Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengelola data lake menggunakan kontrol akses berbasis tag Lake Formation
Ribuan pelanggan sedang membangun danau data skala petabyte. AWS Banyak dari pelanggan ini menggunakan AWS Lake Formation untuk dengan mudah membangun dan berbagi data lake mereka di seluruh organisasi. Seiring bertambahnya jumlah tabel dan pengguna, pengelola data dan administrator mencari cara untuk mengelola izin di danau data dengan mudah dalam skala besar. Lake Formation Tag-based Access Control (LF-TBAC) memecahkan masalah ini dengan memungkinkan data steward untuk membuat *LF-tag* (berdasarkan klasifikasi data dan ontologi mereka) yang kemudian dapat dilampirkan ke sumber daya.
LF-TBAC adalah strategi otorisasi yang mendefinisikan izin berdasarkan atribut. Dalam Lake Formation, atribut ini disebut LF-tag. Anda dapat melampirkan LF-tag ke sumber daya Katalog Data dan prinsip Lake Formation. Administrator data lake dapat menetapkan dan mencabut izin pada sumber daya Lake Formation menggunakan LF-tag. Untuk informasi lebih lanjut tentang lihat,[Kontrol akses berbasis tag Lake Formation](tag-based-access-control.md).
Tutorial ini menunjukkan cara membuat kebijakan kontrol akses berbasis tag Lake Formation menggunakan dataset AWS publik. Selain itu, ini menunjukkan cara menanyakan tabel, database, dan kolom yang memiliki kebijakan akses berbasis tag Lake Formation yang terkait dengannya.
Anda dapat menggunakan LF-TBAC untuk kasus penggunaan berikut:
+ Anda memiliki sejumlah besar tabel dan prinsip yang harus diberikan oleh administrator danau data
+ Anda ingin mengklasifikasikan data Anda berdasarkan ontologi dan memberikan izin berdasarkan klasifikasi
+ Administrator data lake ingin menetapkan izin secara dinamis, dengan cara yang digabungkan secara longgar
Berikut ini adalah langkah-langkah tingkat tinggi untuk mengonfigurasi izin menggunakan LF-TBAC:
1. Data steward mendefinisikan ontologi tag dengan dua LF-tag: dan. `Confidential` `Sensitive` Data dengan `Confidential=True` memiliki kontrol akses yang lebih ketat. Data dengan `Sensitive=True` membutuhkan analisis spesifik dari analis.
1. Data steward memberikan tingkat izin yang berbeda kepada insinyur data untuk membuat tabel dengan tag LF yang berbeda.
1. Insinyur data membangun dua database: `tag_database` dan. `col_tag_database` Semua tabel di `tag_database` dikonfigurasi dengan`Confidential=True`. Semua tabel di `col_tag_database` dikonfigurasi dengan`Confidential=False`. Beberapa kolom tabel di `col_tag_database` ditandai dengan `Sensitive=True` untuk kebutuhan analisis spesifik.
1. Insinyur data memberikan izin baca kepada analis untuk tabel dengan kondisi ekspresi tertentu `Confidential=True` dan`Confidential=False`,`Sensitive=True`.
1. Dengan konfigurasi ini, analis data dapat fokus melakukan analisis dengan data yang tepat.
**Topics**
+ [Audiens yang dituju](#tut-manage-dl-roles)
+ [Prasyarat](#tut-manage-dl-prereqs)
+ [Langkah 1: Menyediakan sumber daya Anda](#tut-manage-dl-provision-resources)
+ [Langkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izin](#tut-manage-dl-register-datalocation-lftag)
+ [Langkah 3: Buat database Lake Formation](#tut-manage-dl-tbac-create-databases)
+ [Langkah 4: Berikan izin tabel](#tut-manage-dl-grant-table-permissions)
+ [Langkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izin](#tut-manage-dl-tbac-run-query)
+ [Langkah 6: Bersihkan AWS sumber daya](#tut-manage-dl-tbac-clean-up-db)
## Audiens yang dituju
Tutorial ini ditujukan untuk pengelola data, insinyur data, dan analis data. Dalam hal mengelola AWS Glue Data Catalog dan mengelola izin di Lake Formation, pengelola data dalam akun penghasil memiliki kepemilikan fungsional berdasarkan fungsi yang mereka dukung, dan dapat memberikan akses ke berbagai konsumen, organisasi eksternal, dan akun.
