Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Riferimento alle autorizzazioni di Lake Formation
<a name="lf-permissions-reference"></a>

Per eseguire AWS Lake Formation le operazioni, i mandanti necessitano sia delle autorizzazioni di Lake Formation che delle autorizzazioni AWS Identity and Access Management (IAM). In genere concedi le autorizzazioni IAM utilizzando politiche di controllo degli *accessi granulari,* come descritto in. [Panoramica delle autorizzazioni di Lake Formation](lf-permissions-overview.md) Puoi concedere le autorizzazioni di Lake Formation utilizzando la console, l'API o AWS Command Line Interface (AWS CLI). 

Per informazioni su come concedere o revocare le autorizzazioni di Lake Formation, vedere e. [Concessione delle autorizzazioni per le risorse del Data Catalog](granting-catalog-permissions.md) [Concessione delle autorizzazioni per la localizzazione dei dati](granting-location-permissions.md)

**Nota**  
Gli esempi in questa sezione mostrano come concedere le autorizzazioni ai responsabili dello stesso account. AWS Per esempi di sovvenzioni su più account, vedere. [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md) 

## Autorizzazioni Lake Formation per tipo di risorsa
<a name="lf-resource-permissions-summary"></a>

Di seguito sono riportate le autorizzazioni valide di Lake Formation disponibili per ogni tipo di risorsa:

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/lf-permissions-reference.html)

**Topics**
+ [Autorizzazioni Lake Formation per tipo di risorsa](#lf-resource-permissions-summary)
+ [I comandi di concessione e AWS CLI revoca di Lake Formation](#perm-command-format)
+ [Autorizzazioni Lake Formation](#lf-permissions)

## I comandi di concessione e AWS CLI revoca di Lake Formation
<a name="perm-command-format"></a>

Ogni descrizione dell'autorizzazione in questa sezione include esempi di concessione dell'autorizzazione tramite un comando. AWS CLI Di seguito sono riportate le sinossi **grant-permissions** e **revoke-permissions** AWS CLI i comandi del Lake Formation.

```
grant-permissions
[--catalog-id <value>]
--principal <value>
--resource <value>
--permissions <value>
[--permissions-with-grant-option <value>]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

```
revoke-permissions
[--catalog-id <value>]
--principal <value>
--resource <value>
--permissions <value>
[--permissions-with-grant-option <value>]
[--cli-input-json <value>]
[--generate-cli-skeleton <value>]
```

[https://docs.aws.amazon.com/cli/latest/reference/lakeformation/revoke-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/lakeformation/revoke-permissions.html) Questa sezione fornisce informazioni aggiuntive sull'opzione. `--principal`

Il valore dell'`--principal`opzione è uno dei seguenti:
+ Amazon Resource Name (ARN) per un utente o un AWS Identity and Access Management ruolo (IAM)
+ ARN per un utente o un gruppo che esegue l'autenticazione tramite un provider SAML, come Microsoft Active Directory Federation Service (ADFS)
+ ARN per un utente o un gruppo Amazon Quick
+ Per le autorizzazioni su più account, un ID AWS account, un ID dell'organizzazione o un ID di unità organizzativa
+ Per utente o gruppo IAM Identity Center, ARN per utenti o gruppi IAM Identity Center.

Di seguito sono riportati la sintassi e gli esempi per tutti i `--principal` tipi.

**Principal è un utente IAM**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name>
```
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1
```

**Principal è un ruolo IAM**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name>
```
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:role/workflowrole
```

**Principal è un utente che si autentica tramite un provider SAML**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:user/<user-name>
```
Esempi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:user/datalake_user1
```

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:user/athena-user@example.com
```

**Principal è un gruppo che si autentica tramite un provider SAML**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:saml-provider/<SAMLproviderName>:group/<group-name> 
```
Esempi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/idp1:group/data-scientists
```

```
--principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:saml-provider/AthenaLakeFormationOkta:group/my-group
```

