Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Referensi izin Lake Formation
<a name="lf-permissions-reference"></a>

Untuk melakukan AWS Lake Formation operasi, kepala sekolah memerlukan izin Lake Formation dan AWS Identity and Access Management (IAM). Anda biasanya memberikan izin IAM menggunakan kebijakan kontrol akses *berbutir kasar*, seperti yang dijelaskan dalam. [Ikhtisar izin Lake Formation](lf-permissions-overview.md) Anda dapat memberikan izin Lake Formation dengan menggunakan konsol, API, atau AWS Command Line Interface (AWS CLI). 

Untuk mempelajari cara memberikan atau mencabut izin Lake Formation, lihat dan. [Memberikan izin pada sumber daya Katalog Data](granting-catalog-permissions.md) [Memberikan izin lokasi data](granting-location-permissions.md)

**catatan**  
Contoh di bagian ini menunjukkan cara memberikan izin kepada kepala sekolah di akun yang sama. AWS Untuk contoh hibah lintas akun, lihat. [Berbagi data lintas akun di Lake Formation](cross-account-permissions.md) 

## Izin Lake Formation per jenis sumber daya
<a name="lf-resource-permissions-summary"></a>

Berikut ini adalah izin Lake Formation valid yang tersedia untuk setiap jenis sumber daya:

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/lf-permissions-reference.html)

**Topics**
+ [Izin Lake Formation per jenis sumber daya](#lf-resource-permissions-summary)
+ [Lake Formation memberikan dan mencabut perintah AWS CLI](#perm-command-format)
+ [Izin Lake Formation](#lf-permissions)

## Lake Formation memberikan dan mencabut perintah AWS CLI
<a name="perm-command-format"></a>

Setiap deskripsi izin di bagian ini mencakup contoh pemberian izin menggunakan AWS CLI perintah. Berikut ini adalah sinopsis dari Formasi dan perintah Lake. **grant-permissions** **revoke-permissions** AWS CLI 

```
grant-permissions
[--catalog-id <value>]
--principal <value>
--resource <value>
--permissions <value>
[--permissions-with-grant-option <value>]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

```
revoke-permissions
[--catalog-id <value>]
--principal <value>
--resource <value>
--permissions <value>
[--permissions-with-grant-option <value>]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

*Untuk deskripsi terperinci tentang perintah ini, lihat izin [pemberian dan pencabutan izin di Referensi [Perintah](https://docs.aws.amazon.com/cli/latest/reference/lakeformation/revoke-permissions.html)](https://docs.aws.amazon.com/cli/latest/reference/lakeformation/grant-permissions.html).AWS CLI * Bagian ini memberikan informasi tambahan tentang `--principal` opsi.

Nilai `--principal` opsi adalah salah satu dari yang berikut:
+ Nama Sumber Daya Amazon (ARN) untuk pengguna atau peran AWS Identity and Access Management (IAM)
+ ARN untuk pengguna atau grup yang mengautentikasi melalui penyedia SAFL, seperti Microsoft Active Directory Federation Service (AD FS)
+ ARN untuk pengguna atau grup Amazon Quick
+ Untuk izin lintas akun, ID AWS akun, ID organisasi, atau ID unit organisasi
+ Untuk pengguna atau grup IAM Identity Center, pengguna IAM Identity Center atau grup ARN.

Berikut ini adalah sintaks dan contoh untuk semua `--principal` jenis.

