakan dalam pekerjaan dan memungkinkan izin Lake Formation diterapkan nanti pada sumber daya katalog.

1. Pilih **Simpan**.

1. Pilih **Jalankan**. Anda dapat melihat status pekerjaan saat sedang berjalan. 

   Untuk informasi selengkapnya tentang AWS Glue lowongan, lihat [Bekerja dengan pekerjaan di AWS Glue konsol](https://docs.aws.amazon.com/glue/latest/dg/console-jobs.html) di *Panduan AWS Glue Pengembang*.

    Pekerjaan ini menciptakan tabel Iceberg bernama `product` dalam database. `lficebergdb` Verifikasi tabel produk di konsol Lake Formation.

**Untuk mendaftarkan lokasi data dengan Lake Formation**

Selanjutnya, daftarkan jalur Amazon S3 sebagai lokasi danau data Anda.

1. Buka konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)sebagai pengguna administrator danau data.

1. Di panel navigasi, di bawah **Daftar dan konsumsi**, pilih Lokasi **data**.

1. Di kanan atas konsol, pilih **Daftarkan lokasi**.

1. Pada halaman **Daftar lokasi**, masukkan yang berikut ini:
   +  **Jalur Amazon S3** - Pilih **Jelajahi** dan pilih. `lf-otf-datalake-123456789012` Klik panah kanan (>) di sebelah lokasi root Amazon S3 untuk menavigasi ke lokasi. `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-iceberg` 
   + Peran **IAM - Pilih `LF-OTF-RegisterRole` sebagai peran** IAM.
   + Pilih **Daftar lokasi**.  
![\[\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/otf-register-location-tut.png)

   Untuk informasi lebih lanjut tentang mendaftarkan lokasi data dengan Lake Formation, lihat[Menambahkan lokasi Amazon S3 ke danau data Anda](register-data-lake.md).

**Untuk memberikan izin Lake Formation di tabel Gunung Es**

Pada langkah ini, kami akan memberikan izin data lake kepada pengguna analis bisnis.

1. Di bawah **Izin data lake**, pilih **Grant**.

1. Di layar **Berikan izin data**, pilih, **pengguna dan peran IAM**.

1. Pilih `lf-consumer-analystuser` dari drop down.  
![\[\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/otf-lf-perm-role-tut.png)

1. Pilih **Sumber daya katalog data bernama**.

1. Untuk **Database** pilih`lficebergdb`.

1. Untuk **Tabel**, pilih`product`.  
![\[\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/otf-db-tbl-perm-tut.png)

1. Selanjutnya, Anda dapat memberikan akses berbasis kolom dengan menentukan kolom.

   1. Di bawah **Izin tabel**, pilih **Pilih**.

   1. **Di bawah **Izin data**, pilih **Akses berbasis kolom**, pilih Sertakan kolom.**

   1. Pilih`product_name`,`price`, dan `category` kolom.

   1. Pilih**Izin**.  
![\[\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/otf-column-perm-tut.png)

**Untuk menanyakan tabel Iceberg menggunakan Athena**

 Sekarang Anda dapat mulai menanyakan tabel Iceberg yang Anda buat menggunakan Athena. Jika ini adalah pertama kalinya Anda menjalankan kueri di Athena, Anda perlu mengonfigurasi lokasi hasil kueri. Untuk informasi selengkapnya, lihat [Menentukan lokasi hasil kueri](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).

1. Keluar sebagai pengguna administrator data lake dan masuk seperti `lf-consumer-analystuser` di Wilayah AS Timur (Virginia N.) menggunakan kata sandi yang disebutkan sebelumnya dari CloudFormation output.

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).

1. Pilih **Pengaturan** dan pilih **Kelola**.

1. Di kotak **Lokasi hasil kueri**, masukkan jalur ke bucket yang Anda buat di CloudFormation output. **Salin nilai `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) dan pilih Simpan.**

1. Jalankan kueri berikut untuk melihat pratinjau 10 catatan yang disimpan dalam tabel Iceberg:

   ```
   select * from lficebergdb.product limit 10;
   ```

   *Untuk informasi selengkapnya tentang menanyakan tabel Gunung Es menggunakan Athena, lihat [Menanyakan tabel Gunung](https://docs.aws.amazon.com/athena/latest/ug/querying-iceberg-table-data.html) Es di Panduan Pengguna Amazon Athena.* 

## Langkah 3: Siapkan izin untuk tabel Hudi
<a name="set-up-hudi-table"></a>

Di bagian ini, Anda akan mempelajari cara membuat tabel Hudi di AWS Glue Data Catalog, mengatur izin data di AWS Lake Formation, dan kueri data menggunakan Amazon Athena.

**Untuk membuat tabel Hudi**

Pada langkah ini, Anda akan menjalankan AWS Glue pekerjaan yang membuat tabel transaksional Hudi di Katalog Data.

1. Masuk ke AWS Glue konsol [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)di Wilayah AS Timur (Virginia Utara)

    sebagai pengguna administrator danau data.

1. Pilih **pekerjaan** dari panel navigasi kiri.

1. Pilih `native-hudi-create`.

1. Di bawah **Tindakan**, pilih **Edit pekerjaan**.

1. Di bawah **Job details**, perluas **properti Advanced**, dan centang kotak di samping **Use AWS Glue Data Catalog as the Hive metastore** untuk menambahkan metadata tabel di. AWS Glue Data Catalog Ini menentukan AWS Glue Data Catalog sebagai metastore untuk sumber daya Katalog Data yang digunakan dalam pekerjaan dan memungkinkan izin Lake Formation diterapkan nanti pada sumber daya katalog.

1. Pilih **Simpan**.

1. Pilih **Jalankan**. Anda dapat melihat status pekerjaan saat sedang berjalan. 

   Untuk informasi selengkapnya tentang AWS Glue lowongan, lihat [Bekerja dengan pekerjaan di AWS Glue konsol](https://docs.aws.amazon.com/glue/latest/dg/console-jobs.html) di *Panduan AWS Glue Pengembang*.

    Pekerjaan ini membuat tabel Hudi (sapi) di database: lfhudidb. Verifikasi `product` tabel di konsol Lake Formation.

**Untuk mendaftarkan lokasi data dengan Lake Formation**

Selanjutnya, daftarkan jalur Amazon S3 sebagai lokasi root danau data Anda.

1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)sebagai pengguna administrator danau data.

1. Di panel navigasi, di bawah **Daftar dan konsumsi**, pilih Lokasi **data**.

1. Di kanan atas konsol, pilih **Daftarkan lokasi**.

1. Pada halaman **Daftar lokasi**, masukkan yang berikut ini:
   +  **Jalur Amazon S3** - Pilih **Jelajahi** dan pilih. `lf-otf-datalake-123456789012` Klik panah kanan (>) di sebelah lokasi root Amazon S3 untuk menavigasi ke lokasi. `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-hudi` 
   + Peran **IAM - Pilih `LF-OTF-RegisterRole` sebagai peran** IAM.
   + Pilih **Daftar lokasi**.

**Untuk memberikan izin data lake pada tabel Hudi**

Pada langkah ini, kami akan memberikan izin data lake kepada pengguna analis bisnis.

1. Di bawah **Izin data lake**, pilih **Grant**.

1. Di layar **Berikan izin data**, pilih, **pengguna dan peran IAM**.

1. `lf-consumer-analystuser`dari drop down.

1. Pilih **Sumber daya katalog data bernama**.

1. Untuk **Database** pilih`lfhudidb`.

1. Untuk **Tabel**, pilih`product`.

1. Selanjutnya, Anda dapat memberikan akses berbasis kolom dengan menentukan kolom.

   1. Di bawah **Izin tabel**, pilih **Pilih**.

   1. **Di bawah **Izin data**, pilih **Akses berbasis kolom**, pilih Sertakan kolom.**

   1. Pilih`product_name`,`price`, dan `category` kolom.

   1. Pilih**Izin**.

**Untuk menanyakan tabel Hudi menggunakan Athena**

 Sekarang mulailah menanyakan tabel Hudi yang Anda buat menggunakan Athena. Jika ini adalah pertama kalinya Anda menjalankan kueri di Athena, Anda perlu mengonfigurasi lokasi hasil kueri. Untuk informasi selengkapnya, lihat [Menentukan lokasi hasil kueri](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).

1. Keluar sebagai pengguna administrator data lake dan masuk seperti `lf-consumer-analystuser` di Wilayah AS Timur (Virginia N.) menggunakan kata sandi yang disebutkan sebelumnya dari CloudFormation output.

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).

1. Pilih **Pengaturan** dan pilih **Kelola**.

1. Di kotak **Lokasi hasil kueri**, masukkan jalur ke bucket yang Anda buat di CloudFormation output. **Salin nilai `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) dan Simpan.**

1. Jalankan kueri berikut untuk melihat pratinjau 10 catatan yang disimpan dalam tabel Hudi:

   ```
   select * from lfhudidb.product limit 10;
   ```

   *Untuk informasi selengkapnya tentang menanyakan tabel Hudi, lihat bagian [Menanyakan tabel Hudi di Panduan](https://docs.aws.amazon.com/athena/latest/ug/querying-hudi.html) Pengguna Amazon Athena.*

## Langkah 4: Siapkan izin untuk tabel Delta Lake
<a name="set-up-delta-table"></a>

Di bagian ini, Anda akan mempelajari cara membuat tabel Delta Lake dengan file manifes symlink di AWS Glue Data Catalog, mengatur izin data AWS Lake Formation dan kueri data menggunakan Amazon Athena.

**Untuk membuat tabel Delta Lake**

Pada langkah ini, Anda akan menjalankan AWS Glue pekerjaan yang membuat tabel transaksional Delta Lake di Katalog Data.

1. Masuk ke AWS Glue konsol [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/)di Wilayah AS Timur (Virginia Utara)

    sebagai pengguna administrator danau data.

1. Pilih **pekerjaan** dari panel navigasi kiri.

1. Pilih `native-delta-create`.

1. Di bawah **Tindakan**, pilih **Edit pekerjaan**.

1. Di bawah **Job details**, perluas **properti Advanced**, dan centang kotak di samping **Use AWS Glue Data Catalog as the Hive metastore** untuk menambahkan metadata tabel di. AWS Glue Data Catalog Ini menentukan AWS Glue Data Catalog sebagai metastore untuk sumber daya Katalog Data yang digunakan dalam pekerjaan dan memungkinkan izin Lake Formation diterapkan nanti pada sumber daya katalog.

1. Pilih **Simpan**.

1. Pilih **Jalankan** di bawah **Tindakan**.

    Pekerjaan ini menciptakan tabel Delta Lake bernama `product` dalam `lfdeltadb` database. Verifikasi `product` tabel di konsol Lake Formation.

**Untuk mendaftarkan lokasi data dengan Lake Formation**

Selanjutnya, daftarkan jalur Amazon S3 sebagai lokasi root danau data Anda.

1. Buka konsol Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)di pengguna administrator danau data.

1. Di panel navigasi, di bawah **Daftar dan konsumsi**, pilih Lokasi **data**.

1. Di kanan atas konsol, pilih **Daftarkan lokasi**.

1. Pada halaman **Daftar lokasi**, masukkan yang berikut ini:
   +  **Jalur Amazon S3** - Pilih **Jelajahi** dan pilih. `lf-otf-datalake-123456789012` Klik panah kanan (>) di sebelah lokasi root Amazon S3 untuk menavigasi ke lokasi. `s3/buckets/lf-otf-datalake-123456789012/transactionaldata/native-delta` 
   + Peran **IAM - Pilih `LF-OTF-RegisterRole` sebagai peran** IAM.
   + Pilih **Daftar lokasi**.

**Untuk memberikan izin data lake pada tabel Delta Lake**

Pada langkah ini, kami akan memberikan izin data lake kepada pengguna analis bisnis.