**Principal è un utente di Amazon Quick Enterprise Edition**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:user/<namespace>/<user-name>
```
Per *<namespace>*, è necessario specificare `default`.
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:user/default/bi_user1
```

**Principal è un gruppo Amazon Quick Enterprise Edition**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:<region>:<account-id>:group/<namespace>/<group-name> 
```
Per *<namespace>*, è necessario specificare `default`.
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:quicksight:us-east-1:111122223333:group/default/data_scientists
```

**Principal è un AWS account**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=<account-id>
```
Esempio:  

```
--principal DataLakePrincipalIdentifier=111122223333
```

**Il preside è un'organizzazione**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:organization/<organization-id>
```
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl
```

**Il preside è un'unità organizzativa**  
Sintassi:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::<account-id>:ou/<organization-id>/<organizational-unit-id>
```
Esempio:  

```
--principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:ou/o-abcdefghijkl/ou-ab00-cdefghij
```

**Il preside è un utente o un gruppo di identità di IAM Identity Center**  
Esempio: utente  

```
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/<UserID>
```
Esempio: Gruppo:  

```
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::group/<GroupID>
```

**Principal è un gruppo IAM - `IAMAllowedPrincipals`**  
Lake Formation imposta le `Super` autorizzazioni su tutti i database e le tabelle del Data Catalog a un gruppo chiamato per `IAMAllowedPrincipals` impostazione predefinita. Se questa autorizzazione di gruppo esiste su un database o una tabella, tutti i principali del tuo account avranno accesso alla risorsa tramite le politiche principali IAM per AWS Glue. Fornisce la compatibilità con le versioni precedenti quando inizi a utilizzare le autorizzazioni di Lake Formation per proteggere le risorse del Data Catalog per cui in precedenza erano protette dalle politiche IAM. AWS Glue  
Quando utilizzi Lake Formation per gestire le autorizzazioni per le tue risorse Data Catalog, devi prima revocare l'`IAMAllowedPrincipals`autorizzazione sulle risorse o attivare i principali e le risorse per la modalità di accesso ibrido affinché le autorizzazioni di Lake Formation funzionino.   
Esempio:  

```
--principal DataLakePrincipalIdentifier=IAM_Allowed_Principals
```

**Principal è un gruppo IAM - `ALLIAMPrincipals`**  
Quando concedi le autorizzazioni per il `ALLIAMPrincipals` gruppo su una risorsa Data Catalog, ogni principale dell'account ottiene l'accesso alla risorsa Data Catalog utilizzando le autorizzazioni Lake Formation e le autorizzazioni IAM.  
Esempio:  

```
--principal DataLakePrincipalIdentifier=123456789012:IAMPrincipals
```

## Autorizzazioni Lake Formation
<a name="lf-permissions"></a>

Questa sezione contiene i permessi disponibili di Lake Formation che puoi concedere ai presidi.

### `ALTER`
<a name="perm-alter"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| ALTER | DATABASE | glue:UpdateDatabase  | 
| ALTER | TABLE | glue:UpdateTable | 
| ALTER | LF-Tag | lakeformation:UpdateLFTag | 

Un principale con questa autorizzazione può modificare i metadati di un database o di una tabella nel Catalogo dati. Per le tabelle, è possibile modificare lo schema delle colonne e aggiungere parametri di colonna. Non è possibile modificare le colonne nei dati sottostanti a cui fa riferimento una tabella di metadati.

Se la proprietà da modificare è una posizione registrata di Amazon Simple Storage Service (Amazon S3), il principale deve disporre delle autorizzazioni per la localizzazione dei dati nella nuova posizione.