**Principal adalah pengguna IAM**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1
```

**Principal adalah peran IAM**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:role/workflowrole
```

**Principal adalah pengguna yang mengautentikasi melalui penyedia SAFL**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:user/<user-name>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:user/datalake_user1
```

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:user/athena-user@example.com
```

**Principal adalah grup yang mengautentikasi melalui penyedia SAFL**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:group/<group-name> 
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:group/data-scientists
```

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:group/my-group
```

**Principal adalah pengguna Amazon Quick Enterprise Edition**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:user/<namespace>/<user-name>
```
Untuk *<namespace>*, Anda harus menentukan `default`.
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:user/default/bi_user1
```

**Principal adalah grup Amazon Quick Enterprise Edition**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:group/<namespace>/<group-name> 
```
Untuk *<namespace>*, Anda harus menentukan `default`.
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:group/default/data_scientists
```

**Principal adalah AWS akun**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=<account-id>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=111122223333
```

**Principal adalah sebuah organisasi**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:organization/<organization-id>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl
```

**Principal adalah unit organisasi**  
Sintaksis:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:ou/<organization-id>/<organizational-unit-id>
```
Contoh:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:ou/o-abcdefghijkl/ou-ab00-cdefghij
```

**Principal adalah pengguna atau grup identitas IAM Identity Center**  
Contoh: Pengguna  

```
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserID>
```
Contoh: Grup:  

```
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::group/<GroupID>
```

**Principal adalah grup IAM - `IAMAllowedPrincipals`**  
Lake Formation menetapkan `Super` izin pada semua database dan tabel dalam Katalog Data ke grup yang dipanggil secara `IAMAllowedPrincipals` default. Jika izin grup ini ada pada database atau tabel, semua prinsipal di akun Anda akan memiliki akses ke sumber daya melalui kebijakan utama IAM untuk. AWS Glue Ini memberikan kompatibilitas mundur saat Anda mulai menggunakan izin Lake Formation untuk mengamankan sumber daya Katalog Data yang sebelumnya dilindungi oleh kebijakan IAM. AWS Glue  
Saat Anda menggunakan Lake Formation untuk mengelola izin untuk sumber daya Katalog Data Anda, Anda harus terlebih dahulu mencabut `IAMAllowedPrincipals` izin pada sumber daya, atau memilih prinsip dan sumber daya ke mode akses hibrid agar izin Lake Formation berfungsi.   
Contoh:  

```
--principal DataLakePrincipalIdentifier=IAM_Allowed_Principals
```

**Principal adalah grup IAM - `ALLIAMPrincipals`**  
Saat Anda memberikan izin untuk `ALLIAMPrincipals` mengelompokkan sumber daya Katalog Data, setiap prinsipal di akun mendapatkan akses ke sumber daya Katalog Data menggunakan izin Lake Formation dan izin IAM.  
Contoh:  

```
--principal DataLakePrincipalIdentifier=123456789012:IAMPrincipals
```

## Izin Lake Formation
<a name="lf-permissions"></a>

Bagian ini berisi izin Lake Formation yang tersedia yang dapat Anda berikan kepada kepala sekolah.

### `ALTER`
<a name="perm-alter"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| ALTER | DATABASE | glue:UpdateDatabase  | 
| ALTER | TABLE | glue:UpdateTable | 
| ALTER | LF-Tag | lakeformation:UpdateLFTag | 

Prinsipal dengan izin ini dapat mengubah metadata untuk database atau tabel di Katalog Data. Untuk tabel, Anda dapat mengubah skema kolom dan menambahkan parameter kolom. Anda tidak dapat mengubah kolom dalam data dasar yang ditunjukkan oleh tabel metadata.

Jika properti yang sedang diubah adalah lokasi Amazon Simple Storage Service (Amazon S3) terdaftar, prinsipal harus memiliki izin lokasi data di lokasi baru.