Tabel berikut mencantumkan peran yang digunakan dalam tutorial ini:
| Peran | Deskripsi |
| --- | --- |
| Pelayan data (administrator) | lf-data-stewardPengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html) |
| Insinyur data | `lf-data-engineer`pengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html) |
| Analis data | lf-data-analystPengguna memiliki akses berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/managing-dl-tutorial.html) |
## Prasyarat
Sebelum Anda memulai tutorial ini, Anda harus memiliki Akun AWS yang dapat Anda gunakan untuk masuk sebagai pengguna administratif dengan izin yang benar. Untuk informasi selengkapnya, lihat [Selesaikan tugas AWS konfigurasi awal](getting-started-setup.md#initial-aws-signup).
Tutorial mengasumsikan bahwa Anda sudah familiar dengan IAM. Untuk informasi tentang IAM, lihat [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).
## Langkah 1: Menyediakan sumber daya Anda
Tutorial ini mencakup AWS CloudFormation template untuk pengaturan cepat. Anda dapat meninjau dan menyesuaikannya sesuai dengan kebutuhan Anda. Template membuat tiga peran berbeda (tercantum dalam[Audiens yang dituju](#tut-manage-dl-roles)) untuk melakukan latihan ini dan menyalin nyc-taxi-data kumpulan data ke bucket Amazon S3 lokal Anda.
+ Bucket Amazon S3
+ Pengaturan Lake Formation yang sesuai
+ Sumber daya Amazon EC2 yang sesuai
+ Tiga peran IAM dengan kredensil
**Buat sumber daya Anda**
1. Masuk ke AWS CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) di wilayah US East (Virginia N.).
1. Pilih [Launch Stack](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://aws-bigdata-blog.s3.amazonaws.com/artifacts/lakeformationtbac/cfn/tbac_permission.json).
1. Pilih **Berikutnya**.
1. Di bagian **Konfigurasi Pengguna**, masukkan kata sandi untuk tiga peran:`DataStewardUserPassword`, `DataEngineerUserPassword` dan`DataAnalystUserPassword`.
1. Tinjau detail di halaman akhir dan pilih **Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM**.
1. Pilih **Buat**.
Pembuatan tumpukan bisa memakan waktu hingga lima menit.
**catatan**
Setelah Anda menyelesaikan tutorial, Anda mungkin ingin menghapus tumpukan CloudFormation untuk menghindari terus dikenakan biaya. Verifikasi bahwa sumber daya berhasil dihapus dalam status acara untuk tumpukan.
## Langkah 2: Daftarkan lokasi data Anda, buat ontologi LF-tag, dan berikan izin
Pada langkah ini, pengguna data steward mendefinisikan ontologi tag dengan dua LF-tag: `Confidential` dan`Sensitive`, dan memberikan prinsip-prinsip IAM tertentu kemampuan untuk melampirkan LF-tag yang baru dibuat ke sumber daya.
**Daftarkan lokasi data dan tentukan ontologi LF-tag**
1. Lakukan langkah pertama sebagai pengguna data steward (`lf-data-steward`) untuk memverifikasi data di Amazon S3 dan Katalog Data di Lake Formation.
1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)seperti kata sandi `lf-data-steward` yang digunakan saat menerapkan CloudFormation tumpukan.
1. Di panel navigasi, di bawah **Izin ¸ pilih Peran** **dan tugas administratif**.
1. Pilih **Tambah** di bagian **Administrator danau data**.
1. Pada halaman **Add administrator**, untuk **pengguna dan peran IAM**, pilih pengguna`lf-data-steward`.
1. Pilih **Simpan** untuk ditambahkan `lf-data-steward` sebagai administrator Lake Formation.
1. Selanjutnya, perbarui pengaturan Katalog Data untuk menggunakan izin Lake Formation untuk mengontrol sumber daya katalog, bukan kontrol akses berbasis IAM.