**Example**  
L'esempio seguente concede l'`ALTER`autorizzazione all'utente `datalake_user1` sul database `retail` nell'account 1111-2222-3333. AWS   

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Database": {"Name":"retail"}}'
```

**Example**  
L'esempio seguente concede `ALTER` a un utente l'`datalake_user1`accesso alla tabella del database. `inventory` `retail`  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

### `CREATE_DATABASE`
<a name="perm-create-database"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| CREATE\$1DATABASE | Catalogo dati | glue:CreateDatabase | 

Un responsabile con questa autorizzazione può creare un database di metadati o un collegamento a una risorsa nel Catalogo dati. Il principale può anche creare tabelle nel database.

**Example**  
L'esempio seguente concede `CREATE_DATABASE` a un utente `datalake_user1` nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```

Quando un principale crea un database nel Data Catalog, non viene concessa alcuna autorizzazione per i dati sottostanti. Vengono concesse le seguenti autorizzazioni aggiuntive per i metadati (oltre alla possibilità di concedere tali autorizzazioni ad altri):
+ `CREATE_TABLE`nel database
+ Database `ALTER`
+ Database `DROP`

Quando crea un database, il principale può facoltativamente specificare una posizione Amazon S3. A seconda che il principale disponga delle autorizzazioni per la localizzazione dei dati, l'`CREATE_DATABASE`autorizzazione potrebbe non essere sufficiente per creare database in tutti i casi. È importante tenere a mente i tre casi seguenti.


| Crea un caso d'uso del database | Autorizzazioni necessarie | 
| --- | --- | 
| La proprietà location non è specificata. | CREATE\$1DATABASEè sufficiente. | 
| La proprietà location è specificata e la posizione non è gestita da Lake Formation (non è registrata). | CREATE\$1DATABASEè sufficiente. | 
| La proprietà location è specificata e la posizione è gestita da Lake Formation (è registrata). | CREATE\$1DATABASEè obbligatorio più le autorizzazioni di localizzazione dei dati nella posizione specificata. | 

### `CREATE_TABLE`
<a name="perm-create-table"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| CREATE\$1TABLE | DATABASE | glue:CreateTable  | 

Un principale con questa autorizzazione può creare una tabella di metadati o un collegamento a una risorsa nel Catalogo dati all'interno del database specificato.

**Example**  
L'esempio seguente concede all'utente l'`datalake_user1`autorizzazione a creare tabelle nel `retail` database nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 
 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```

Quando un principale crea una tabella nel Data Catalog, tutti i permessi di Lake Formation sulla tabella vengono concessi al principale, con la possibilità di concedere tali autorizzazioni ad altri.

**Sovvenzioni per più account**  
Se un account del proprietario del database concede `CREATE_TABLE` a un account destinatario e un utente dell'account destinatario crea correttamente una tabella nel database dell'account proprietario, si applicano le seguenti regole:
+ Gli amministratori utente e data lake nell'account del destinatario dispongono di tutte le autorizzazioni di Lake Formation sulla tabella. Possono concedere le autorizzazioni sulla tabella ad altri responsabili del loro account. Non possono concedere autorizzazioni ai responsabili dell'account proprietario o di qualsiasi altro account.
+ Gli amministratori di Data Lake dell'account proprietario possono concedere le autorizzazioni relative alla tabella ad altri responsabili del proprio account.

**Autorizzazioni per la localizzazione dei dati**  
Quando tenti di creare una tabella che punti a una posizione Amazon S3, a seconda che tu disponga delle autorizzazioni per la localizzazione dei dati, l'`CREATE_TABLE`autorizzazione potrebbe non essere sufficiente per creare una tabella. È importante tenere a mente i seguenti tre casi.


| Crea un caso d'uso della tabella | Autorizzazioni necessarie | 
| --- | --- | 
| La località specificata non è gestita da Lake Formation (non è registrata). | CREATE\$1TABLEè sufficiente. | 
| La posizione specificata è gestita da Lake Formation (è registrata) e il database contenente non ha alcuna proprietà location o ha una proprietà location che non sia un prefisso Amazon S3 della posizione della tabella. | CREATE\$1TABLEè richiesta più le autorizzazioni di localizzazione dei dati nella posizione specificata. | 
| La posizione specificata è gestita da Lake Formation (è registrata) e il database che lo contiene ha una proprietà location che punta a una posizione registrata ed è un prefisso Amazon S3 della posizione della tabella. | CREATE\$1TABLEè sufficiente. | 

### `DATA_LOCATION_ACCESS`
<a name="perm-location"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| DATA\$1LOCATION\$1ACCESS | Posizione di Amazon S3. | (Autorizzazioni Amazon S3 sulla posizione, che devono essere specificate dal ruolo utilizzato per registrare la posizione.) | 

Questa è l'unica autorizzazione per la localizzazione dei dati. Un principale con questa autorizzazione può creare un database o una tabella di metadati che punti alla posizione Amazon S3 specificata. La sede deve essere registrata. Un preside che dispone delle autorizzazioni per la localizzazione dei dati su una sede dispone anche delle autorizzazioni di localizzazione per le sedi dei figli.

**Example**  
L'esempio seguente concede le autorizzazioni di localizzazione dei dati `s3://products/retail` all'utente `datalake_user1` nell'account 1111-2222-3333. AWS   

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::products/retail"}}'
```