1. Di bawah **Izin data lake**, pilih **Grant**.

1. Di layar **Berikan izin data**, pilih, **pengguna dan peran IAM**.

1. `lf-consumer-analystuser`dari drop down.

1. Pilih **Sumber daya katalog data bernama**.

1. Untuk **Database** pilih`lfdeltadb`.

1. Untuk **Tabel**, pilih`product`.

1. Selanjutnya, Anda dapat memberikan akses berbasis kolom dengan menentukan kolom.

   1. Di bawah **Izin tabel**, pilih **Pilih**.

   1. **Di bawah **Izin data**, pilih **Akses berbasis kolom**, pilih Sertakan kolom.**

   1. Pilih`product_name`,`price`, dan `category` kolom.

   1. Pilih**Izin**.

**Untuk menanyakan tabel Danau Delta menggunakan Athena**

 Sekarang mulailah menanyakan tabel Delta Lake yang Anda buat menggunakan Athena. Jika ini adalah pertama kalinya Anda menjalankan kueri di Athena, Anda perlu mengonfigurasi lokasi hasil kueri. Untuk informasi selengkapnya, lihat [Menentukan lokasi hasil kueri](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location).

1. Keluar sebagai pengguna administrator data lake dan masuk seperti `BusinessAnalystUser` di Wilayah AS Timur (Virginia N.) menggunakan kata sandi yang disebutkan sebelumnya dari CloudFormation output.

1. Buka konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home).

1. Pilih **Pengaturan** dan pilih **Kelola**.

1. Di kotak **Lokasi hasil kueri**, masukkan jalur ke bucket yang Anda buat di CloudFormation output. **Salin nilai `AthenaQueryResultLocation` (s3://lf-otf-tutorial-123456789012/athena-results/) dan Simpan.**

1. Jalankan kueri berikut untuk melihat pratinjau 10 catatan yang disimpan dalam tabel Delta Lake:

   ```
   select * from lfdeltadb.product limit 10;
   ```

   *Untuk informasi selengkapnya tentang menanyakan tabel Delta Lake, lihat bagian [Menanyakan tabel Danau Delta di Panduan](https://docs.aws.amazon.com/athena/latest/ug/delta-lake-tables.html) Pengguna Amazon Athena.*

## Langkah 5: Bersihkan AWS sumber daya
<a name="otf-tut-clean-up"></a>

**Untuk membersihkan sumber daya**

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, hapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

1. Masuk ke CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) sebagai administrator IAM.

1. [Hapus tumpukan formasi cloud](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html). Tabel yang Anda buat secara otomatis dihapus dengan tumpukan.

# Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation
<a name="managing-dl-tutorial"></a>

Ribuan pelanggan sedang membangun danau data skala petabyte. AWS Banyak dari pelanggan ini menggunakan AWS Lake Formation untuk dengan mudah membangun dan berbagi data lake mereka di seluruh organisasi. Seiring bertambahnya jumlah tabel dan pengguna, pengelola data dan administrator mencari cara untuk mengelola izin di danau data dengan mudah dalam skala besar. Lake Formation Tag-based Access Control (LF-TBAC) memecahkan masalah ini dengan memungkinkan data steward untuk membuat *LF-tag* (berdasarkan klasifikasi data dan ontologi mereka) yang kemudian dapat dilampirkan ke sumber daya.

LF-TBAC adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut LF-tag. Anda dapat melampirkan LF-tag ke sumber daya Katalog Data dan prinsip Lake Formation. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation menggunakan LF-tag. Untuk informasi lebih lanjut tentang lihat,[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md). 

 Tutorial ini menunjukkan cara membuat kebijakan kontrol akses berbasis tag Lake Formation menggunakan dataset AWS publik. Selain itu, ini menunjukkan cara menanyakan tabel, database, dan kolom yang memiliki kebijakan akses berbasis tag Lake Formation yang terkait dengannya. 

Anda dapat menggunakan LF-TBAC untuk kasus penggunaan berikut:
+ Anda memiliki sejumlah besar tabel dan prinsip yang harus diberikan oleh administrator danau data
+ Anda ingin mengklasifikasikan data Anda berdasarkan ontologi dan memberikan izin berdasarkan klasifikasi
+ Administrator data lake ingin menetapkan izin secara dinamis, dengan cara yang digabungkan secara longgar

Berikut ini adalah langkah-langkah tingkat tinggi untuk mengonfigurasi izin menggunakan LF-TBAC:

1. Data steward mendefinisikan ontologi tag dengan dua LF-tag: dan. `Confidential` `Sensitive` Data dengan `Confidential=True` memiliki kontrol akses yang lebih ketat. Data dengan `Sensitive=True` membutuhkan analisis spesifik dari analis.

1. Data steward memberikan tingkat izin yang berbeda kepada insinyur data untuk membuat tabel dengan tag LF yang berbeda.

1. Insinyur data membangun dua database: `tag_database` dan. `col_tag_database` Semua tabel di `tag_database` dikonfigurasi dengan`Confidential=True`. Semua tabel di `col_tag_database` dikonfigurasi dengan`Confidential=False`. Beberapa kolom tabel di `col_tag_database` ditandai dengan `Sensitive=True` untuk kebutuhan analisis spesifik.

1. Insinyur data memberikan izin baca kepada analis untuk tabel dengan kondisi ekspresi tertentu `Confidential=True` dan`Confidential=False`,`Sensitive=True`. 

1. Dengan konfigurasi ini, analis data dapat fokus melakukan analisis dengan data yang tepat.

**Topics**
+ [Audiens yang dituju](#tut-manage-dl-roles)
+ [Prasyarat](#tut-manage-dl-prereqs)
+ [Langkah 1: Menyediakan sumber daya Anda](#tut-manage-dl-provision-resources)
+ [Langkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izin](#tut-manage-dl-register-datalocation-lftag)
+ [Langkah 3: Buat database Lake Formation](#tut-manage-dl-tbac-create-databases)
+ [Langkah 4: Berikan izin tabel](#tut-manage-dl-grant-table-permissions)
+ [Langkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izin](#tut-manage-dl-tbac-run-query)
+ [Langkah 6: Bersihkan AWS sumber daya](#tut-manage-dl-tbac-clean-up-db)

## Audiens yang dituju
<a name="tut-manage-dl-roles"></a>



Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal mengelola AWS Glue Data Catalog dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun.

Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:


| Peran | Deskripsi | 
| --- | --- | 
| Pelayan data (administrator) | lf-data-stewardPengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html)  | 
| Insinyur data |  `lf-data-engineer`pengguna memiliki akses berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html)  | 
| Analis data | lf-data-analystPengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html)  | 

## Prasyarat
<a name="tut-manage-dl-prereqs"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

## Langkah 1: Menyediakan sumber daya Anda
<a name="tut-manage-dl-provision-resources"></a>

Tutorial ini mencakup AWS CloudFormation template untuk pengaturan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda. Template membuat tiga peran berbeda (tercantum dalam[Audiens yang dituju](#tut-manage-dl-roles)) untuk melakukan latihan ini dan menyalin nyc-taxi-data kumpulan data ke bucket Amazon S3 lokal Anda.
+ Bucket Amazon S3
+ Pengaturan Lake Formation yang sesuai
+ Sumber daya Amazon EC2 yang sesuai
+ Tiga peran IAM dengan kredensil

**Buat sumber daya Anda**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://aws-bigdata-blog.s3.amazonaws.com/artifacts/lakeformationtbac/cfn/tbac_permission.json).

1.  Pilih **Berikutnya**.

1.  Di bagian **Konfigurasi Pengguna**, masukkan kata sandi untuk tiga peran:`DataStewardUserPassword`, `DataEngineerUserPassword` dan`DataAnalystUserPassword`. 

1.  Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1.  Pilih **Buat**.

   Pembuatan tumpukan bisa memakan waktu hingga lima menit.

**catatan**  
Setelah Anda menyelesaikan tutorial, Anda mungkin ingin menghapus tumpukan CloudFormation untuk menghindari terus dikenakan biaya. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.

## Langkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izin
<a name="tut-manage-dl-register-datalocation-lftag"></a>

Pada langkah ini, pengguna data steward mendefinisikan ontologi tag dengan dua LF-tag: `Confidential` dan`Sensitive`, dan memberikan prinsip-prinsip IAM tertentu kemampuan untuk melampirkan LF-tag yang baru dibuat ke sumber daya.

**Daftarkan lokasi data dan tentukan ontologi LF-tag**

1. Lakukan langkah pertama sebagai pengguna data steward (`lf-data-steward`) untuk memverifikasi data di Amazon S3 dan Katalog Data di Lake Formation.

   1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)seperti kata sandi `lf-data-steward` yang digunakan saat menerapkan CloudFormation tumpukan.

   1. Di panel navigasi, di bawah **Izin ¸ pilih Peran** **dan tugas administratif**.

   1. Pilih **Tambah** di bagian **Administrator danau data**.

   1. Pada halaman **Add administrator**, untuk **pengguna dan peran IAM**, pilih pengguna`lf-data-steward`.

   1. Pilih **Simpan** untuk ditambahkan `lf-data-steward` sebagai administrator Lake Formation.

1. Selanjutnya, perbarui pengaturan Katalog Data untuk menggunakan izin Lake Formation untuk mengontrol sumber daya katalog, bukan kontrol akses berbasis IAM.

   1. Di panel navigasi, di bawah **Administrasi**, pilih **Pengaturan Katalog Data**.

   1. Hapus centang **Gunakan hanya kontrol akses IAM untuk database baru**.

   1. Hapus centang **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**.

   1. Klik **Simpan**.

1. Selanjutnya, daftarkan lokasi data untuk data lake.

   1. Di panel navigasi, di bawah **Administrasi**, pilih **Lokasi danau data**.

   1. Pilih **Daftar lokasi**.

   1. Pada halaman **Daftar lokasi**, untuk **jalur Amazon S3, masukkan**. `s3://lf-tagbased-demo-Account-ID`

   1. Untuk **peran IAM**, biarkan nilai default apa `AWSServiceRoleForLakeFormationDataAccess` adanya.

   1. Pilih **Lake Formation** sebagai mode izin.

   1. Pilih **Daftar lokasi**.

1. Selanjutnya, buat ontologi dengan mendefinisikan LF-tag.

   1. Di bawah **Izin** di panel navigasi, pilih **LF-tag** dan izin. .

   1. Pilih **Tambahkan LF-Tag**.

   1. Untuk **Kunci**, masukkan `Confidential`.

   1. Untuk **Nilai**, tambahkan `True` dan`False`.

   1. Pilih **Tambahkan LF-Tag**.

   1. Ulangi langkah-langkah untuk membuat **LF-tag** `Sensitive` dengan nilai. `True`

   Anda telah membuat semua LF-tag yang diperlukan untuk latihan ini.

**Berikan izin kepada pengguna IAM**

1. Selanjutnya, berikan kepala sekolah IAM tertentu kemampuan untuk melampirkan tag LF yang baru dibuat ke sumber daya.

   1. Di bawah **Izin** di panel navigasi, pilih **LF-tag** dan izin.

   1. **Di bagian izin **LF-tag, pilih Hibah izin**.**

   1. Untuk **jenis Izin, pilih izin** pasangan nilai **kunci LF-tag**.

   1. Pilih **pengguna dan peran IAM**.

   1. Untuk **pengguna dan peran IAM**, cari dan pilih `lf-data-engineer` peran.

   1. Di bagian **LF-tag**, tambahkan kunci `Confidential` dengan nilai `True` dan`False`, dan `key` `Sensitive` dengan nilai. `True`

   1. Di bawah **Izin**, pilih **Jelaskan** dan **Kaitkan** untuk Izin dan **Izin** yang Dapat **Diberikan**.

   1. Pilih**Izin**.

1. Selanjutnya, berikan izin `lf-data-engineer` untuk membuat database di Katalog Data kami dan pada bucket Amazon S3 yang mendasari yang dibuat oleh. AWS CloudFormation

   1. Di bawah **Administrasi** di panel navigasi, pilih **Peran dan tugas administratif**.

   1.  Di bagian **Pembuat basis data**, pilih **Hibah**.

   1. Untuk **pengguna dan peran IAM**, pilih `lf-data-engineer` peran.

   1. Untuk **izin Katalog**, pilih **Buat database**.

   1. Pilih**Izin**.

1. Selanjutnya, berikan izin pada `(s3://lf-tagbased-demo-Account-ID)` bucket Amazon S3 kepada `lf-data-engineer` pengguna.