**Example**  
Contoh berikut memberikan `ALTER` izin kepada pengguna `datalake_user1` pada database `retail` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Database": {"Name":"retail"}}'
```

**Example**  
Contoh berikut memberikan `ALTER` kepada pengguna `datalake_user1` pada tabel `inventory` dalam database`retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

### `CREATE_DATABASE`
<a name="perm-create-database"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| CREATE\$1DATABASE | Katalog Data | glue:CreateDatabase | 

Prinsipal dengan izin ini dapat membuat database metadata atau tautan sumber daya di Katalog Data. Prinsipal juga dapat membuat tabel dalam database.

**Example**  
Contoh berikut memberikan `CREATE_DATABASE` kepada pengguna `datalake_user1` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```

Saat prinsipal membuat database di Katalog Data, tidak ada izin untuk data dasar yang diberikan. Izin metadata tambahan berikut diberikan (bersama dengan kemampuan untuk memberikan izin ini kepada orang lain):
+ `CREATE_TABLE`dalam database
+ `ALTER`basis data
+ `DROP`basis data

Saat membuat database, prinsipal dapat secara opsional menentukan lokasi Amazon S3. Bergantung pada apakah prinsipal memiliki izin lokasi data, `CREATE_DATABASE` izin mungkin tidak cukup untuk membuat database dalam semua kasus. Penting untuk mengingat tiga kasus berikut.


| Buat kasus penggunaan basis data | Izin diperlukan | 
| --- | --- | 
| Properti lokasi tidak ditentukan. | CREATE\$1DATABASEsudah cukup. | 
| Properti lokasi ditentukan, dan lokasi tidak dikelola oleh Lake Formation (tidak terdaftar). | CREATE\$1DATABASEsudah cukup. | 
| Properti lokasi ditentukan, dan lokasi dikelola oleh Lake Formation (terdaftar). | CREATE\$1DATABASEdiperlukan ditambah izin lokasi data pada lokasi yang ditentukan. | 

### `CREATE_TABLE`
<a name="perm-create-table"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| CREATE\$1TABLE | DATABASE | glue:CreateTable  | 

Prinsipal dengan izin ini dapat membuat tabel metadata atau tautan sumber daya di Katalog Data dalam database yang ditentukan.

**Example**  
Contoh berikut memberikan `datalake_user1` izin pengguna untuk membuat tabel dalam `retail` database di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 
 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```

Saat prinsipal membuat tabel di Katalog Data, semua izin Lake Formation pada tabel diberikan kepada kepala sekolah, dengan kemampuan untuk memberikan izin ini kepada orang lain.

**Hibah Lintas Akun**  
Jika akun pemilik database memberikan `CREATE_TABLE` akun penerima, dan pengguna di akun penerima berhasil membuat tabel di database akun pemilik, aturan berikut berlaku:
+ Administrator pengguna dan data lake di akun penerima memiliki semua izin Lake Formation di atas meja. Mereka dapat memberikan izin di atas meja ke kepala sekolah lain di akun mereka. Mereka tidak dapat memberikan izin kepada kepala sekolah di akun pemilik atau akun lainnya.
+ Administrator data lake di akun pemilik dapat memberikan izin di atas meja ke kepala sekolah lain di akun mereka.

**Izin Lokasi Data**  
Saat Anda mencoba membuat tabel yang mengarah ke lokasi Amazon S3, tergantung pada apakah Anda memiliki izin lokasi data, `CREATE_TABLE` izin tersebut mungkin tidak cukup untuk membuat tabel. Penting untuk mengingat tiga kasus berikut.


| Buat kasus penggunaan tabel | Izin diperlukan | 
| --- | --- | 
| Lokasi yang ditentukan tidak dikelola oleh Lake Formation (tidak terdaftar). | CREATE\$1TABLEsudah cukup. | 
| Lokasi yang ditentukan dikelola oleh Lake Formation (terdaftar), dan database yang berisi tidak memiliki properti lokasi atau memiliki properti lokasi yang bukan awalan Amazon S3 dari lokasi tabel. | CREATE\$1TABLEdiperlukan ditambah izin lokasi data pada lokasi yang ditentukan. | 
| Lokasi yang ditentukan dikelola oleh Lake Formation (terdaftar), dan database yang berisi memiliki properti lokasi yang menunjuk ke lokasi yang terdaftar dan merupakan awalan Amazon S3 dari lokasi tabel. | CREATE\$1TABLEsudah cukup. | 

### `DATA_LOCATION_ACCESS`
<a name="perm-location"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| DATA\$1LOCATION\$1ACCESS | Lokasi Amazon S3 | (Izin Amazon S3 di lokasi, yang harus ditentukan oleh peran yang digunakan untuk mendaftarkan lokasi.) | 

Ini adalah satu-satunya izin lokasi data. Prinsipal dengan izin ini dapat membuat database metadata atau tabel yang menunjuk ke lokasi Amazon S3 yang ditentukan. Lokasi harus didaftarkan. Kepala sekolah yang memiliki izin lokasi data di lokasi juga memiliki izin lokasi pada lokasi anak.

**Example**  
Contoh berikut memberikan izin lokasi data `s3://products/retail` ke pengguna di AWS akun `datalake_user1` 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::products/retail"}}'
```