`DATA_LOCATION_ACCESS`non è necessario per interrogare o aggiornare i dati sottostanti. Questa autorizzazione si applica solo alla creazione di risorse del catalogo dati.

Per ulteriori informazioni sulle autorizzazioni per la localizzazione dei dati, vedere[Underlying data access control](access-control-underlying-data.md#data-location-permissions).

### `DELETE`
<a name="perm-delete"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| DELETE | TABLE | (Non sono necessarie autorizzazioni IAM aggiuntive se la posizione è registrata.) | 

Un principale con questa autorizzazione può inserire, aggiornare e leggere i dati sottostanti nella posizione Amazon S3 specificata dalla tabella. Il responsabile può anche visualizzare la tabella sulla console di Lake Formation e recuperare informazioni sulla tabella con l'AWS GlueAPI.

**Example**  
L'esempio seguente concede l'`DELETE`autorizzazione all'utente `datalake_user1` sulla tabella del database `inventory` `retail` nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DELETE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Questa autorizzazione si applica solo ai dati in Amazon S3 e non ai dati in altri archivi di dati come Amazon Relational Database Service (Amazon RDS).

### `DESCRIBE`
<a name="perm-describe"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| DESCRIBE |  Link alle risorse della tabella Link alle risorse del database  |  `glue:GetTable` `glue:GetDatabase`  | 
| DESCRIBE | DATABASE | glue:GetDatabase | 
| DESCRIBE | TABLE | glue:GetTable | 
| DESCRIBE | LF-Tag |  `glue:GetTable` `glue:GetDatabase` `lakeformation:GetResourceLFTags` `lakeformation:ListLFTags` `lakeformation:GetLFTag` `lakeformation:SearchTablesByLFTags` `lakeformation:SearchDatabasesByLFTags`  | 

Un principale con questa autorizzazione può visualizzare il database, la tabella o il link alla risorsa specificato. Non vengono concesse implicitamente altre autorizzazioni di Data Catalog e non vengono concesse implicitamente autorizzazioni di accesso ai dati. I database e le tabelle vengono visualizzati negli editor di query dei servizi integrati, ma non è possibile eseguire alcuna query su di essi a meno che non vengano concesse altre autorizzazioni di Lake Formation (ad esempio`SELECT`).

Ad esempio, un utente che ha un database può visualizzare il database e tutti i metadati del database (descrizione, posizione e così `DESCRIBE` via). Tuttavia, l'utente non può scoprire quali tabelle contiene il database e non può eliminare, modificare o creare tabelle nel database. Analogamente, un utente che `DESCRIBE` utilizza una tabella può visualizzare la tabella e i relativi metadati (descrizione, schema, posizione e così via), ma non può eliminare, modificare o eseguire query sulla tabella.

Di seguito sono riportate alcune regole aggiuntive per: `DESCRIBE`
+ Se un utente dispone di altre autorizzazioni Lake Formation su un database, una tabella o un collegamento a una risorsa, `DESCRIBE` viene concessa implicitamente.
+ Se un utente ha `SELECT` solo un sottoinsieme di colonne per una tabella (parziale`SELECT`), l'utente è limitato a visualizzare solo quelle colonne.
+ Non puoi concedere `DESCRIBE` a un utente che dispone di una selezione parziale su una tabella. Al contrario, non è possibile specificare elenchi di inclusione o esclusione di colonne per le tabelle a cui `DESCRIBE` è consentito.