   1. Di panel navigasi, di bawah **Izin**, pilih Lokasi **data**.

   1. Pilih**Izin**.

   1. Pilih **Akun saya**.

   1. Untuk **pengguna dan peran IAM**, pilih `lf-data-engineer` peran.

   1. Untuk **lokasi Penyimpanan**, masukkan bucket Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID)`

   1. Pilih**Izin**.

1. **Selanjutnya, berikan `lf-data-engineer` izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag.** `Confidential=True`

   1. Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.

   1. Pilih**Izin**.

   1. Pilih **pengguna dan peran IAM**.

   1.  Pilih perannya`lf-data-engineer`.

   1. Di bagian **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.

   1. Pilih **Tambahkan pasangan nilai kunci LF-tag**.

   1.  Tambahkan kunci `Confidential` dengan nilainya`True`.

   1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan. 

   1. **Di bagian **Izin tabel**, pilih **Jelaskan**, **Pilih**, dan **Ubah** untuk izin **Tabel dan izin** yang Dapat Diberikan.** 

   1.  Pilih**Izin**.

1. Selanjutnya, berikan `lf-data-engineer` izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag. `Confidential=False`

   1. Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.

   1. Pilih**Izin**.

   1. Pilih **pengguna dan peran IAM**.

   1. Pilih perannya`lf-data-engineer`.

   1.  Pilih **Sumber daya yang cocok dengan LF-tag**.

   1. Pilih **Tambahkan LF-Tag**.

   1.  Tambahkan kunci `Confidential` dengan nilainya`False`.

   1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan.

   1. Di bagian **Tabel dan kolom izin**, jangan pilih apa pun.

   1. Pilih**Izin**.

1. Selanjutnya, kami `lf-data-engineer` memberikan izin yang dapat diberikan pada sumber daya yang terkait dengan pasangan nilai kunci **LF-tag** dan. `Confidential=False` `Sensitive=True`

   1. Di panel navigasi, di bawah **Izin, pilih Izin** **data**. 

   1. Pilih**Izin**.

   1. Pilih **pengguna dan peran IAM**.

   1. Pilih perannya`lf-data-engineer`.

   1. Di bagian **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.

   1. Pilih **Tambahkan LF-Tag**.

   1.  Tambahkan kunci `Confidential` dengan nilainya`False`.

   1. Pilih **Tambahkan pasangan nilai kunci LF-tag**.

   1. Tambahkan kunci `Sensitive` dengan nilainya`True`.

   1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan.

   1. **Di bagian **Izin tabel**, pilih **Jelaskan**, **Pilih**, dan **Ubah** untuk izin **Tabel dan izin** yang Dapat Diberikan.**

   1. Pilih**Izin**.

## Langkah 3: Buat database Lake Formation
<a name="tut-manage-dl-tbac-create-databases"></a>

Pada langkah ini, Anda membuat dua database dan melampirkan LF-tag ke database dan kolom tertentu untuk tujuan pengujian.

**Buat database dan tabel Anda untuk akses tingkat database**

1. Pertama, buat database`tag_database`, tabel`source_data`, dan lampirkan LF-tag yang sesuai.

   1. Pada konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah **Katalog Data**, pilih **Database**. 

   1. Pilih **Buat basis data**.

   1. Untuk **Nama**, masukkan `tag_database`.

   1. Untuk **Lokasi**, masukkan lokasi Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID/tag_database/)`

   1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini**.

   1. Pilih **Buat basis data**.

1. Selanjutnya, buat tabel baru di dalamnya`tag_database`.

   1. Pada halaman **Database**, pilih database`tag_database`.

   1.  Pilih **Lihat Tabel** dan klik **Buat tabel**.

   1. Untuk **Nama**, masukkan `source_data`.

   1. Untuk **Basis data**, pilih basis data `tag_database`.

   1. Untuk **format Tabel**, pilih ** AWS Glue Tabel standar**.

   1. Untuk **Data terletak di**, pilih **Jalur yang ditentukan di akun saya**.

   1. Untuk jalur Sertakan, masukkan jalur yang akan `tag_database` dibuat oleh CloudFormation template`(s3://lf-tagbased-demoAccount-ID/tag_database/)`.

   1. Untuk **format Data**, pilih **CSV**.

   1. Di bawah **Upload skema**, masukkan array JSON berikut dari struktur kolom untuk membuat skema:

      ```
       [
                     {
                          "Name": "vendorid",
                          "Type": "string"
                     },
                     {
                          "Name": "lpep_pickup_datetime",
                          "Type": "string"                    
                     },
                     {
                          "Name": "lpep_dropoff_datetime",
                          "Type": "string"  
                    
                     },
                        {
                          "Name": "store_and_fwd_flag",
                          "Type": "string"                                
                     },
                        {
                          "Name": "ratecodeid",
                          "Type": "string"                   
                          
                     },
                        {
                          "Name": "pulocationid",
                          "Type": "string"                   
                          
                     },
                     {
                          "Name": "dolocationid",
                          "Type": "string"                   
                          
                     },
                        {
                          "Name": "passenger_count",
                          "Type": "string"                   
                          
                     },
                     {
                          "Name": "trip_distance",
                          "Type": "string"                    
                          
                     }, 
                        {
                          "Name": "fare_amount",
                          "Type": "string"                   
                          
                     },
                     {
                          "Name": "extra",
                          "Type": "string"                   
                          
                     },
                        {
                          "Name": "mta_tax",
                          "Type": "string"                    
                          
                     },
                     {
                          "Name": "tip_amount",
                          "Type": "string"                   
                          
                     },
                        {
                          "Name": "tolls_amount",
                          "Type": "string"                   
                          
                     },
                     {
                          "Name": "ehail_fee",
                          "Type": "string"                    
                          
                     }, 
                     {
                          "Name": "improvement_surcharge",
                          "Type": "string"                   
                          
                     },
                     {
                          "Name": "total_amount",
                          "Type": "string"                    
                          
                     },
                     {
                          "Name": "payment_type",
                          "Type": "string"                    
                          
                     }
       ]
      ```

   1. Pilih **Unggah**. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut:  
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-manage-dl-tbac1.jpg)

   1. Pilih **Kirim**.

1. Selanjutnya, lampirkan LF-tag di tingkat database.

   1. Pada halaman **Database**, temukan dan pilih`tag_database`. 

   1. Pada menu **Tindakan**, pilih **Edit LF-tag**.

   1. Pilih **Tetapkan LF-Tag baru**.

   1. Untuk **kunci yang Ditugaskan** ¸ pilih `Confidential` LF-tag yang Anda buat sebelumnya.

   1. Untuk **Nilai**, pilih`True`.

   1. Pilih **Simpan**.

   Ini melengkapi penugasan LF-tag ke database tag\$1database.

**Buat database dan tabel Anda untuk akses tingkat kolom**

Ulangi langkah-langkah berikut untuk membuat database `col_tag_database` dan tabel`source_data_col_lvl`, dan melampirkan LF-tag pada tingkat kolom. 

1. Pada halaman **Database**, pilih **Buat database**.

1. Untuk **Nama**, masukkan `col_tag_database`.

1. Untuk **Lokasi**, masukkan lokasi Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`

1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini**.

1. Pilih **Buat basis data**.

1. Pada halaman **Database**, pilih database `(col_tag_database)` baru Anda. 

1. Pilih **Lihat tabel** dan klik **Buat tabel**.

1. Untuk **Nama**, masukkan `source_data_col_lvl`.

1. Untuk **Database**, pilih database baru Anda`(col_tag_database)`.

1. Untuk **format Tabel**, pilih ** AWS Glue Tabel standar**.

1. Untuk **Data terletak di**, pilih **Jalur yang ditentukan di akun saya**.

1. Masukkan jalur Amazon S3 untuk. `col_tag_database` `(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`

1. Untuk **format Data**, pilih`CSV`.

1. Di bawah`Upload schema`, masukkan skema JSON berikut: 

   ```
   [
                  {
                       "Name": "vendorid",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "lpep_pickup_datetime",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "lpep_dropoff_datetime",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "store_and_fwd_flag",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "ratecodeid",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "pulocationid",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "dolocationid",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "passenger_count",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "trip_distance",
                       "Type": "string"
                       
                       
                  }, 
                     {
                       "Name": "fare_amount",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "extra",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "mta_tax",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "tip_amount",
                       "Type": "string"
                       
                       
                  },
                     {
                       "Name": "tolls_amount",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "ehail_fee",
                       "Type": "string"
                       
                       
                  }, 
                  {
                       "Name": "improvement_surcharge",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "total_amount",
                       "Type": "string"
                       
                       
                  },
                  {
                       "Name": "payment_type",
                       "Type": "string"
                       
                       
                  }
   ]
   ```

1. Pilih `Upload`. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut.  
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-manage-dl-tbac2.jpg)

1. Pilih **Kirim** untuk menyelesaikan pembuatan tabel.

1. Sekarang, kaitkan `Sensitive=True` LF-tag ke kolom `vendorid` dan. `fare_amount`

   1. Pada halaman **Tabel**, pilih tabel yang Anda buat`(source_data_col_lvl)`.

   1. Pada menu **Tindakan**, pilih **Skema**.

   1. Pilih kolom `vendorid` dan pilih **Edit LF-tag**.

   1. Untuk **kunci yang Ditugaskan**, pilih **Sensitif**.

   1.  Untuk **Nilai**, pilih **Benar**.

   1. Pilih **Simpan**.

1. Selanjutnya, kaitkan `Confidential=False` LF-tag ke. `col_tag_database` Ini diperlukan `lf-data-analyst` agar dapat menggambarkan database `col_tag_database` saat masuk dari Amazon Athena.

   1. Pada halaman **Database**, temukan dan pilih`col_tag_database`.

   1. Pada menu **Tindakan**, pilih **Edit LF-tag**.

   1. Pilih **Tetapkan LF-Tag baru**.

   1. Untuk **kunci yang Ditugaskan**, pilih `Confidential` LF-tag yang Anda buat sebelumnya.

   1. Untuk **Nilai**, pilih`False`.

   1. Pilih **Simpan**.

## Langkah 4: Berikan izin tabel
<a name="tut-manage-dl-grant-table-permissions"></a>

Berikan izin kepada analis data untuk konsumsi database `tag_database` dan tabel `col_tag_database` menggunakan `Confidential` LF-tag dan. `Sensitive`

1. Ikuti langkah-langkah ini untuk memberikan izin kepada `lf-data-analyst` pengguna pada objek yang terkait dengan LF-tag `Confidential=True` (Database:TAG\$1DATABASE) untuk memiliki database dan izin pada tabel. `Describe` `Select`

   1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.

   1. Di bawah **Izin**, pilih Izin **data lake**.

   1. Pilih**Izin**.

   1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.

   1. Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.

   1. Di bawah **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.

   1. Pilih **Tambahkan LF-Tag**.

   1. Untuk **Key**, pilih`Confidential`.

   1. Untuk **Nilai**, pilih`True`.

   1. Untuk **izin Database**, pilih`Describe`.

   1. Untuk **izin Tabel**, pilih **Pilih** dan **Jelaskan**. 

   1. Pilih**Izin**.

1. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk. `Confidential=False` **LF-tag** ini digunakan untuk menggambarkan `col_tag_database` dan tabel `source_data_col_lvl` saat login dari Amazon `lf-data-analyst` Athena. 