1. Di panel navigasi, di bawah **Administrasi**, pilih **Pengaturan Katalog Data**.
1. Hapus centang **Gunakan hanya kontrol akses IAM untuk database baru**.
1. Hapus centang **Gunakan hanya kontrol akses IAM untuk tabel baru di database baru**.
1. Klik **Simpan**.
1. Selanjutnya, daftarkan lokasi data untuk data lake.
1. Di panel navigasi, di bawah **Administrasi**, pilih **Lokasi danau data**.
1. Pilih **Daftar lokasi**.
1. Pada halaman **Daftar lokasi**, untuk **jalur Amazon S3, masukkan**. `s3://lf-tagbased-demo-Account-ID`
1. Untuk **peran IAM**, biarkan nilai default apa `AWSServiceRoleForLakeFormationDataAccess` adanya.
1. Pilih **Lake Formation** sebagai mode izin.
1. Pilih **Daftar lokasi**.
1. Selanjutnya, buat ontologi dengan mendefinisikan LF-tag.
1. Di bawah **Izin** di panel navigasi, pilih **LF-tag** dan izin. .
1. Pilih **Tambahkan LF-Tag**.
1. Untuk **Kunci**, masukkan `Confidential`.
1. Untuk **Nilai**, tambahkan `True` dan`False`.
1. Pilih **Tambahkan LF-Tag**.
1. Ulangi langkah-langkah untuk membuat **LF-tag** `Sensitive` dengan nilai. `True`
Anda telah membuat semua LF-tag yang diperlukan untuk latihan ini.
**Berikan izin kepada pengguna IAM**
1. Selanjutnya, berikan kepala sekolah IAM tertentu kemampuan untuk melampirkan tag LF yang baru dibuat ke sumber daya.
1. Di bawah **Izin** di panel navigasi, pilih **LF-tag** dan izin.
1. **Di bagian izin **LF-tag, pilih Hibah izin**.**
1. Untuk **jenis Izin, pilih izin** pasangan nilai **kunci LF-tag**.
1. Pilih **pengguna dan peran IAM**.
1. Untuk **pengguna dan peran IAM**, cari dan pilih `lf-data-engineer` peran.
1. Di bagian **LF-tag**, tambahkan kunci `Confidential` dengan nilai `True` dan`False`, dan `key` `Sensitive` dengan nilai. `True`
1. Di bawah **Izin**, pilih **Jelaskan** dan **Kaitkan** untuk Izin dan **Izin** yang Dapat **Diberikan**.
1. Pilih**Izin**.
1. Selanjutnya, berikan izin `lf-data-engineer` untuk membuat database di Katalog Data kami dan pada bucket Amazon S3 yang mendasari yang dibuat oleh. AWS CloudFormation
1. Di bawah **Administrasi** di panel navigasi, pilih **Peran dan tugas administratif**.
1. Di bagian **Pembuat basis data**, pilih **Hibah**.
1. Untuk **pengguna dan peran IAM**, pilih `lf-data-engineer` peran.
1. Untuk **izin Katalog**, pilih **Buat database**.
1. Pilih**Izin**.
1. Selanjutnya, berikan izin pada `(s3://lf-tagbased-demo-Account-ID)` bucket Amazon S3 kepada `lf-data-engineer` pengguna.
1. Di panel navigasi, di bawah **Izin**, pilih Lokasi **data**.
1. Pilih**Izin**.
1. Pilih **Akun saya**.
1. Untuk **pengguna dan peran IAM**, pilih `lf-data-engineer` peran.
1. Untuk **lokasi Penyimpanan**, masukkan bucket Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID)`
1. Pilih**Izin**.
1. **Selanjutnya, berikan `lf-data-engineer` izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag.** `Confidential=True`
1. Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.