`DATA_LOCATION_ACCESS`tidak diperlukan untuk menanyakan atau memperbarui data yang mendasarinya. Izin ini hanya berlaku untuk membuat sumber daya Katalog Data.

Untuk informasi selengkapnya tentang izin lokasi data, lihat[Underlying data access control](access-control-underlying-data.md#data-location-permissions).

### `DELETE`
<a name="perm-delete"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| DELETE | TABLE | (Tidak diperlukan izin IAM tambahan jika lokasi terdaftar.) | 

Prinsipal dengan izin ini dapat menyisipkan, memperbarui, dan membaca data yang mendasarinya di lokasi Amazon S3 yang ditentukan oleh tabel. Kepala sekolah juga dapat melihat tabel di konsol Lake Formation dan mengambil informasi tentang tabel dengan AWS Glue API.

**Example**  
Contoh berikut memberikan `DELETE` izin kepada pengguna `datalake_user1` pada tabel `inventory` dalam database `retail` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DELETE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Izin ini hanya berlaku untuk data di Amazon S3, dan bukan untuk data di penyimpanan data lain seperti Amazon Relational Database Service (Amazon RDS).

### `DESCRIBE`
<a name="perm-describe"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| DESCRIBE |  Tautan sumber daya tabel Tautan sumber daya basis data  |  `glue:GetTable` `glue:GetDatabase`  | 
| DESCRIBE | DATABASE | glue:GetDatabase | 
| DESCRIBE | TABLE | glue:GetTable | 
| DESCRIBE | LF-Tag |  `glue:GetTable` `glue:GetDatabase` `lakeformation:GetResourceLFTags` `lakeformation:ListLFTags` `lakeformation:GetLFTag` `lakeformation:SearchTablesByLFTags` `lakeformation:SearchDatabasesByLFTags`  | 

Kepala sekolah dengan izin ini dapat melihat database, tabel, atau tautan sumber daya yang ditentukan. Tidak ada izin Katalog Data lainnya yang diberikan secara implisit, dan tidak ada izin akses data yang diberikan secara implisit. Database dan tabel muncul di editor kueri layanan terintegrasi, tetapi tidak ada kueri yang dapat dibuat terhadapnya kecuali izin Lake Formation lainnya (misalnya,`SELECT`) diberikan.

Misalnya, pengguna yang memiliki `DESCRIBE` database dapat melihat database dan semua metadata database (deskripsi, lokasi, dan sebagainya). Namun, pengguna tidak dapat mengetahui tabel mana yang berisi database, dan tidak dapat menjatuhkan, mengubah, atau membuat tabel dalam database. Demikian pula, pengguna yang memiliki `DESCRIBE` tabel dapat melihat metadata tabel dan tabel (deskripsi, skema, lokasi, dan sebagainya), tetapi tidak dapat menjatuhkan, mengubah, atau menjalankan kueri terhadap tabel.