   1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.

   1. Pada halaman **Database**, pilih database`col_tag_database`.

   1. Pilih **Action** dan **Grant**.

   1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.

   1. Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.

   1. Pilih **Sumber daya yang cocok dengan LF-tag**.

   1. Pilih **Tambahkan LF-Tag**.

   1. Untuk **Key**, pilih`Confidential`.

   1.  Untuk **Nilai** ¸ pilih`False`.

   1. Untuk **izin Database**, pilih`Describe`.

   1. Untuk **izin Tabel**, jangan pilih apa pun. 

   1. Pilih**Izin**.

1. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk dan. `Confidential=False` `Sensitive=True` Tag LF ini digunakan untuk mendeskripsikan `col_tag_database` dan tabel `source_data_col_lvl` (tingkat kolom) saat masuk sebagai dari Amazon Athena. `lf-data-analyst`

   1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.

   1. Pada halaman Database, pilih database`col_tag_database`.

   1. Pilih **Action** dan **Grant**.

   1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.

   1.  Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.

   1. Pilih **Sumber daya yang cocok dengan LF-tag**.

   1. Pilih **Tambahkan LF-Tag**.

   1. Untuk **Key**, pilih`Confidential`.

   1. Untuk **Nilai** ¸ pilih`False`.

   1. Pilih **Tambahkan LF-Tag**.

   1. Untuk **Key**, pilih`Sensitive`.

   1. Untuk **Nilai** ¸ pilih`True`.

   1. Untuk **izin Database**, pilih`Describe`.

   1. Untuk **izin Tabel**, pilih `Select` dan`Describe`.

   1. Pilih**Izin**.

## Langkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izin
<a name="tut-manage-dl-tbac-run-query"></a>

Untuk langkah ini, gunakan Amazon Athena untuk menjalankan `SELECT` kueri terhadap dua tabel. `(source_data and source_data_col_lvl)` Gunakan jalur Amazon S3 sebagai lokasi hasil kueri. `(s3://lf-tagbased-demo-Account-ID/athena-results/)`

1. Masuk ke konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)as. `lf-data-analyst`

1. Di editor kueri Athena, pilih `tag_database` di panel kiri.

1. Pilih ikon opsi menu tambahan (tiga titik vertikal) di sebelah `source_data` dan pilih **tabel Pratinjau**.

1. Pilih **Run query** (Jalankan kueri).

   Kueri harus memakan waktu beberapa menit untuk dijalankan. Query menampilkan semua kolom dalam output karena LF-tag dikaitkan pada tingkat database dan `source_data` tabel secara otomatis mewarisi `LF-tag` dari database. `tag_database`

1. Jalankan kueri lain menggunakan `col_tag_database` dan`source_data_col_lvl`.

   Query kedua mengembalikan dua kolom yang ditandai sebagai `Non-Confidential` dan`Sensitive`.

1. Anda juga dapat memeriksa untuk melihat perilaku kebijakan akses berbasis tag Lake Formation pada kolom yang Anda tidak memiliki hibah kebijakan. Ketika kolom untagged dipilih dari tabel, `source_data_col_lvl` Athena mengembalikan kesalahan. Misalnya, Anda dapat menjalankan kueri berikut untuk memilih kolom yang tidak ditandai: `geolocationid`

   ```
   SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;
   ```

## Langkah 6: Bersihkan AWS sumber daya
<a name="tut-manage-dl-tbac-clean-up-db"></a>

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

1. Masuk ke konsol Lake Formation sebagai `lf-data-engineer` dan hapus database `tag_database` dan`col_tag_database`.

1. Selanjutnya, masuk sebagai `lf-data-steward` dan bersihkan semua Izin **LF-Tag, Izin** **Data, dan Izin** **Lokasi Data** yang diberikan di atas yang diberikan dan. `lf-data-engineer` `lf-data-analyst.`

1. Masuk ke konsol Amazon S3 sebagai pemilik akun menggunakan kredenal IAM yang Anda gunakan untuk menyebarkan tumpukan. CloudFormation 

1. Hapus ember berikut:
   + lf-tagbased-demo-accesslogs-*acct-id*
   + lf-tagbased-demo-*acct-id*

1. Masuk ke CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/), dan hapus tumpukan yang Anda buat. Tunggu status tumpukan berubah menjadi`DELETE_COMPLETE`.

# Mengamankan data lake dengan kontrol akses tingkat baris
<a name="cbac-tutorial"></a>

AWS Lake Formation Izin tingkat baris memungkinkan Anda memberikan akses ke baris tertentu dalam tabel berdasarkan kepatuhan data dan kebijakan tata kelola. Jika Anda memiliki tabel besar yang menyimpan miliaran catatan, Anda memerlukan cara untuk memungkinkan pengguna dan tim yang berbeda untuk hanya mengakses data yang diizinkan untuk dilihat. Kontrol akses tingkat baris adalah cara sederhana dan berkinerja baik untuk melindungi data, sekaligus memberi pengguna akses ke data yang mereka butuhkan untuk melakukan pekerjaan mereka. Lake Formation menyediakan audit terpusat dan pelaporan kepatuhan dengan mengidentifikasi kepala sekolah mana yang mengakses data apa, kapan, dan melalui layanan mana.

Dalam tutorial ini, Anda mempelajari cara kerja kontrol akses tingkat baris di Lake Formation, dan cara mengaturnya.

Tutorial ini mencakup AWS CloudFormation template untuk mengatur sumber daya yang dibutuhkan dengan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda.

**Topics**
+ [Audiens yang dituju](#tut-cbac-roles-tutorial)
+ [Prasyarat](#tut-cbac-prereqs)
+ [Langkah 1: Menyediakan sumber daya Anda](#set-up-cbac-resources)
+ [Langkah 2: Kueri tanpa filter data](#query-without-filters)
+ [Langkah 3: Siapkan filter data dan berikan izin](#setup-data-filters)
+ [Langkah 4: Kueri dengan filter data](#query-with-filters)
+ [Langkah 5: Bersihkan AWS sumber daya](#cbac-clean-up)

## Audiens yang dituju
<a name="tut-cbac-roles-tutorial"></a>

Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Tabel berikut mencantumkan peran dan tanggung jawab pemilik data dan konsumen data.


| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Pengguna yang dapat membuat pengguna dan peran serta bucket Amazon Simple Storage Service (Amazon S3). Memiliki kebijakan yang AdministratorAccess AWS dikelola. | 
| Administrator danau data | Pengguna yang bertanggung jawab untuk menyiapkan data lake, membuat filter data, dan memberikan izin kepada analis data.  | 
| Analis data | Pengguna yang dapat menjalankan kueri terhadap data lake. Analis data yang berada di berbagai negara (untuk kasus penggunaan kami, AS dan Jepang) hanya dapat menganalisis ulasan produk untuk pelanggan yang berlokasi di negara mereka sendiri dan untuk alasan kepatuhan, seharusnya tidak dapat melihat data pelanggan yang berlokasi di negara lain. | 

## Prasyarat
<a name="tut-cbac-prereqs"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda akrab dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Ubah pengaturan Lake Formation**
**penting**  
Sebelum meluncurkan CloudFormation template, nonaktifkan opsi **Gunakan hanya kontrol akses IAM untuk database/tabel baru di Lake Formation dengan mengikuti langkah-langkah di** bawah ini:

1. Masuk ke konsol Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)di wilayah AS Timur (Virginia N.) atau wilayah AS Barat (Oregon).

1. Di bawah Katalog Data, pilih **Pengaturan**.

1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk database baru** dan **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**.

1.  Pilih **Simpan**.

## Langkah 1: Menyediakan sumber daya Anda
<a name="set-up-cbac-resources"></a>

Tutorial ini mencakup CloudFormation template untuk pengaturan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda. CloudFormation Template menghasilkan sumber daya berikut:
+ Pengguna dan kebijakan untuk:
  + DataLakeAdmin
  + DataAnalystAS
  + DataAnalystJP
+ Pengaturan dan izin danau data Lake Formation
+ Fungsi Lambda (untuk sumber daya CloudFormation khusus yang didukung Lambda) yang digunakan untuk menyalin file data sampel dari bucket Amazon S3 publik ke bucket Amazon S3
+ Bucket Amazon S3 untuk berfungsi sebagai danau data kami
+  AWS Glue Data Catalog Database, tabel, dan partisi

**Buat sumber daya Anda**

Ikuti langkah-langkah ini untuk membuat sumber daya Anda menggunakan CloudFormation template.

1. Masuk ke CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/create?templateURL=https://aws-bigdata-blog.s3.amazonaws.com/artifacts/lakeformation_row_security/lakeformation_tutorial_row_security.yaml).

1. Pilih **Berikutnya** di layar **Buat tumpukan**.

1. Masukkan **Nama tumpukan**.

1. Untuk **DatalakeAdminUserName**dan **DatalakeAdminUserPassword**, masukkan nama pengguna dan kata sandi IAM Anda untuk pengguna admin danau data.

1. Untuk **DataAnalystUsUserName**dan **DataAnalystUsUserPassword**, masukkan nama pengguna dan kata sandi untuk nama pengguna dan kata sandi yang Anda inginkan untuk pengguna analis data yang bertanggung jawab atas pasar AS.

1. Untuk **DataAnalystJpUserName**dan **DataAnalystJpUserPassword**, masukkan nama pengguna dan kata sandi untuk nama pengguna dan kata sandi yang Anda inginkan untuk pengguna analis data yang bertanggung jawab atas pasar Jepang.

1. Untuk **DataLakeBucketName**, masukkan nama bucket data Anda.

1. Untuk **DatabaseName**, dan **TableName**biarkan sebagai default.

1. Pilih **Berikutnya**

1. Di halaman berikutnya, pilih **Berikutnya**.

1. Tinjau detail di halaman akhir dan pilih **Saya akui yang CloudFormation mungkin membuat sumber daya IAM**.

1. Pilih **Buat**.

   Pembuatan tumpukan dapat memakan waktu satu menit untuk diselesaikan.

## Langkah 2: Kueri tanpa filter data
<a name="query-without-filters"></a>

Setelah Anda mengatur lingkungan, Anda dapat menanyakan tabel ulasan produk. Pertama kueri tabel tanpa kontrol akses tingkat baris untuk memastikan Anda dapat melihat data. Jika Anda menjalankan kueri di Amazon Athena untuk pertama kalinya, Anda perlu mengonfigurasi lokasi hasil kueri.

**Kueri tabel tanpa kontrol akses tingkat baris**

1. Masuk ke Athena konsol di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)sebagai `DatalakeAdmin` pengguna, dan menjalankan query berikut:

   ```
   SELECT * 
   FROM lakeformation_tutorial_row_security.amazon_reviews
   LIMIT 10
   ```

   Tangkapan layar berikut menunjukkan hasil kueri. Tabel ini hanya memiliki satu partisi`product_category=Video`, sehingga setiap rekaman adalah komentar ulasan untuk produk video.  
![\[Query results showing 10 rows of Amazon product reviews for VHS tapes with various ratings.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/cbac-tut-query-results1.jpg)

1. Selanjutnya, jalankan kueri agregasi untuk mengambil jumlah total catatan per. `marketplace`

   ```
   SELECT marketplace, count(*) as total_count
   FROM lakeformation_tutorial_row_security.amazon_reviews
   GROUP BY marketplace
   ```

   Tangkapan layar berikut menunjukkan hasil kueri. `marketplace`Kolom memiliki lima nilai yang berbeda. Pada langkah selanjutnya, Anda akan mengatur filter berbasis baris menggunakan kolom. `marketplace`  
![\[Query results showing marketplace data with total counts for FR, UK, JP, DE, and US.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/cbac-tut-query-results2.jpg)

## Langkah 3: Siapkan filter data dan berikan izin
<a name="setup-data-filters"></a>

Tutorial ini menggunakan dua analis data: satu bertanggung jawab untuk pasar AS dan satu lagi untuk pasar Jepang. Setiap analis menggunakan Athena untuk menganalisis ulasan pelanggan hanya untuk pasar spesifik mereka. Buat dua filter data yang berbeda, satu untuk analis yang bertanggung jawab atas pasar AS, dan satu lagi untuk yang bertanggung jawab atas pasar Jepang. Kemudian, berikan izin masing-masing kepada analis.