1. Pilih**Izin**.
1. Pilih **pengguna dan peran IAM**.
1. Pilih perannya`lf-data-engineer`.
1. Di bagian **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.
1. Pilih **Tambahkan pasangan nilai kunci LF-tag**.
1. Tambahkan kunci `Confidential` dengan nilainya`True`.
1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan.
1. **Di bagian **Izin tabel**, pilih **Jelaskan**, **Pilih**, dan **Ubah** untuk izin **Tabel dan izin** yang Dapat Diberikan.**
1. Pilih**Izin**.
1. Selanjutnya, berikan `lf-data-engineer` izin yang dapat diberikan pada sumber daya yang terkait dengan ekspresi LF-tag. `Confidential=False`
1. Di panel navigasi, di bawah **Izin, pilih Izin** **danau data**.
1. Pilih**Izin**.
1. Pilih **pengguna dan peran IAM**.
1. Pilih perannya`lf-data-engineer`.
1. Pilih **Sumber daya yang cocok dengan LF-tag**.
1. Pilih **Tambahkan LF-Tag**.
1. Tambahkan kunci `Confidential` dengan nilainya`False`.
1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan.
1. Di bagian **Tabel dan kolom izin**, jangan pilih apa pun.
1. Pilih**Izin**.
1. Selanjutnya, kami `lf-data-engineer` memberikan izin yang dapat diberikan pada sumber daya yang terkait dengan pasangan nilai kunci **LF-tag** dan. `Confidential=False` `Sensitive=True`
1. Di panel navigasi, di bawah **Izin, pilih Izin** **data**.
1. Pilih**Izin**.
1. Pilih **pengguna dan peran IAM**.
1. Pilih perannya`lf-data-engineer`.
1. Di bagian **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.
1. Pilih **Tambahkan LF-Tag**.
1. Tambahkan kunci `Confidential` dengan nilainya`False`.
1. Pilih **Tambahkan pasangan nilai kunci LF-tag**.
1. Tambahkan kunci `Sensitive` dengan nilainya`True`.
1. Di bagian Izin **database, pilih **Jelaskan** untuk izin** **Database dan **izin**** yang dapat diberikan.
1. **Di bagian **Izin tabel**, pilih **Jelaskan**, **Pilih**, dan **Ubah** untuk izin **Tabel dan izin** yang Dapat Diberikan.**
1. Pilih**Izin**.
## Langkah 3: Buat database Lake Formation
Pada langkah ini, Anda membuat dua database dan melampirkan LF-tag ke database dan kolom tertentu untuk tujuan pengujian.
**Buat database dan tabel Anda untuk akses tingkat database**
1. Pertama, buat database`tag_database`, tabel`source_data`, dan lampirkan LF-tag yang sesuai.
1. Pada konsol Lake Formation ([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)), di bawah **Katalog Data**, pilih **Database**.
1. Pilih **Buat basis data**.
1. Untuk **Nama**, masukkan `tag_database`.
1. Untuk **Lokasi**, masukkan lokasi Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID/tag_database/)`
1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini**.
1. Pilih **Buat basis data**.
1. Selanjutnya, buat tabel baru di dalamnya`tag_database`.
1. Pada halaman **Database**, pilih database`tag_database`.
1. Pilih **Lihat Tabel** dan klik **Buat tabel**.
1. Untuk **Nama**, masukkan `source_data`.
1. Untuk **Basis data**, pilih basis data `tag_database`.
1. Untuk **format Tabel**, pilih ** AWS Glue Tabel standar**.
1. Untuk **Data terletak di**, pilih **Jalur yang ditentukan di akun saya**.
1. Untuk jalur Sertakan, masukkan jalur yang akan `tag_database` dibuat oleh CloudFormation template`(s3://lf-tagbased-demoAccount-ID/tag_database/)`.