**Example**  
L'esempio seguente concede all'utente `datalake_user1` l'`DESCRIBE`autorizzazione per il collegamento alle risorse della tabella nel database `inventory-link` `retail` nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
```

### `DROP`
<a name="perm-drop"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| DROP | DATABASE | glue:DeleteDatabase | 
| DROP | TABLE | glue:DeleteTable  | 
| DROP | LF-Tag | lakeformation:DeleteLFTag  | 
| DROP |  Collegamento alla risorsa del database Link alle risorse della tabella  | `glue:DeleteDatabase` `glue:DeleteTable`  | 

Un principale con questa autorizzazione può eliminare un collegamento a un database, una tabella o una risorsa nel Catalogo dati. Non puoi concedere DROP su un database a un account o un'organizzazione esterni.

**avvertimento**  
L'eliminazione di un database comporta l'eliminazione di tutte le tabelle del database.

**Example**  
L'esempio seguente concede l'`DROP`autorizzazione all'utente del database `retail` nell' AWS account `datalake_user1` 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Database": {"Name":"retail"}}'
```

**Example**  
L'esempio seguente concede `DROP` all'utente l'accesso alla tabella del database`datalake_user1`. `inventory` `retail`  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

**Example**  
L'esempio che segue concede `DROP` all'utente `datalake_user1` della tabella un link di risorse `inventory-link` nel database. `retail`  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DROP" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory-link"}}'
```

### `INSERT`
<a name="perm-insert"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| INSERT | TABLE | (Non sono necessarie autorizzazioni IAM aggiuntive se la posizione è registrata.) | 

Un principale con questa autorizzazione può inserire, aggiornare e leggere i dati sottostanti nella posizione Amazon S3 specificata dalla tabella. Il responsabile può anche visualizzare la tabella nella console di Lake Formation e recuperare informazioni sulla tabella con l'AWS GlueAPI.

**Example**  
L'esempio seguente concede l'`INSERT`autorizzazione all'utente `datalake_user1` sulla tabella del database `inventory` `retail` nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "INSERT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Questa autorizzazione si applica solo ai dati in Amazon S3 e non ai dati in altri archivi di dati come Amazon RDS.

### `SELECT`
<a name="perm-select"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| SELECT |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/lf-permissions-reference.html)  | (Non sono necessarie autorizzazioni IAM aggiuntive se la posizione è registrata.) | 

Un principale con questa autorizzazione può visualizzare una tabella nel catalogo dati e interrogare i dati sottostanti in Amazon S3 nella posizione specificata dalla tabella. Il responsabile può visualizzare la tabella nella console di Lake Formation e recuperare informazioni sulla tabella con l'AWS GlueAPI. Se il filtraggio delle colonne è stato applicato quando è stata concessa questa autorizzazione, il principale può visualizzare i metadati solo per le colonne incluse e può interrogare i dati solo dalle colonne incluse.

**Nota**  
È responsabilità del servizio di analisi integrato applicare il filtro delle colonne durante l'elaborazione di una query.

**Example**  
L'esempio seguente concede l'`SELECT`autorizzazione all'utente `datalake_user1` sulla tabella del database `inventory` `retail` nell' AWS account 1111-2222-3333.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```

Questa autorizzazione si applica solo ai dati in Amazon S3 e non ai dati in altri archivi di dati come Amazon RDS.

Puoi filtrare (limitare l'accesso a) colonne specifiche con un elenco di inclusione o un elenco di esclusione facoltativo. Un elenco di inclusione specifica le colonne a cui è possibile accedere. Un elenco di esclusione specifica le colonne a cui non è possibile accedere. In assenza di un elenco di inclusione o esclusione, tutte le colonne della tabella sono accessibili.

I risultati di `glue:GetTable` restituiscono solo le colonne che il chiamante è autorizzato a visualizzare. I servizi integrati come Amazon Athena e Amazon Redshift rispettano gli elenchi di inclusione ed esclusione delle colonne.

**Example**  
L'esempio seguente concede `SELECT` all'utente presente nella tabella l'`inventory`utilizzo di `datalake_user1` un elenco di inclusione.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT"  --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnNames": ["prodcode","location","period","withdrawals"]}}'
```