**Buat filter data dan berikan izin**

1. Buat filter untuk membatasi akses ke `US` `marketplace` data.

   1. Masuk ke konsol Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)di wilayah US East (Virginia N.) sebagai `DatalakeAdmin` pengguna.

   1. Pilih **Filter data**.

   1. Pilih **Buat filter baru**.

   1. Untuk **nama filter Data**, masukkan`amazon_reviews_US`.

   1. Untuk **database Target**, pilih database`lakeformation_tutorial_row_security`.

   1. Untuk **tabel Target**, pilih tabel`amazon_reviews`.

   1.  Untuk **akses tingkat kolom**, biarkan sebagai default.

   1. Untuk **ekspresi filter Baris**, masukkan`marketplace='US'`.

   1.  Pilih **Buat filter**.

1. Buat filter untuk membatasi akses ke `marketplace` data Jepang.

   1. Pada halaman **Filter data**, pilih **Buat filter baru**.

   1. Untuk **nama filter Data**, masukkan`amazon_reviews_JP`.

   1. Untuk **database Target**, pilih database`lakeformation_tutorial_row_security`.

   1.  Untuk **tabel Target**, pilih`table amazon_reviews`.

   1. Untuk **akses tingkat kolom**, biarkan sebagai default.

   1. Untuk ekspresi filter Baris, masukkan`marketplace='JP'`.

   1.  Pilih **Buat filter**.

1. Selanjutnya, berikan izin kepada analis data menggunakan filter data ini. Ikuti langkah-langkah berikut untuk memberikan izin kepada analis data AS (`DataAnalystUS`):

   1. Di bawah **Izin**, pilih Izin **data lake**.

   1. Di bawah **Izin data**, pilih **Hibah**. 

   1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, lalu pilih peran**. `DataAnalystUS`

   1.  Untuk **tag LF atau sumber katalog**, pilih Sumber **daya katalog data bernama**.

   1. Untuk **Database**, pilih`lakeformation_tutorial_row_security`.

   1.  Untuk **tabel-opsional, pilih**. `amazon_reviews`

   1. Untuk **filter Data — opsional** ¸ pilih`amazon_reviews_US`.

   1. Untuk **izin filter data**, pilih **Pilih**.

   1. Pilih**Izin**.

1. Ikuti langkah-langkah berikut untuk memberikan izin kepada analis data Jepang (`DataAnalystJP`):

   1. Di bawah **Izin**, pilih Izin **data lake**.

   1. Di bawah **Izin data**, pilih **Hibah**. 

   1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, lalu pilih peran**. `DataAnalystJP`

   1.  Untuk **tag LF atau sumber katalog**, pilih Sumber **daya katalog data bernama**.

   1. Untuk **Database**, pilih`lakeformation_tutorial_row_security`.

   1.  Untuk **tabel-opsional, pilih**. `amazon_reviews`

   1. Untuk **filter Data — opsional** ¸ pilih`amazon_reviews_JP`.

   1. Untuk **izin filter data**, pilih **Pilih**.

   1. Pilih**Izin**.

## Langkah 4: Kueri dengan filter data
<a name="query-with-filters"></a>

Dengan filter data yang dilampirkan pada tabel ulasan produk, jalankan beberapa kueri dan lihat bagaimana izin diberlakukan oleh Lake Formation.

1. Masuk ke konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)sebagai pengguna. `DataAnalystUS`

1. Jalankan kueri berikut untuk mengambil beberapa catatan, yang difilter berdasarkan izin tingkat baris yang kami tentukan:

   ```
   SELECT * 
   FROM lakeformation_tutorial_row_security.amazon_reviews
   LIMIT 10
   ```

   Tangkapan layar berikut menunjukkan hasil kueri.  
![\[Query results showing 10 rows of Amazon product reviews data, including marketplace, ratings, and product titles.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/cbac-tut-query-results3.png)

1. Demikian pula, jalankan kueri untuk menghitung jumlah total catatan per pasar.

   ```
   SELECT marketplace , count ( * ) as total_count
   FROM lakeformation_tutorial_row_security .amazon_reviews
   GROUP BY marketplace
   ```

   Hasil kueri hanya menunjukkan `marketplace` `US` dalam hasil. Ini karena pengguna hanya diperbolehkan untuk melihat baris di mana nilai `marketplace` kolom sama dengan`US`.

1. Beralih ke `DataAnalystJP` pengguna dan jalankan kueri yang sama.

   ```
   SELECT * 
   FROM lakeformation_tutorial_row_security.amazon_reviews
   LIMIT 10
   ```

   Hasil kueri hanya menunjukkan catatan milik `JP``marketplace`.

1. Jalankan kueri untuk menghitung jumlah total catatan per`marketplace`.

   ```
   SELECT marketplace, count(*) as total_count
   FROM lakeformation_tutorial_row_security.amazon_reviews
   GROUP BY marketplace
   ```

   Hasil kueri hanya menunjukkan baris milik `JP``marketplace`.

## Langkah 5: Bersihkan AWS sumber daya
<a name="cbac-clean-up"></a>

**Pembersihan sumber daya**

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.
+ [Hapus tumpukan formasi cloud](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).

# Berbagi data lake menggunakan kontrol akses berbasis tag Lake Formation dan sumber daya bernama
<a name="share-dl-tbac-tutorial"></a>

Tutorial ini menunjukkan bagaimana Anda dapat mengkonfigurasi AWS Lake Formation untuk aman berbagi data yang disimpan dalam data lake dengan beberapa perusahaan, organisasi, atau unit bisnis, tanpa harus menyalin seluruh database. Ada dua opsi untuk berbagi database dan tabel Anda dengan yang lain Akun AWS dengan menggunakan kontrol akses lintas akun Lake Formation:
+ **Kontrol akses berbasis tag Lake Formation (disarankan)**

  Kontrol akses berbasis tag Lake Formation adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut *LF-tag*. Untuk detail selengkapnya, lihat [Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation](managing-dl-tutorial.md).
+ **Lake Formation bernama sumber daya**

  Metode sumber daya bernama Lake Formation adalah strategi otorisasi yang mendefinisikan izin untuk sumber daya. Sumber daya termasuk database, tabel, dan kolom. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation. Untuk detail selengkapnya, lihat [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md).

  Sebaiknya gunakan sumber daya bernama jika administrator data lake lebih suka memberikan izin secara eksplisit ke sumber daya individu. Saat Anda menggunakan metode sumber daya bernama untuk memberikan izin Lake Formation pada sumber daya Katalog Data ke akun eksternal, Lake Formation menggunakan AWS Resource Access Manager (AWS RAM) untuk membagikan sumber daya.

**Topics**
+ [Audiens yang dituju](#tut-share-tbac-roles)
+ [Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen](#tut-share-tbac-LF-settings)
+ [Langkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation template](#tut-tbac-share-provision-resources)
+ [Langkah 2: Prasyarat berbagi lintas akun Lake Formation](#cross-account-share-prerequisistes)
+ [Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag](#tut-share-tbac-method)
+ [Langkah 4: Menerapkan metode sumber daya bernama](#tut-named-resource-method)
+ [Langkah 5: Bersihkan AWS sumber daya](#share-tbac-clean-up-db)

## Audiens yang dituju
<a name="tut-share-tbac-roles"></a>



Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal berbagi tabel Katalog Data dari AWS Glue dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:


| Peran | Deskripsi | 
| --- | --- | 
| DataLakeAdminProducer | Pengguna IAM admin danau data memiliki akses sebagai berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 
| DataLakeAdminConsumer |  Pengguna IAM admin danau data memiliki akses sebagai berikut:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html)  | 
| DataAnalyst |  DataAnalyst Pengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/share-dl-tbac-tutorial.html) | 

## Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen
<a name="tut-share-tbac-LF-settings"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Konfigurasikan pengaturan Katalog Data Lake Formation di akun produsen**
**catatan**  
 Dalam tutorial ini, akun yang memiliki tabel sumber disebut akun produser, dan akun yang membutuhkan akses ke tabel sumber disebut akun konsumen. 

Lake Formation menyediakan model manajemen izinnya sendiri. Untuk mempertahankan kompatibilitas mundur dengan model izin IAM, `Super` izin diberikan kepada grup `IAMAllowedPrincipals` pada semua AWS Glue Data Catalog sumber daya yang ada secara default. Selain itu, **Gunakan hanya pengaturan kontrol akses IAM** yang diaktifkan untuk sumber daya Katalog Data baru. Tutorial ini menggunakan kontrol akses berbutir halus menggunakan izin Lake Formation dan menggunakan kebijakan IAM untuk kontrol akses berbutir kasar. Lihat [Metode untuk kontrol akses berbutir halus](access-control-fine-grained.md) untuk detail. Oleh karena itu, sebelum Anda menggunakan AWS CloudFormation templat untuk pengaturan cepat, Anda perlu mengubah pengaturan Katalog Data Formasi Danau di akun produsen.
**penting**  
Pengaturan ini memengaruhi semua database dan tabel yang baru dibuat, jadi kami sangat menyarankan untuk menyelesaikan tutorial ini di akun non-produksi atau di akun baru. Juga, jika Anda menggunakan akun bersama (seperti akun pengembangan perusahaan Anda), pastikan itu tidak memengaruhi sumber daya orang lain. Jika Anda lebih suka mempertahankan pengaturan keamanan default, Anda harus menyelesaikan langkah ekstra saat berbagi sumber daya ke akun lain, di mana Anda mencabut izin **Super** default dari `IAMAllowedPrincipals` database atau tabel. Kami membahas detailnya nanti dalam tutorial ini. 

Untuk mengonfigurasi pengaturan Katalog Data Lake Formation di akun produsen, selesaikan langkah-langkah berikut:

1. Masuk ke Konsol Manajemen AWS menggunakan akun produser sebagai pengguna admin, atau sebagai pengguna dengan izin Lake Formation `PutDataLakeSettings` API.

1. Di konsol Lake Formation, di panel navigasi, di bawah **Katalog Data**, pilih **Pengaturan**.

1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk database baru** dan **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**

   Pilih **Simpan**.  
![\[Data catalog settings interface for AWS Lake Formation with permission options.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tbac-tut-settings.jpg)

   Selain itu, Anda dapat menghapus `CREATE_DATABASE` izin untuk **peran dan `IAMAllowedPrincipals` tugas Administratif**, **pembuat Database**. Hanya dengan begitu, Anda dapat mengatur siapa yang dapat membuat database baru melalui izin Lake Formation.

## Langkah 1: Menyediakan sumber daya Anda menggunakan AWS CloudFormation template
<a name="tut-tbac-share-provision-resources"></a>

 CloudFormation Template untuk akun produsen menghasilkan sumber daya berikut:
+ Bucket Amazon S3 untuk berfungsi sebagai data lake.
+ Fungsi Lambda (untuk sumber daya kustom yang didukung Lambda CloudFormation ). Kami menggunakan fungsi ini untuk menyalin file data sampel dari bucket Amazon S3 publik ke bucket Amazon S3 Anda.
+ Pengguna dan kebijakan IAM: DataLakeAdminProducer.
+ Pengaturan dan izin Lake Formation yang sesuai termasuk:
  + Mendefinisikan administrator danau data Lake Formation di akun produsen
  + Mendaftarkan bucket Amazon S3 sebagai lokasi danau data Lake Formation (akun produsen)
+  AWS Glue Data Catalog Database, tabel, dan partisi. Karena ada dua opsi untuk berbagi sumber daya Akun AWS, template ini membuat dua set database dan tabel terpisah.