1. Untuk **format Data**, pilih **CSV**.
1. Di bawah **Upload skema**, masukkan array JSON berikut dari struktur kolom untuk membuat skema:
```
[
{
"Name": "vendorid",
"Type": "string"
},
{
"Name": "lpep_pickup_datetime",
"Type": "string"
},
{
"Name": "lpep_dropoff_datetime",
"Type": "string"
},
{
"Name": "store_and_fwd_flag",
"Type": "string"
},
{
"Name": "ratecodeid",
"Type": "string"
},
{
"Name": "pulocationid",
"Type": "string"
},
{
"Name": "dolocationid",
"Type": "string"
},
{
"Name": "passenger_count",
"Type": "string"
},
{
"Name": "trip_distance",
"Type": "string"
},
{
"Name": "fare_amount",
"Type": "string"
},
{
"Name": "extra",
"Type": "string"
},
{
"Name": "mta_tax",
"Type": "string"
},
{
"Name": "tip_amount",
"Type": "string"
},
{
"Name": "tolls_amount",
"Type": "string"
},
{
"Name": "ehail_fee",
"Type": "string"
},
{
"Name": "improvement_surcharge",
"Type": "string"
},
{
"Name": "total_amount",
"Type": "string"
},
{
"Name": "payment_type",
"Type": "string"
}
]
```
1. Pilih **Unggah**. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut:
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-manage-dl-tbac1.jpg)
1. Pilih **Kirim**.
1. Selanjutnya, lampirkan LF-tag di tingkat database.
1. Pada halaman **Database**, temukan dan pilih`tag_database`.
1. Pada menu **Tindakan**, pilih **Edit LF-tag**.
1. Pilih **Tetapkan LF-Tag baru**.
1. Untuk **kunci yang Ditugaskan** ¸ pilih `Confidential` LF-tag yang Anda buat sebelumnya.
1. Untuk **Nilai**, pilih`True`.
1. Pilih **Simpan**.
Ini melengkapi penugasan LF-tag ke database tag\$1database.
**Buat database dan tabel Anda untuk akses tingkat kolom**
Ulangi langkah-langkah berikut untuk membuat database `col_tag_database` dan tabel`source_data_col_lvl`, dan melampirkan LF-tag pada tingkat kolom.
1. Pada halaman **Database**, pilih **Buat database**.
1. Untuk **Nama**, masukkan `col_tag_database`.
1. Untuk **Lokasi**, masukkan lokasi Amazon S3 yang dibuat oleh template. CloudFormation `(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`
1. Hapus pilih **Gunakan hanya kontrol akses IAM untuk tabel baru dalam database ini**.
1. Pilih **Buat basis data**.
1. Pada halaman **Database**, pilih database `(col_tag_database)` baru Anda.
1. Pilih **Lihat tabel** dan klik **Buat tabel**.
1. Untuk **Nama**, masukkan `source_data_col_lvl`.
1. Untuk **Database**, pilih database baru Anda`(col_tag_database)`.
1. Untuk **format Tabel**, pilih ** AWS Glue Tabel standar**.
1. Untuk **Data terletak di**, pilih **Jalur yang ditentukan di akun saya**.
1. Masukkan jalur Amazon S3 untuk. `col_tag_database` `(s3://lf-tagbased-demo-Account-ID/col_tag_database/)`
1. Untuk **format Data**, pilih`CSV`.
1. Di bawah`Upload schema`, masukkan skema JSON berikut:
```
[
{
"Name": "vendorid",
"Type": "string"
},
{
"Name": "lpep_pickup_datetime",
"Type": "string"
},
{
"Name": "lpep_dropoff_datetime",
"Type": "string"
},
{
"Name": "store_and_fwd_flag",
"Type": "string"
},
{
"Name": "ratecodeid",
"Type": "string"
},
{
"Name": "pulocationid",
"Type": "string"
},
{
"Name": "dolocationid",
"Type": "string"
},
{
"Name": "passenger_count",
"Type": "string"
},
{
"Name": "trip_distance",
"Type": "string"
},
{
"Name": "fare_amount",
"Type": "string"
},
{
"Name": "extra",
"Type": "string"
},
{
"Name": "mta_tax",
"Type": "string"
},
{
"Name": "tip_amount",
"Type": "string"
},
{
"Name": "tolls_amount",
"Type": "string"
},
{
"Name": "ehail_fee",
"Type": "string"
},
{
"Name": "improvement_surcharge",
"Type": "string"
},
{
"Name": "total_amount",
"Type": "string"
},
{
"Name": "payment_type",
"Type": "string"
}
]