Berikut ini adalah beberapa aturan tambahan untuk`DESCRIBE`:
+ Jika pengguna memiliki izin Lake Formation lainnya pada database, tabel, atau tautan sumber daya, secara implisit `DESCRIBE` diberikan.
+ Jika pengguna hanya memiliki `SELECT` subset kolom untuk tabel (sebagian`SELECT`), pengguna dibatasi untuk hanya melihat kolom tersebut.
+ Anda tidak dapat memberikan `DESCRIBE` kepada pengguna yang memiliki pilihan sebagian pada tabel. Sebaliknya, Anda tidak dapat menentukan penyertaan kolom atau daftar pengecualian untuk tabel yang `DESCRIBE` diberikan pada.

**Example**  
Contoh berikut memberikan `DESCRIBE` izin kepada pengguna `datalake_user1` pada tautan `inventory-link` sumber daya tabel di database `retail` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
```

### `DROP`
<a name="perm-drop"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| DROP | DATABASE | glue:DeleteDatabase | 
| DROP | TABLE | glue:DeleteTable  | 
| DROP | LF-Tag | lakeformation:DeleteLFTag  | 
| DROP |  Tautan sumber daya basis data Tautan sumber daya tabel  | `glue:DeleteDatabase` `glue:DeleteTable`  | 

Prinsipal dengan izin ini dapat menjatuhkan database, tabel, atau tautan sumber daya di Katalog Data. Anda tidak dapat memberikan DROP pada database ke akun atau organisasi eksternal.

**Awas**  
Menjatuhkan database menjatuhkan semua tabel dalam database.

**Example**  
Contoh berikut memberikan `DROP` izin kepada pengguna pada database `datalake_user1` di AWS akun `retail` 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Database": {"Name":"retail"}}'
```

**Example**  
Contoh berikut memberikan `DROP` kepada pengguna `datalake_user1` pada tabel `inventory` dalam database`retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

**Example**  
Contoh berikut memberikan `DROP` kepada pengguna `datalake_user1` pada link sumber daya tabel `inventory-link` dalam database`retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
```

### `INSERT`
<a name="perm-insert"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| INSERT | TABLE | (Tidak diperlukan izin IAM tambahan jika lokasi terdaftar.) | 

Prinsipal dengan izin ini dapat menyisipkan, memperbarui, dan membaca data yang mendasarinya di lokasi Amazon S3 yang ditentukan oleh tabel. Kepala sekolah juga dapat melihat tabel di konsol Lake Formation dan mengambil informasi tentang tabel dengan AWS Glue API.

**Example**  
Contoh berikut memberikan `INSERT` izin kepada pengguna `datalake_user1` pada tabel `inventory` dalam database `retail` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "INSERT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Izin ini hanya berlaku untuk data di Amazon S3, dan bukan untuk data di penyimpanan data lain seperti Amazon RDS.

### `SELECT`
<a name="perm-select"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| SELECT |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/lf-permissions-reference.html)  | (Tidak diperlukan izin IAM tambahan jika lokasi terdaftar.) | 

Prinsipal dengan izin ini dapat melihat tabel di Katalog Data, dan dapat menanyakan data yang mendasarinya di Amazon S3 di lokasi yang ditentukan oleh tabel. Kepala sekolah dapat melihat tabel di konsol Lake Formation dan mengambil informasi tentang tabel dengan AWS Glue API. Jika pemfilteran kolom diterapkan saat izin ini diberikan, prinsipal dapat melihat metadata hanya untuk kolom yang disertakan dan hanya dapat menanyakan data dari kolom yang disertakan.

**catatan**  
Merupakan tanggung jawab layanan analitik terintegrasi untuk menerapkan pemfilteran kolom saat memproses kueri.

**Example**  
Contoh berikut memberikan `SELECT` izin kepada pengguna `datalake_user1` pada tabel `inventory` dalam database `retail` di AWS akun 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Izin ini hanya berlaku untuk data di Amazon S3, dan bukan untuk data di penyimpanan data lain seperti Amazon RDS.

Anda dapat memfilter (membatasi akses ke) kolom tertentu dengan daftar inklusi opsional atau daftar pengecualian. Daftar inklusi menentukan kolom yang dapat diakses. Daftar pengecualian menentukan kolom yang tidak dapat diakses. Dengan tidak adanya daftar inklusi atau pengecualian, semua kolom tabel dapat diakses.

Hasil `glue:GetTable` pengembalian hanya kolom yang pemanggil memiliki izin untuk melihat. Layanan terintegrasi seperti Amazon Athena dan Amazon Redshift menghormati inklusi kolom dan daftar pengecualian.

**Example**  
Contoh berikut memberikan `SELECT` kepada pengguna `datalake_user1` pada tabel `inventory` menggunakan daftar inklusi.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT"  --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnNames": ["prodcode","location","period","withdrawals"]}}'
```