 CloudFormation Template untuk akun konsumen menghasilkan sumber daya berikut:
+ Pengguna dan kebijakan IAM:
  + DataLakeAdminConsumer
  + DataAnalyst
+  AWS Glue Data Catalog Database. Database ini untuk membuat tautan sumber daya ke sumber daya bersama.

**Buat sumber daya Anda di akun produsen**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_producer.yaml).

1.  Pilih **Berikutnya**.

1. Untuk **nama Stack**, masukkan nama tumpukan, seperti`stack-producer`.

1.  Di bagian **Konfigurasi Pengguna**, masukkan nama pengguna dan kata sandi untuk `ProducerDatalakeAdminUserName` dan`ProducerDatalakeAdminUserPassword`. 

1. Untuk **DataLakeBucketName**, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

1. Untuk **DatabaseName**dan **TableName**, tinggalkan nilai default.

1. Pilih **Berikutnya**.

1. Di halaman berikutnya, pilih **Berikutnya**.

1.  Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1.  Pilih **Buat**.

   Pembuatan tumpukan bisa memakan waktu hingga satu menit.

**Buat sumber daya Anda di akun konsumen**

1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).

1. Pilih [Launch Stack](https://aws-bigdata-blog.s3.amazonaws.com/artifacts/Securely_sharing_data_across_AWS_accounts_using_AWS_Lake_Formation/lakeformation_tutorial_cross_account_consumer.yaml).

1.  Pilih **Berikutnya**.

1. Untuk **nama Stack**, masukkan nama tumpukan, seperti`stack-consumer`.

1.  Di bagian **Konfigurasi Pengguna**, masukkan nama pengguna dan kata sandi untuk `ConsumerDatalakeAdminUserName` dan`ConsumerDatalakeAdminUserPassword`. 

1. Untuk `DataAnalystUserName` dan`DataAnalystUserPassword`, masukkan nama pengguna dan kata sandi yang Anda inginkan untuk pengguna IAM analis data.

1. Untuk **DataLakeBucketName**, masukkan nama bucket danau data Anda. Nama ini harus unik secara global.

1. Untuk **DatabaseName**, tinggalkan nilai default.

1. Untuk`AthenaQueryResultS3BucketName`, masukkan nama bucket Amazon S3 yang menyimpan hasil kueri Amazon Athena. Jika Anda tidak memilikinya, [buat ember Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html).

1. Pilih **Berikutnya**.

1. Di halaman berikutnya, pilih **Berikutnya**.

1.  Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.

1.  Pilih **Buat**.

   Pembuatan tumpukan dapat memakan waktu hingga satu menit.

**catatan**  
Setelah menyelesaikan tutorial, hapus tumpukan CloudFormation untuk menghindari biaya yang dikenakan. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.

## Langkah 2: Prasyarat berbagi lintas akun Lake Formation
<a name="cross-account-share-prerequisistes"></a>

Sebelum berbagi sumber daya dengan Lake Formation, ada prasyarat untuk metode kontrol akses berbasis tag dan metode sumber daya bernama.

**Prasyarat berbagi data lintas akun kontrol akses berbasis tag lengkap**
+ Untuk informasi selengkapnya tentang persyaratan berbagi data lintas akun, lihat [Prasyarat](cross-account-prereqs.md) bagian di bagian berbagi data lintas akun.

  Untuk membagikan sumber daya Katalog Data dengan versi 3 atau lebih tinggi dari **setelan versi Cross account**, pemberi harus memiliki izin IAM yang ditentukan dalam kebijakan AWS `AWSLakeFormationCrossAccountManager` terkelola di akun Anda. 

  Jika Anda menggunakan versi 1 atau versi 2 dari **setelan versi Cross account**, sebelum Anda dapat menggunakan metode kontrol akses berbasis tag untuk memberikan akses lintas akun ke sumber daya, Anda harus menambahkan objek `JSON` izin berikut ke kebijakan sumber daya Katalog Data di akun produsen. Ini memberikan izin akun konsumen untuk mengakses Katalog Data ketika `glue:EvaluatedByLakeFormationTags` benar. Selain itu, kondisi ini menjadi benar untuk sumber daya yang Anda berikan izin menggunakan tag izin Lake Formation ke akun konsumen. Kebijakan ini diperlukan Akun AWS untuk setiap yang Anda berikan izin.

  Kebijakan berikut harus berada dalam `Statement` elemen. Kami membahas kebijakan IAM lengkap di bagian selanjutnya.

  ```
  {
      "Effect": "Allow",
      "Action": [
          "glue:*"
      ],
      "Principal": {
          "AWS": [
              "consumer-account-id"
          ]
      },
      "Resource": [
          "arn:aws:glue:region:account-id:table/*",
          "arn:aws:glue:region:account-id:database/*",
          "arn:aws:glue:region:account-id:catalog"
      ],
      "Condition": {
          "Bool": {
              "glue:EvaluatedByLakeFormationTags": true
          }
      }
  }
  ```

**Prasyarat berbagi lintas akun metode sumber daya bernama lengkap**

1. Jika tidak ada kebijakan sumber daya Katalog Data di akun Anda, hibah lintas akun Lake Formation yang Anda lakukan seperti biasa. Namun, jika kebijakan sumber daya Katalog Data ada, Anda harus menambahkan pernyataan berikut untuk mengizinkan hibah lintas akun Anda berhasil jika dibuat dengan metode sumber daya bernama. Jika Anda berencana untuk hanya menggunakan metode sumber daya bernama, atau hanya metode kontrol akses berbasis tag, Anda dapat melewati langkah ini. Dalam tutorial ini, kita mengevaluasi kedua metode, dan kita perlu menambahkan kebijakan berikut.

   Kebijakan berikut harus berada dalam `Statement` elemen. Kami membahas kebijakan IAM lengkap di bagian selanjutnya.

   ```
   {
             "Effect": "Allow",
             "Action": [
             "glue:ShareResource"
             ],
             "Principal": {
               "Service":"ram.amazonaws.com"
             },
             "Resource": [
                 "arn:aws:glue:region:account-id:table/*/*",
                 "arn:aws:glue:region:account-id:database/*",
                 "arn:aws:glue:region:account-id:catalog"
             ]
   }
   ```

1. Selanjutnya, tambahkan kebijakan AWS Glue Data Catalog sumber daya menggunakan AWS Command Line Interface (AWS CLI).

   Jika Anda memberikan izin lintas akun dengan menggunakan metode kontrol akses berbasis tag dan metode sumber daya bernama, Anda harus menetapkan `EnableHybrid` argumen ke 'true' saat menambahkan kebijakan sebelumnya. Karena opsi ini saat ini tidak didukung di konsol, dan Anda harus menggunakan `glue:PutResourcePolicy` API dan AWS CLI.

   Pertama, buat dokumen kebijakan (seperti policy.json) dan tambahkan dua kebijakan sebelumnya. Ganti *consumer-account-id* dengan Akun AWS penerima hibah, *region* dengan Wilayah Katalog Data yang berisi database dan tabel tempat Anda memberikan izin, dan *account-id* dengan ID produsen. *account ID* Akun AWS 

   Masukkan AWS CLI perintah berikut. Ganti *glue-resource-policy* dengan nilai yang benar (seperti file: //policy.json).

   ```
   aws glue put-resource-policy --policy-in-json glue-resource-policy --enable-hybrid TRUE
   ```

   Untuk informasi lebih lanjut, lihat [put-resource-policy.](https://docs.aws.amazon.com/cli/latest/reference/glue/put-resource-policy.html)

## Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag
<a name="tut-share-tbac-method"></a>

Di bagian ini, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

1.  Tentukan LF-tag.

1.  Tetapkan LF-tag ke sumber daya target.

1. Berikan izin LF-tag ke akun konsumen.

1. Berikan izin data ke akun konsumen.

1. Secara opsional, cabut izin untuk `IAMAllowedPrincipals` pada database, tabel, dan kolom.

1. Buat tautan sumber daya ke tabel bersama.

1.  Buat LF-tag dan tetapkan ke database target.

1.  Berikan izin data LF-tag ke akun konsumen.

**Mendefinisikan LF-tag**
**catatan**  
Jika Anda masuk ke akun produser Anda, keluar sebelum menyelesaikan langkah-langkah berikut.

1. Masuk ke akun produser sebagai administrator danau data di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Gunakan nomor akun produsen, nama pengguna IAM (defaultnya adalah`DatalakeAdminProducer`), dan kata sandi yang Anda tentukan selama pembuatan CloudFormation tumpukan. 

1. Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, di bawah **Izin, pilih **LF-tag** dan Izin**.

1. Pilih **Tambahkan LF-Tag**.

**Tetapkan LF-tag ke sumber daya target**

Tetapkan LF-tag ke sumber daya target dan berikan izin data ke akun lain

Sebagai administrator data lake, Anda dapat melampirkan tag ke sumber daya. Jika Anda berencana untuk menggunakan peran terpisah, Anda mungkin harus memberikan izin menjelaskan dan melampirkan ke peran terpisah.

1. Di panel navigasi, di bawah **Katalog Data**, pilih **Database**.

1. Pilih database target `(lakeformation_tutorial_cross_account_database_tbac)` dan pada menu **Tindakan**, pilih **Edit LF-tag**.

   Untuk tutorial ini, Anda menetapkan LF-tag ke database, tetapi Anda juga dapat menetapkan LF-tag ke tabel dan kolom.

1. Pilih **Tetapkan LF-Tag baru**.

1. Tambahkan kunci `Confidentiality` dan nilai`public`.

1.  Pilih **Simpan**.

**Berikan izin **LF-tag** ke akun konsumen**

Masih di akun produsen, berikan izin ke akun konsumen untuk mengakses LF-tag.

1. Di panel navigasi, di bawah **Izin, pilih **LF-tag** dan izin**.

1. **Pilih tab **LF-tag**, dan pilih **kunci** dan **nilai** LF-tag yang sedang dibagikan dengan akun konsumen (**kunci** `Confidentiality` dan nilai).** `public`

1. Pilih **Berikan izin**.

1. Untuk **jenis Izin, pilih izin** pasangan nilai **kunci LF-tag**.

1. **Untuk **Prinsipal, pilih Akun** eksternal.**

1. Masukkan **Akun AWS ID** target.

   Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, Anda harus memasukkan Akun AWS ID secara manual.

1. Di bawah **Izin**, pilih **Jelaskan**.

   Ini adalah izin yang diberikan ke akun konsumen. Izin yang dapat diberikan adalah izin yang dapat diberikan oleh akun konsumen kepada prinsipal lain.

1. Pilih**Izin**.

   Pada titik ini, administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui konsol Lake Formation akun konsumen, di bawah Izin, **LF-tag**, dan **izin**.

**Berikan izin data ke akun konsumen**

Kami sekarang akan menyediakan akses data ke akun konsumen dengan menentukan ekspresi LF-tag dan memberikan akses akun konsumen ke tabel atau database apa pun yang cocok dengan ekspresi..

1. **Di panel navigasi, di bawah Izin, **Izin** **danau data, pilih Hibah**.**

1. Untuk **Prinsipal**, pilih **Akun eksternal**, dan masukkan ID target. Akun AWS 

1. **Untuk **LF-tag atau sumber katalog**, pilih **kunci** dan **nilai** **LF-tag** yang sedang dibagikan dengan akun konsumen (**kunci** `Confidentiality` dan nilai).** `public`

1. **Untuk **Izin**, di bawah **Sumber daya yang cocok dengan LF-tag (disarankan) pilih Tambahkan LF-tag**.**

1. Pilih **kunci** dan **nilai** tag yang dibagikan dengan akun konsumen (kunci `Confidentiality` dan nilai`public`).

1. Untuk **izin Database**, pilih **Jelaskan** di bawah **Izin database** untuk memberikan izin akses di tingkat database.

