Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Considerazioni e limitazioni sull’utilizzo di Athena per eseguire query sui dati registrati con Lake Formation
<a name="lf-athena-limitations"></a>

Considera quanto segue quando utilizzi Athena per eseguire query sui dati registrati in Lake Formation. Per altre informazioni, consulta [Problemi noti per AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html) nella *Guida per gli sviluppatori di AWS Lake Formation *.

**Topics**
+ [Metadati della colonna visibili agli utenti senza autorizzazioni sui dati per la colonna in alcune circostanze](#lf-athena-limitations-column-metadata)
+ [Utilizzo delle autorizzazioni Lake Formation sulle visualizzazioni](#lf-athena-limitations-permissions-to-views)
+ [Supporto di Iceberg](#lf-athena-limitations-iceberg-ddl-operations)
+ [Controllo granulare degli accessi di Lake Formation e gruppi di lavoro Athena](#lf-athena-limitations-fine-grained-access-control)
+ [Posizione dei risultati delle query Athena in Amazon S3 non registrate con Lake Formation](#lf-athena-limitations-query-results-location)
+ [Utilizzo dei gruppi di lavoro Athena per limitare l'accesso alla cronologia delle query](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [Le posizioni Amazon S3 CSE-KMS registrate con Lake Formation non consentono l'esecuzione di query in Athena](#lf-athena-limitations-cse-kms)
+ [Le posizioni dei dati partizionati registrate con Lake Formation devono essere nelle sottodirectory della tabella](#lf-athena-limitations-partioned-data-locations)
+ [Le query Create Table As Select (CTAS) richiedono autorizzazioni di scrittura Amazon S3.](#lf-athena-limitations-ctas-queries)
+ [L'autorizzazione DESCRIBE è necessaria nel database di default.](#lf-athena-limitations-describe-default)

## Metadati delle colonne visibili agli utenti non autorizzati in alcune circostanze con Avro e custom SerDe
<a name="lf-athena-limitations-column-metadata"></a>

L'autorizzazione a livello di colonna di Lake Formation impedisce agli utenti di accedere ai dati nelle colonne per le quali l'utente non dispone delle autorizzazioni Lake Formation. Tuttavia, in alcune situazioni, gli utenti sono in grado di accedere ai metadati che descrivono tutte le colonne della tabella, incluse le colonne per le quali non dispongono delle autorizzazioni per i dati.

Ciò si verifica quando i metadati delle colonne vengono archiviati nelle proprietà della tabella per le tabelle che utilizzano il formato di archiviazione Apache Avro o utilizzano un Serializer/Deserializer personalizzato (SerDe) in cui lo schema della tabella è definito nelle proprietà della tabella insieme alla definizione. SerDe Quando utilizzi Athena con Lake Formation, consigliamo di esaminare i contenuti delle proprietà della tabella che registri con Lake Formation e, se possibile, limitare le informazioni archiviate nelle proprietà della tabella per evitare che i metadati sensibili siano visibili agli utenti.

## Comprendere Lake Formation e le viste
<a name="lf-athena-limitations-permissions-to-views"></a>

Per i dati registrati con Lake Formation, un utente Athena può creare una `VIEW` solo se dispone delle autorizzazioni Lake Formation per le tabelle, le colonne e le posizioni dei dati di origine Amazon S3 su cui si basa `VIEW`. Dopo aver creato una `VIEW` in Athena, le autorizzazioni Lake Formation possono essere applicate alla `VIEW`. Le autorizzazioni a livello di colonna non sono disponibili per `VIEW`. Gli utenti che dispongono delle autorizzazioni Lake Formation per una `VIEW` ma non dispongono delle autorizzazioni per la tabella e le colonne su cui era basata la visualizzazione non sono in grado di utilizzare la `VIEW` per eseguire query sui dati. Tuttavia, gli utenti con questa combinazione di autorizzazioni sono in grado di utilizzare istruzioni come `DESCRIBE VIEW`, `SHOW CREATE VIEW`, e `SHOW COLUMNS` per visualizzare i metadati `VIEW`. Per questo motivo, assicurati di allineare le autorizzazioni Lake Formation per ogni `VIEW` con le autorizzazioni della tabella sottostante. I filtri delle celle definiti su una tabella non si applicano a `VIEW` per tale tabella. I nomi dei link alle risorse devono avere lo stesso nome della risorsa nell'account di origine. Esistono limitazioni aggiuntive quando si lavora con le viste in una configurazione tra più account. Per ulteriori informazioni su come importare le autorizzazioni per le visualizzazioni condivise tra account, consulta [Configurare il catalogo dati multi-account](lf-athena-limitations-cross-account.md).

## Supporto di Iceberg
<a name="lf-athena-limitations-iceberg-ddl-operations"></a>

Athena attualmente non supporta le operazioni DDL sulle tabelle Iceberg la cui posizione è registrata con Lake Formation. Il tentativo di eseguire una query DDL su una di queste tabelle Iceberg può restituire un errore di accesso negato in Amazon S3 o fallire con un timeout di query. Le operazioni DDL sulle tabelle Iceberg richiedono che l’utente disponga dell’accesso diretto di Amazon S3 alla posizione della tabella Iceberg.

## Controllo granulare degli accessi di Lake Formation e gruppi di lavoro Athena
<a name="lf-athena-limitations-fine-grained-access-control"></a>

Gli utenti dello stesso gruppo di lavoro Athena possono visualizzare i dati che il controllo granulare degli accessi di Lake Formation ha configurato come accessibili da parte del gruppo di lavoro. Per ulteriori informazioni sull'utilizzo del controllo granulare degli accessi in Lake Formation, consulta l'articolo [Gestone del controllo granulare degli accessi utilizzando AWS Lake Formation](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/) nel *blog sui big data di AWS *. 