```
1. Pilih `Upload`. Setelah mengunggah skema, skema tabel akan terlihat seperti tangkapan layar berikut.
![\[Table schema with 18 columns showing column names and data types, all set to string.\]](http://docs.aws.amazon.com/id_id/lake-formation/latest/dg/images/tutorial-manage-dl-tbac2.jpg)
1. Pilih **Kirim** untuk menyelesaikan pembuatan tabel.
1. Sekarang, kaitkan `Sensitive=True` LF-tag ke kolom `vendorid` dan. `fare_amount`
1. Pada halaman **Tabel**, pilih tabel yang Anda buat`(source_data_col_lvl)`.
1. Pada menu **Tindakan**, pilih **Skema**.
1. Pilih kolom `vendorid` dan pilih **Edit LF-tag**.
1. Untuk **kunci yang Ditugaskan**, pilih **Sensitif**.
1. Untuk **Nilai**, pilih **Benar**.
1. Pilih **Simpan**.
1. Selanjutnya, kaitkan `Confidential=False` LF-tag ke. `col_tag_database` Ini diperlukan `lf-data-analyst` agar dapat menggambarkan database `col_tag_database` saat masuk dari Amazon Athena.
1. Pada halaman **Database**, temukan dan pilih`col_tag_database`.
1. Pada menu **Tindakan**, pilih **Edit LF-tag**.
1. Pilih **Tetapkan LF-Tag baru**.
1. Untuk **kunci yang Ditugaskan**, pilih `Confidential` LF-tag yang Anda buat sebelumnya.
1. Untuk **Nilai**, pilih`False`.
1. Pilih **Simpan**.
## Langkah 4: Berikan izin tabel
Berikan izin kepada analis data untuk konsumsi database `tag_database` dan tabel `col_tag_database` menggunakan `Confidential` LF-tag dan. `Sensitive`
1. Ikuti langkah-langkah ini untuk memberikan izin kepada `lf-data-analyst` pengguna pada objek yang terkait dengan LF-tag `Confidential=True` (Database:TAG\$1DATABASE) untuk memiliki database dan izin pada tabel. `Describe` `Select`
1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.
1. Di bawah **Izin**, pilih Izin **data lake**.
1. Pilih**Izin**.
1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.
1. Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.
1. Di bawah **LF-tag atau sumber katalog, pilih Sumber daya** yang **cocok** dengan LF-tag.
1. Pilih **Tambahkan LF-Tag**.
1. Untuk **Key**, pilih`Confidential`.
1. Untuk **Nilai**, pilih`True`.
1. Untuk **izin Database**, pilih`Describe`.
1. Untuk **izin Tabel**, pilih **Pilih** dan **Jelaskan**.
1. Pilih**Izin**.
1. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk. `Confidential=False` **LF-tag** ini digunakan untuk menggambarkan `col_tag_database` dan tabel `source_data_col_lvl` saat login dari Amazon `lf-data-analyst` Athena.
1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.
1. Pada halaman **Database**, pilih database`col_tag_database`.
1. Pilih **Action** dan **Grant**.
1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.
1. Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.