1. Administrator danau data konsumen harus dapat menemukan tag kebijakan yang dibagikan melalui akun konsumen di konsol Lake Formation di, di bawah **Izin [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)**, **peran dan tugas Administratif**, **LF-tag**.

1. Pilih **Jelaskan di bawah Izin** **yang dapat diberikan sehingga akun konsumen dapat memberikan izin** tingkat database kepada penggunanya.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih **Pilih** dan **Jelaskan di bawah Izin** **yang dapat diberikan**.

1. Pilih**Izin**.

**Mencabut izin untuk `IAMAllowedPrincipals` database, tabel, dan kolom (Opsional).**

Di awal tutorial ini, Anda mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Jika Anda mengubah pengaturan Katalog Data Lake Formation, Anda dapat melewati langkah ini.

Pada langkah ini, kita perlu mencabut izin **Super** default dari `IAMAllowedPrincipals` database atau tabel. Lihat [Langkah 4: Alihkan penyimpanan data Anda ke model izin Lake Formation](upgrade-glue-lake-formation.md#upgrade-glue-lake-formation-step4) untuk detail.

Sebelum mencabut izin`IAMAllowedPrincipals`, pastikan bahwa Anda memberikan kepala sekolah IAM yang ada dengan izin yang diperlukan melalui Lake Formation. Ini termasuk tiga langkah:

1. Tambahkan izin IAM ke pengguna IAM target atau peran dengan `GetDataAccess` tindakan Lake Formation (dengan kebijakan IAM).

1.  Berikan pengguna atau peran IAM target dengan izin data Lake Formation (ubah, pilih, dan sebagainya).

1. Kemudian, cabut izin untuk. `IAMAllowedPrincipals` Jika tidak, setelah mencabut izin untuk`IAMAllowedPrincipals`, prinsipal IAM yang ada mungkin tidak lagi dapat mengakses database target atau Katalog Data.

   Pencabutan izin **Super** untuk `IAMAllowedPrincipals` diperlukan saat Anda ingin menerapkan model izin Lake Formation (bukan model kebijakan IAM) untuk mengelola akses pengguna dalam satu akun atau di antara beberapa akun menggunakan model izin Lake Formation. Anda tidak perlu mencabut izin `IAMAllowedPrincipals` untuk tabel lain di mana Anda ingin mempertahankan model kebijakan IAM tradisional.

   Pada titik ini, administrator danau data akun konsumen harus dapat menemukan database dan tabel yang dibagikan melalui akun konsumen di konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/), di bawah **Data Catalog, database**. Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:

   1. Tag kebijakan dan nilai yang benar ditetapkan ke database dan tabel target.

   1. Izin tag dan izin data yang benar ditetapkan ke akun konsumen.

   1. Cabut izin super default dari `IAMAllowedPrincipals` database atau tabel.

**Buat tautan sumber daya ke tabel bersama**

Ketika sumber daya dibagi antar akun, dan sumber daya bersama tidak dimasukkan ke dalam Katalog Data akun konsumen. Untuk membuatnya tersedia, dan menanyakan data dasar tabel bersama menggunakan layanan seperti Athena, kita perlu membuat tautan sumber daya ke tabel bersama. Tautan sumber daya adalah objek Katalog Data yang merupakan tautan ke database atau tabel lokal atau bersama. Lihat perinciannya di [Membuat tautan sumber daya](creating-resource-links.md). Dengan membuat tautan sumber daya, Anda dapat:
+ Tetapkan nama yang berbeda ke database atau tabel yang sejajar dengan kebijakan penamaan sumber daya Katalog Data Anda.
+ Gunakan layanan seperti Athena dan Redshift Spectrum untuk menanyakan database atau tabel bersama.

Untuk membuat tautan sumber daya, selesaikan langkah-langkah berikut:

1. Jika Anda masuk ke akun konsumen Anda, keluar.

1. Masuk sebagai administrator danau data akun konsumen. Gunakan ID akun konsumen, nama pengguna IAM (default DatalakeAdminConsumer) dan kata sandi yang Anda tentukan selama pembuatan CloudFormation tumpukan.

1. Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, di bawah **Katalog Data, Database, pilih database** bersama. `lakeformation_tutorial_cross_account_database_tbac`

   Jika Anda tidak melihat database, kunjungi kembali langkah-langkah sebelumnya untuk melihat apakah semuanya sudah dikonfigurasi dengan benar.

1. Pilih **Lihat Tabel**.

1. Pilih tabel bersama`amazon_reviews_table_tbac`.

1. Pada menu **Tindakan**, pilih **Buat tautan sumber daya**.

1. Untuk **nama link Resource**, masukkan nama (untuk tutorial ini,`amazon_reviews_table_tbac_resource_link`).

1. Di bawah **Database**, pilih database tempat tautan sumber daya dibuat (untuk posting ini, tumpukan CloudFormation n membuat database`lakeformation_tutorial_cross_account_database_consumer`).

1. Pilih **Buat**.

   Tautan sumber daya muncul di bawah **Katalog data**, **Tabel**.

**Buat LF-tag dan tetapkan ke database target**

Tag Lake Formation berada di Katalog Data yang sama dengan sumber daya. Ini berarti bahwa tag yang dibuat di akun produsen tidak tersedia untuk digunakan saat memberikan akses ke tautan sumber daya di akun konsumen. Anda perlu membuat satu set tag LF terpisah di akun konsumen untuk menggunakan kontrol akses berbasis tag LF saat membagikan tautan sumber daya di akun konsumen.

1. Tentukan LF-tag di akun konsumen. Untuk tutorial ini, kita menggunakan kunci `Division` dan nilai`sales`,`marketing`, dan`analyst`.

1. Tetapkan kunci `Division` dan nilai LF-tag `analyst` ke database`lakeformation_tutorial_cross_account_database_consumer`, tempat tautan sumber daya dibuat.

**Berikan izin data LF-tag kepada konsumen**

Sebagai langkah terakhir, berikan izin data LF-tag kepada konsumen.

1. **Di panel navigasi, di bawah Izin, **Izin** **danau data, pilih Hibah**.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1.  Untuk **tag LF atau sumber katalog, pilih Sumber daya** yang **cocok dengan LF-tag** (disarankan).

1. Pilih Divisi **kunci** dan analis **nilai**.

1. Untuk **izin Database**, pilih **Jelaskan di bawah Izin** **database**.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih**Izin**.

1. Ulangi langkah-langkah ini untuk pengguna`DataAnalyst`, di mana kunci LF-tag `Confidentiality` dan nilainya. `public`

   Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena di. [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:
   + Tautan sumber daya dibuat untuk tabel bersama
   + Anda memberi pengguna akses ke LF-tag yang dibagikan oleh akun produsen
   + Anda memberi pengguna akses ke LF-tag yang terkait dengan tautan sumber daya dan database tempat tautan sumber daya dibuat
   + Periksa apakah Anda menetapkan LF-tag yang benar ke tautan sumber daya, dan ke database tempat tautan sumber daya dibuat

## Langkah 4: Menerapkan metode sumber daya bernama
<a name="tut-named-resource-method"></a>

Untuk menggunakan metode sumber daya bernama, kami memandu Anda melalui langkah-langkah tingkat tinggi berikut:

1. Secara opsional, cabut izin untuk `IAMAllowedPrincipals` pada database, tabel, dan kolom.

1. Berikan izin data ke akun konsumen.

1. Terima pembagian sumber daya dari AWS Resource Access Manager.

1. Buat tautan sumber daya untuk tabel bersama.

1. Berikan izin data untuk tabel bersama kepada konsumen.

1. Berikan izin data untuk tautan sumber daya ke konsumen.

**Mencabut izin untuk `IAMAllowedPrincipals` database, tabel, dan kolom (Opsional)**
+ Di awal tutorial ini, kami mengubah pengaturan Katalog Data Lake Formation. Jika Anda melewatkan bagian itu, langkah ini diperlukan. Untuk petunjuk, lihat langkah opsional di bagian sebelumnya.

**Berikan izin data ke akun konsumen**

1. 
**catatan**  
Jika Anda masuk ke akun produser sebagai pengguna lain, keluar terlebih dahulu.

   Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan administrator danau data akun produser menggunakan Akun AWS ID, nama pengguna IAM (default adalah`DatalakeAdminProducer`), dan kata sandi yang ditentukan selama pembuatan CloudFormation tumpukan.

1. **Pada halaman **Izin**, di bawah **Izin Danau data pilih Hibah**.**

1. Di bawah **Prinsipal**, pilih **Akun eksternal**, dan masukkan satu atau lebih Akun AWS IDs atau organisasi. AWS IDs Untuk informasi lebih lanjut, lihat: [AWS Organizations](https://aws.amazon.com/organizations/).

   Organizations yang menjadi milik akun produsen dan Akun AWS dalam organisasi yang sama muncul secara otomatis. Jika tidak, masukkan ID akun atau ID organisasi secara manual.

1. Untuk **tag LF atau sumber daya katalog, pilih**. `Named data catalog resources`

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_named_resource`.

1. Pilih **Tambahkan LF-Tag**.

1. Di bawah **Tabel**, pilih **Semua tabel**.

1. Untuk **izin kolom Tabel** ¸ **pilih** Pilih, dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih **Pilih** dan **Jelaskan**, di bawah Izin yang **Dapat Diberikan**.

1. Secara opsional, untuk **izin Data**, pilih **Akses berbasis kolom sederhana** jika manajemen izin tingkat kolom diperlukan. 

1. Pilih**Izin**.

Jika Anda belum mencabut izin`IAMAllowedPrincipals`, Anda mendapatkan kesalahan gagal **izin Hibah**. Pada titik ini, Anda akan melihat tabel target yang AWS RAM dibagikan melalui akun konsumen di bawah **Izin, Izin data**.

**Terima pembagian sumber daya dari AWS RAM**
**catatan**  
Langkah ini diperlukan hanya untuk berbagi Akun AWS berbasis, bukan untuk berbagi berbasis organisasi.

1. Masuk ke AWS konsol saat [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)menggunakan administrator danau data akun konsumen menggunakan nama pengguna IAM (default adalah DatalakeAdminConsumer) dan kata sandi yang ditentukan selama pembuatan CloudFormation tumpukan.

1. Di AWS RAM konsol, di panel navigasi, di bawah **Berbagi dengan saya, Sumber daya berbagi, pilih sumber daya** Lake Formation bersama. **Status** harus **Tertunda**.

1. Pilih **Action** dan **Grant**.

1. Konfirmasikan detail sumber daya, dan pilih **Terima pembagian sumber daya**.

   Pada titik ini, administrator danau data akun konsumen harus dapat menemukan sumber daya bersama di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) di bawah **Katalog Data**, **Database**.

**Buat tautan sumber daya untuk tabel bersama**
+ Ikuti petunjuk di [Langkah 3: Terapkan berbagi lintas akun menggunakan metode kontrol akses berbasis tag](#tut-share-tbac-method) (langkah 6) untuk membuat tautan sumber daya untuk tabel bersama. Beri nama tautan sumber daya`amazon_reviews_table_named_resource_resource_link`. Buat tautan sumber daya dalam database`lakeformation_tutorial_cross_account_database_consumer`.

**Berikan izin data untuk tabel bersama kepada konsumen**

Untuk memberikan izin data untuk tabel bersama kepada konsumen, selesaikan langkah-langkah berikut:

1. **Di Lake Formationconsole ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah Izin, **izin** **danau data, pilih** Hibah.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1. Untuk **LF-tag atau sumber katalog, pilih Sumber daya** **katalog data bernama**.

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_named_resource`. Jika Anda tidak melihat database pada daftar drop-down, pilih **Muat lebih banyak**. 