## Posizione dei risultati delle query Athena in Amazon S3 non registrate con Lake Formation
<a name="lf-athena-limitations-query-results-location"></a>

Le posizioni dei risultati della query in Amazon S3 per Athena non possono essere registrate con Lake Formation. Le autorizzazioni Lake Formation non limitano l’accesso a queste posizioni. A meno che non si limiti l’accesso, gli utenti Athena possono accedere ai file dei risultati delle query e ai metadati quando non dispongono delle autorizzazioni Lake Formation per i dati. Per evitare questo problema, è consigliabile utilizzare i gruppi di lavoro per specificare la posizione dei risultati delle query e allineare l'appartenenza al gruppo di lavoro alle autorizzazioni Lake Formation. È quindi possibile utilizzare i criteri di autorizzazione IAM per limitare l'accesso ai percorsi dei risultati delle query Per ulteriori informazioni sui risultati delle query, consulta [Lavora con i risultati delle query e le query recenti](querying.md).

## Utilizzo dei gruppi di lavoro Athena per limitare l'accesso alla cronologia delle query
<a name="lf-athena-limitations-use-workgroups-to-limit-access-to-query-history"></a>

La cronologia delle query Athena espone un elenco di query salvate e stringhe di query complete. A meno che non si utilizzino gruppi di lavoro per separare l'accesso alle cronologie delle query, gli utenti di Athena che non sono autorizzati a eseguire query sui dati in Lake Formation possono visualizzare le stringhe di query eseguite su tali dati, inclusi i nomi delle colonne, i criteri di selezione ecc. È consigliabile utilizzare i gruppi di lavoro per separare le cronologie delle query e allineare l'appartenenza al gruppo di lavoro Athena alle autorizzazioni Lake Formation per limitare gli accessi. Per ulteriori informazioni, consulta [Usare i gruppi di lavoro per controllare l’accesso alle query e i costi](workgroups-manage-queries-control-costs.md).

## Interroga le tabelle crittografate CSE\$1KMS registrate con Lake Formation
<a name="lf-athena-limitations-cse-kms"></a>

Le tabelle Open Table Format (OTF) come Apache Iceberg che presentano le seguenti caratteristiche non possono essere interrogate con Athena:
+ Le tabelle si basano sulle posizioni dati Amazon S3 registrate con Lake Formation.
+ Quando impostata su , gli oggetti EMRFS archiviati in Amazon S3 vengono crittografati con la crittografia lato client.
+  AWS KMS La `CSE_KMS` crittografia utilizza chiavi gestite dal cliente ().

Per interrogare tabelle non OTF (crittografate con una `CSE_KMS` chiave), aggiungete il seguente blocco alla politica della AWS KMS chiave utilizzata per la crittografia CSE. *<KMS\$1KEY\$1ARN>*è l'ARN della AWS KMS chiave che crittografa i dati. *<IAM-ROLE-ARN>*è l'ARN del ruolo IAM che registra la posizione di Amazon S3 in Lake Formation.

```
{
    "Sid": "Allow use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "*"
    },
    "Action": "kms:Decrypt",
    "Resource": "<KMS-KEY-ARN>",
    "Condition": {
        "ArnLike": {
            "aws:PrincipalArn": "<IAM-ROLE-ARN>"
        }
    }
}
```

## Le posizioni dei dati partizionati registrate con Lake Formation devono essere nelle sottodirectory della tabella
<a name="lf-athena-limitations-partioned-data-locations"></a>

Le tabelle partizionate registrate con Lake Formation devono avere dati partizionati nelle directory che sono sottodirectory della tabella in Amazon S3. Ad esempio, una tabella con la posizione `s3://amzn-s3-demo-bucket/mytable` e le partizioni `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12` e così via può essere registrata con Lake Formation ed è possibile eseguire query utilizzando Athena. D'altra parte, una tabella con la posizione `s3://amzn-s3-demo-bucket/mytable` e le partizioni situate in `s3://amzn-s3-demo-bucket/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/dt=2019-07-12` e così via, non può essere registrata con Lake Formation. Poiché tali partizioni non sono sottodirectory di `s3://amzn-s3-demo-bucket/mytable`, non possono essere lette da Athena.

## Le query Create Table As Select (CTAS) richiedono autorizzazioni di scrittura Amazon S3.
<a name="lf-athena-limitations-ctas-queries"></a>

Create Table As Statements (CTAS) richiede l'accesso in scrittura alla posizione Amazon S3 delle tabelle. Per eseguire query CTAS sui dati registrati con Lake Formation, gli utenti di Athena devono disporre delle autorizzazioni IAM per scrivere nelle posizioni Amazon S3 delle tabelle, oltre alle autorizzazioni di Lake Formation appropriate per leggere le posizioni dei dati. Per ulteriori informazioni, consulta [Creare una tabella dai risultati delle query (CTAS)](ctas.md).

## L'autorizzazione DESCRIBE è necessaria nel database di default.
<a name="lf-athena-limitations-describe-default"></a>

L’autorizzazione `DESCRIBE` di Lake Formation è richiesta nel database `default` in modo che Lake Formation possa visualizzarlo. Il AWS CLI comando di esempio seguente concede l'`DESCRIBE`autorizzazione sul `default` database all'utente dell'account. `datalake_user1` AWS `111122223333`

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```

Per maggiori informazioni su [, consultare ](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe) nella *Guida per gli sviluppatori di AWS Lake Formation *.