**Example**  
Contoh berikutnya ini memberikan `SELECT` pada `inventory` tabel menggunakan daftar pengecualian.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT"  --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnWildcard": {"ExcludedColumnNames": ["intkey", "prodcode"]}}}'
```

Pembatasan berikut berlaku untuk `SELECT` izin:
+ Saat memberikan`SELECT`, Anda tidak dapat menyertakan opsi hibah jika pemfilteran kolom diterapkan.
+ Anda tidak dapat membatasi kontrol akses pada kolom yang merupakan kunci partisi.
+ Seorang kepala sekolah dengan `SELECT` izin pada subset kolom dalam tabel tidak dapat diberikan`ALTER`,, `DROP``DELETE`, atau `INSERT` izin pada tabel itu. Demikian pula, kepala sekolah dengan`ALTER`,`DROP`,`DELETE`, atau `INSERT` izin di atas meja tidak dapat diberikan `SELECT` izin dengan pemfilteran kolom.

`SELECT`Izin selalu muncul di halaman **izin Data** konsol Lake Formation sebagai baris terpisah. Gambar berikut ini menunjukkan bahwa `SELECT` diberikan kepada pengguna `datalake_user2` dan `datalake_user3` pada semua kolom dalam `inventory` tabel.

![\[Halaman izin data menunjukkan empat baris. Baris pertama dan ketiga mencantumkan izin Hapus dan Sisipkan dengan Tabel tipe sumber daya dengan sumber daya yang ditampilkan sebagai inventaris, dan baris kedua dan keempat mencantumkan Kolom Pilih izin dengan tipe sumber daya, dan dengan sumber daya yang ditampilkan sebagai retail.inventory.*.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/data-permissions-dialog-select-cross.png)


### `Super`
<a name="perm-super"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| Super | DATABASE | glue:\$1Database\$1  | 
| Super | TABLE | glue:\$1Table\$1, glue:\$1Partition\$1 | 

Izin ini memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database atau tabel. Anda tidak dapat memberikan `Super` pada database ke akun eksternal.

Izin ini dapat hidup berdampingan dengan izin Lake Formation lainnya. Misalnya, Anda dapat memberikan `INSERT` izin`Super`,`SELECT`, dan pada tabel metadata. Kepala sekolah kemudian dapat melakukan semua operasi yang didukung di atas meja. Saat Anda mencabut`Super`, `INSERT` izin `SELECT` dan tetap ada, dan prinsipal hanya dapat melakukan operasi pilih dan sisipkan.

Alih-alih memberikan `Super` kepada kepala sekolah individu, Anda dapat memberikannya kepada grup`IAMAllowedPrincipals`. `IAMAllowedPrincipals`Grup dibuat secara otomatis dan mencakup semua pengguna dan peran IAM yang diizinkan mengakses sumber daya Katalog Data Anda oleh kebijakan IAM Anda. Ketika `Super` diberikan kepada `IAMAllowedPrincipals` sumber daya Katalog Data, akses ke sumber daya dikendalikan secara efektif hanya oleh kebijakan IAM.

Anda dapat memiliki `Super` izin untuk secara otomatis diberikan kepada `IAMAllowedPrincipals` sumber daya katalog baru dengan memanfaatkan opsi di halaman **Pengaturan** konsol Lake Formation.

![\[Kotak dialog pengaturan katalog data memiliki subtitle “Izin default untuk database dan tabel yang baru dibuat,” dan memiliki dua kotak centang, yang dijelaskan dalam teks.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/settings-page.png)