1.  Di bawah **Tabel**, pilih tabel`amazon_reviews_table_named_resource`.

1. Untuk **izin Tabel dan kolom**, pilih **Pilih** dan **Jelaskan di bawah Izin** **tabel**.

1. Pilih**Izin**.

**Berikan izin data untuk tautan sumber daya ke konsumen**

Selain memberikan izin pengguna data lake untuk mengakses tabel bersama, Anda juga perlu memberikan izin pengguna data lake untuk mengakses tautan sumber daya.

1. **Di konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah **Izin, izin** **danau data**, pilih Hibah.**

1. Untuk **Prinsipal**, pilih **pengguna dan peran IAM, dan pilih pengguna**. `DataAnalyst`

1. Untuk **LF-tag atau sumber katalog, pilih Sumber daya** **katalog data bernama**.

1. Di bawah **Database**, pilih database`lakeformation_tutorial_cross_account_database_consumer`. Jika Anda tidak melihat database pada daftar drop-down, pilih **Muat lebih banyak**. 

1.  Di bawah **Tabel**, pilih tabel`amazon_reviews_table_named_resource_resource_link`.

1. Untuk **izin tautan Sumber daya**, pilih **Jelaskan di bawah Izin** **tautan sumber daya**.

1. Pilih**Izin**.

   Pada titik ini, pengguna analis data di akun konsumen harus dapat menemukan database dan tautan sumber daya, dan menanyakan tabel bersama melalui konsol Athena.

   Jika tidak, konfirmasikan apakah yang berikut ini dikonfigurasi dengan benar:
   + Tautan sumber daya dibuat untuk tabel bersama
   + Anda memberi pengguna akses ke tabel yang dibagikan oleh akun produsen
   + Anda memberi pengguna akses ke tautan sumber daya dan database tempat tautan sumber daya dibuat

## Langkah 5: Bersihkan AWS sumber daya
<a name="share-tbac-clean-up-db"></a>

Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.

1. Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan akun produser dan hapus atau ubah yang berikut ini:
   + AWS Resource Access Manager berbagi sumber daya
   + Tag Lake Formation
   + CloudFormation tumpukan
   + Pengaturan Lake Formation
   + AWS Glue Data Catalog

1. Masuk ke konsol Lake Formation saat [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)menggunakan akun konsumen dan hapus atau ubah yang berikut ini:
   + Tag Lake Formation
   + CloudFormation tumpukan

# Berbagi data lake menggunakan kontrol akses berbutir halus Lake Formation
<a name="share-dl-fgac-tutorial"></a>

Tutorial ini memberikan step-by-step petunjuk tentang bagaimana Anda dapat dengan cepat dan mudah berbagi kumpulan data menggunakan Lake Formation saat mengelola beberapa Akun AWS dengan. AWS Organizations Anda menentukan izin granular untuk mengontrol akses ke data sensitif.

Prosedur berikut juga menunjukkan bagaimana administrator data lake Akun A dapat memberikan akses halus untuk Akun B, dan bagaimana pengguna di Akun B, yang bertindak sebagai pengelola data, dapat memberikan akses halus ke tabel bersama untuk pengguna lain di akun mereka. Pengurus data dalam setiap akun dapat secara independen mendelegasikan akses ke pengguna mereka sendiri, memberikan otonomi masing-masing tim atau lini bisnis (LOB).

Kasus penggunaan mengasumsikan Anda menggunakan AWS Organizations untuk mengelola Anda Akun AWS. Pengguna Akun A dalam satu unit organisasi (OU1) memberikan akses ke pengguna Akun B di OU2. Anda dapat menggunakan pendekatan yang sama ketika tidak menggunakan Organizations, seperti ketika Anda hanya memiliki beberapa akun. Diagram berikut menggambarkan kontrol akses berbutir halus dari dataset di danau data. Data lake tersedia di Akun A. Administrator data lake Akun A menyediakan akses halus untuk Akun B. Diagram juga menunjukkan bahwa pengguna Akun B menyediakan akses tingkat kolom dari tabel data lake Akun A ke pengguna lain di Akun B.

![\[AWS Organization structure with two OUs, showing data lake access and user permissions across accounts.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-fine-grained-access1.jpg)


**Topics**
+ [Audiens yang dituju](#tut-share-fine-grained-roles)
+ [Prasyarat](#tut-share-fine-grained-prereqs)
+ [Langkah 1: Berikan akses halus ke akun lain](#tut-fgac-another-account)
+ [Langkah 2: Berikan akses halus ke pengguna di akun yang sama](#tut-fgac-same-account)

## Audiens yang dituju
<a name="tut-share-fine-grained-roles"></a>



Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:


| Peran | Deskripsi | 
| --- | --- | 
| Administrator IAM | Pengguna yang memiliki kebijakan AWS terkelola:AdministratorAccess.  | 
| Administrator danau data |  Pengguna yang memiliki kebijakan AWS terkelola: `AWSLakeFormationDataAdmin` melekat pada peran.  | 
| Analis data | Pengguna yang memiliki kebijakan AWS terkelola: AmazonAthenaFullAccess terlampir. | 

## Prasyarat
<a name="tut-share-fine-grained-prereqs"></a>

Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).

Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

**Anda memerlukan sumber daya berikut untuk tutorial ini:**
+ Dua unit organisasi:
  + OU1 — Berisi Akun A
  + OU2 — Berisi Akun B
+ Lokasi danau data Amazon S3 (bucket) di Akun A.
+ Pengguna administrator data lake di Akun A. Anda dapat membuat administrator danau data menggunakan konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)) atau `PutDataLakeSettings` pengoperasian Lake Formation API.
+ Lake Formation dikonfigurasi di Akun A, dan lokasi danau data Amazon S3 terdaftar dengan Lake Formation di Akun A.
+ Dua pengguna di Akun B dengan kebijakan terkelola IAM berikut:
  +  testuser1 - memiliki kebijakan AWS `AWSLakeFormationDataAdmin` terkelola terlampir.
  +  testuser2 - Memiliki kebijakan AWS `AmazonAthenaFullAccess` terkelola terlampir.
+ Database testdb dalam database Lake Formation untuk Akun B.

## Langkah 1: Berikan akses halus ke akun lain
<a name="tut-fgac-another-account"></a>

Pelajari cara administrator data lake Akun A menyediakan akses halus untuk Akun B.

**Berikan akses halus ke akun lain**

1. Masuk ke Konsol Manajemen AWS [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)dalam Akun A sebagai administrator danau data.

1. Buka konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), dan pilih **Memulai**.

1. di panel navigasi, pilih **Databases**.

1. Pilih **Buat database**.

1. Di bagian Detail **database**, pilih **Database**.

1. Untuk **Nama**, masukkan nama (untuk tutorial ini, kita gunakan`sampledb01`).

1. Pastikan bahwa **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** tidak dipilih. Membiarkan ini tidak dipilih memungkinkan kita untuk mengontrol akses dari Lake Formation.

1. Pilih **Buat basis data**.

1. Pada halaman **Database**, pilih database `sampledb01` Anda.

1. Pada menu **Actions**, pilih **Grant**.

1. Di bagian **Hibah izin**, pilih **Akun eksternal**.

1. Untuk Akun AWS ID atau ID AWS organisasi, masukkan ID akun untuk Akun B di OU2.

1. Untuk **Tabel**, pilih tabel yang ingin Anda akses ke Akun B (untuk posting ini, kami menggunakan tabel`acc_a_area`). Secara opsional, Anda dapat memberikan akses ke kolom dalam tabel, yang kami lakukan di posting ini.

1. Untuk **Sertakan kolom** ¸ pilih kolom yang ingin diakses Akun B (untuk posting ini, kami memberikan izin untuk mengetik, nama, dan pengidentifikasi).

1. Untuk **Kolom**, pilih **Sertakan kolom**.

1. Untuk **izin Tabel**, pilih **Pilih**.

1. **Untuk **izin yang Dapat Diberikan, pilih Pilih**.** Izin yang dapat diberikan diperlukan agar pengguna admin di Akun B dapat memberikan izin kepada pengguna lain di Akun B.

1. Pilih**Izin**.

1. Di panel navigasi, pilih **Tabel**.

1. Anda dapat melihat satu koneksi aktif di Akun AWS dan AWS organisasi dengan bagian akses.

**Buat tautan sumber daya**

Layanan terintegrasi seperti Amazon Athena tidak dapat langsung mengakses database atau tabel di seluruh akun. Oleh karena itu, Anda perlu membuat tautan sumber daya sehingga Athena dapat mengakses tautan sumber daya di akun Anda ke database dan tabel di akun lain. Buat tautan sumber daya ke tabel (`acc_a_area`) sehingga pengguna Akun B dapat melakukan kueri datanya dengan Athena.

1. Masuk ke AWS konsol [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)di Akun B sebagai`testuser1`.

1. Pada konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di panel navigasi, pilih **Tabel**. Anda akan melihat tabel yang telah disediakan akses oleh Akun A.

1. Pilih tabel `acc_a_area`.

1. Pada menu **Tindakan**, pilih **Buat tautan sumber daya**.

1. Untuk **nama link Resource**, masukkan nama (untuk tutorial ini,`acc_a_area_rl`).

1. Untuk **Database**, pilih database Anda (`testdb`).

1. Pilih **Buat**.

1. Di panel navigasi, pilih **Tabel**.

1. Pilih tabel `acc_b_area_rl`.

1. Pada menu **Tindakan**, pilih **Lihat data**.

   Anda diarahkan ke konsol Athena, di mana Anda akan melihat database dan tabel.

   Sekarang Anda dapat menjalankan kueri pada tabel untuk melihat nilai kolom yang aksesnya diberikan ke testuser1 dari Akun B.

## Langkah 2: Berikan akses halus ke pengguna di akun yang sama
<a name="tut-fgac-same-account"></a>

Bagian ini menunjukkan bagaimana pengguna di Akun B (`testuser1`), bertindak sebagai data steward, menyediakan akses halus ke pengguna lain di akun yang sama (`testuser2`) ke nama kolom dalam tabel bersama. `aac_b_area_rl`

**Berikan akses halus ke pengguna di akun yang sama**

1. Masuk ke AWS konsol [https://console.aws.amazon.com/connect/](https://console.aws.amazon.com/connect/)di Akun B sebagai`testuser1`.

1. Di konsol Lake Formation, di panel navigasi, pilih **Tabel**.

   Anda dapat memberikan izin pada tabel melalui tautan sumber dayanya. Untuk melakukannya, pada halaman **Tabel**, pilih tautan sumber daya`acc_b_area_rl`, dan pada menu **Tindakan**, pilih **Hibah sesuai target**.

1. Di bagian **Hibah izin**, pilih **Akun saya**.

1.  Untuk **pengguna dan peran IAM** ¸ pilih pengguna`testuser2`.

1. Untuk **Kolom**, pilih nama kolom.

1. Untuk **izin Tabel**, pilih **Pilih**.

1. Pilih**Izin**.

   Saat Anda membuat tautan sumber daya, hanya Anda yang dapat melihat dan mengaksesnya. Untuk mengizinkan pengguna lain di akun Anda mengakses tautan sumber daya, Anda perlu memberikan izin pada tautan sumber daya itu sendiri. Anda harus memberikan izin **DESCRIPTION** atau **DROP**. Pada **halaman Tabel**, pilih tabel Anda lagi dan pada menu **Tindakan**, pilih **Hibah**.

1. Di bagian **Hibah izin**, pilih **Akun saya**.

1. Untuk **pengguna dan peran IAM**, pilih pengguna`testuser2`.

1. Untuk **izin tautan Sumber daya** ¸ pilih **Jelaskan**.

1. Pilih**Izin**.

1. Masuk ke AWS konsol di Akun B sebagai`testuser2`.

   Pada konsol Athena ([https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)), Anda akan melihat database dan tabel. `acc_b_area_rl` Anda sekarang dapat menjalankan query pada tabel untuk melihat nilai kolom yang `testuser2` memiliki akses ke.