1. Pilih **Sumber daya yang cocok dengan LF-tag**.
1. Pilih **Tambahkan LF-Tag**.
1. Untuk **Key**, pilih`Confidential`.
1. Untuk **Nilai** ¸ pilih`False`.
1. Untuk **izin Database**, pilih`Describe`.
1. Untuk **izin Tabel**, jangan pilih apa pun.
1. Pilih**Izin**.
1. Selanjutnya, ulangi langkah-langkah untuk memberikan izin kepada analis data untuk ekspresi LF-tag untuk dan. `Confidential=False` `Sensitive=True` Tag LF ini digunakan untuk mendeskripsikan `col_tag_database` dan tabel `source_data_col_lvl` (tingkat kolom) saat masuk sebagai dari Amazon Athena. `lf-data-analyst`
1. Masuk ke konsol Lake Formation di [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)as`lf-data-engineer`.
1. Pada halaman Database, pilih database`col_tag_database`.
1. Pilih **Action** dan **Grant**.
1. Di bawah **Prinsipal**, pilih pengguna dan peran **IAM**.
1. Untuk **pengguna dan peran IAM**, pilih`lf-data-analyst`.
1. Pilih **Sumber daya yang cocok dengan LF-tag**.
1. Pilih **Tambahkan LF-Tag**.
1. Untuk **Key**, pilih`Confidential`.
1. Untuk **Nilai** ¸ pilih`False`.
1. Pilih **Tambahkan LF-Tag**.
1. Untuk **Key**, pilih`Sensitive`.
1. Untuk **Nilai** ¸ pilih`True`.
1. Untuk **izin Database**, pilih`Describe`.
1. Untuk **izin Tabel**, pilih `Select` dan`Describe`.
1. Pilih**Izin**.
## Langkah 5: Jalankan kueri di Amazon Athena untuk memverifikasi izin
Untuk langkah ini, gunakan Amazon Athena untuk menjalankan `SELECT` kueri terhadap dua tabel. `(source_data and source_data_col_lvl)` Gunakan jalur Amazon S3 sebagai lokasi hasil kueri. `(s3://lf-tagbased-demo-Account-ID/athena-results/)`
1. Masuk ke konsol Athena di [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home)as. `lf-data-analyst`
1. Di editor kueri Athena, pilih `tag_database` di panel kiri.
1. Pilih ikon opsi menu tambahan (tiga titik vertikal) di sebelah `source_data` dan pilih **tabel Pratinjau**.
1. Pilih **Run query** (Jalankan kueri).
Kueri harus memakan waktu beberapa menit untuk dijalankan. Query menampilkan semua kolom dalam output karena LF-tag dikaitkan pada tingkat database dan `source_data` tabel secara otomatis mewarisi `LF-tag` dari database. `tag_database`
1. Jalankan kueri lain menggunakan `col_tag_database` dan`source_data_col_lvl`.
Query kedua mengembalikan dua kolom yang ditandai sebagai `Non-Confidential` dan`Sensitive`.
1. Anda juga dapat memeriksa untuk melihat perilaku kebijakan akses berbasis tag Lake Formation pada kolom yang Anda tidak memiliki hibah kebijakan. Ketika kolom untagged dipilih dari tabel, `source_data_col_lvl` Athena mengembalikan kesalahan. Misalnya, Anda dapat menjalankan kueri berikut untuk memilih kolom yang tidak ditandai: `geolocationid`
```
SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;
```
## Langkah 6: Bersihkan AWS sumber daya
Untuk mencegah biaya yang tidak diinginkan ke Anda Akun AWS, Anda dapat menghapus AWS sumber daya yang Anda gunakan untuk tutorial ini.
1. Masuk ke konsol Lake Formation sebagai `lf-data-engineer` dan hapus database `tag_database` dan`col_tag_database`.
1. Selanjutnya, masuk sebagai `lf-data-steward` dan bersihkan semua Izin **LF-Tag, Izin** **Data, dan Izin** **Lokasi Data** yang diberikan di atas yang diberikan dan. `lf-data-engineer` `lf-data-analyst.`
1. Masuk ke konsol Amazon S3 sebagai pemilik akun menggunakan kredenal IAM yang Anda gunakan untuk menyebarkan tumpukan. CloudFormation
1. Hapus ember berikut:
+ lf-tagbased-demo-accesslogs-*acct-id*
+ lf-tagbased-demo-*acct-id*
1. Masuk ke CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/), dan hapus tumpukan yang Anda buat. Tunggu status tumpukan berubah menjadi`DELETE_COMPLETE`.