+ `Super``IAMAllowedPrincipals`Untuk memberikan semua database baru, pilih **Gunakan hanya kontrol akses IAM untuk database baru**.
+ `Super``IAMAllowedPrincipals`Untuk memberikan semua tabel baru dalam database baru, pilih **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**.
**catatan**  
Opsi ini menyebabkan kotak centang **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini** di kotak dialog **Buat database** yang akan dipilih secara default. Itu tidak lebih dari itu. Ini adalah kotak centang di kotak dialog **Buat database** yang memungkinkan pemberian `Super` to`IAMAllowedPrincipals`.

Opsi halaman **Pengaturan** ini diaktifkan secara default. Untuk informasi selengkapnya, lihat berikut ini:
+ [Mengubah pengaturan default untuk data lake](change-settings.md)
+ [Memutakhirkan izin AWS Glue data ke model AWS Lake Formation](upgrade-glue-lake-formation.md)

### `SUPER_USER`
<a name="perm-super-user"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| Super user | Catalog | glue:GetCatalog  | 

Anda dapat memberikan `Super user` izin hanya kepada prinsipal tertentu pada katalog dalam Katalog Data default. Anda tidak dapat memberikan `Super user` izin pada katalog default atau jenis sumber daya lain seperti database dan tabel atau kepada prinsipal di akun eksternal. `Super user`Izin izin memungkinkan kepala sekolah untuk melakukan setiap operasi Lake Formation yang didukung pada database dan tabel dalam katalog yang diberikan. 

Dengan `Super user` izin, kepala sekolah (penerima hibah) dapat melakukan tindakan berikut pada sumber daya (katalog, database, dan tabel) dalam katalog:
+ `CREATE_DATABASE`, `DESCRIBE` izin pada katalog.
+ `DROP`,`ALTER`,`CREATE_TABLE`, `DESCRIBE` (efektif`SUPER`) izin pada semua database dalam katalog.
+ `DROP`,`ALTER`,`DESCRIBE`,`SELECT`,`INSERT`, `DELETE` (efektif`SUPER`) izin pada semua tabel dalam semua database dalam katalog.
+ `All`(efektif SUPER) izin pada katalog dalam katalog.
+ Grantable (kemampuan untuk memberikan izin ini kepada prinsipal lain) izin pada semua katalog, database, dan tabel dalam katalog.

Dengan `Super user` izin pada sumber daya katalog, penerima hibah tidak diizinkan untuk melakukan atau mendelegasikan `ALTER` dan `DROP` tindakan pada katalog.

### `ASSOCIATE`
<a name="perm-associate"></a>


| Izin | Diberikan pada sumber daya ini | Penerima hibah juga membutuhkan | 
| --- | --- | --- | 
| ASSOCIATE | LF-Tag |   `glue:GetDatabase` `glue:GetTable`  `lakeformation:AddLFTagsToResource"` `lakeformation:RemoveLFTagsFromResource"` `lakeformation:GetResourceLFTags` `lakeformation:ListLFTags` `lakeformation:GetLFTag` `lakeformation:SearchTablesByLFTags` `lakeformation:SearchDatabasesByLFTags`  | 

Prinsipal dengan izin ini pada LF-tag dapat menetapkan LF-tag ke sumber daya Katalog Data. Memberikan hibah `ASSOCIATE` implisit. `DESCRIBE`

**Example**  
Contoh ini memberikan `ASSOCIATE` izin kepada pengguna `datalake_user1` pada LF-tag dengan kunci. `module` Ini memberikan izin untuk melihat dan menetapkan semua nilai untuk kunci itu, seperti yang ditunjukkan oleh tanda bintang (\$1)..  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```