**Example**  
L'esempio successivo prevede l'utilizzo di `SELECT` un elenco di esclusione `inventory` nella tabella.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT"  --resource '{ "TableWithColumns": {"DatabaseName":"retail", "Name":"inventory", "ColumnWildcard": {"ExcludedColumnNames": ["intkey", "prodcode"]}}}'
```

Le seguenti restrizioni si applicano all'`SELECT`autorizzazione:
+ Quando si concede`SELECT`, non è possibile includere l'opzione di concessione se viene applicato il filtro delle colonne.
+ Non è possibile limitare il controllo dell'accesso alle colonne che sono chiavi di partizione.
+ A un principale con l'`SELECT`autorizzazione su un sottoinsieme di colonne di una tabella non può essere concessa l'`INSERT`autorizzazione`ALTER`,`DROP`,`DELETE`, o per quella tabella. Analogamente, a un'entità con l'`INSERT`autorizzazione `ALTER``DROP`,`DELETE`, o su una tabella non può essere concessa l'`SELECT`autorizzazione con il filtro delle colonne.

L'`SELECT`autorizzazione appare sempre nella pagina **Autorizzazioni dati** della console Lake Formation come una riga separata. L'immagine seguente mostra che `SELECT` è concesso agli utenti `datalake_user2` e `datalake_user3` su tutte le colonne della `inventory` tabella.

![\[La pagina Autorizzazioni dati mostra quattro righe. La prima e la terza riga elencano la tabella delle autorizzazioni di eliminazione e inserimento con il tipo di risorsa con la risorsa mostrata come inventario, mentre la seconda e la quarta riga elencano l'autorizzazione Seleziona con il tipo di risorsa Column e con la risorsa mostrata come retail.inventory.*.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/data-permissions-dialog-select-cross.png)


### `Super`
<a name="perm-super"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| Super | DATABASE | glue:\$1Database\$1  | 
| Super | TABLE | glue:\$1Table\$1, glue:\$1Partition\$1 | 

Questa autorizzazione consente a un principale di eseguire tutte le operazioni di Lake Formation supportate sul database o sulla tabella. Non puoi concedere `Super` un database a un account esterno.

Questa autorizzazione può coesistere con le altre autorizzazioni di Lake Formation. Ad esempio, puoi concedere le `INSERT` autorizzazioni `Super``SELECT`, e su una tabella di metadati. Il principale può quindi eseguire tutte le operazioni supportate sulla tabella. Quando si revoca`Super`, le `INSERT` autorizzazioni `SELECT` e rimangono invariate e il principale può eseguire solo operazioni di selezione e inserimento.

Invece di concedere `Super` a un singolo committente, puoi concederlo al gruppo. `IAMAllowedPrincipals` Il `IAMAllowedPrincipals` gruppo viene creato automaticamente e include tutti gli utenti e i ruoli IAM a cui è consentito l'accesso alle risorse del Data Catalog dalle politiche IAM. Quando `Super` viene concesso a `IAMAllowedPrincipals` una risorsa Data Catalog, l'accesso alla risorsa è effettivamente controllato esclusivamente dalle politiche IAM.

Puoi avere l'`Super`autorizzazione da concedere automaticamente `IAMAllowedPrincipals` per nuove risorse del catalogo sfruttando le opzioni nella pagina **Impostazioni** della console Lake Formation.

![\[La finestra di dialogo delle impostazioni del catalogo dati ha il sottotitolo «Autorizzazioni predefinite per database e tabelle appena creati» e ha due caselle di controllo, descritte nel testo.\]](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/settings-page.png)

+ Per concedere `Super` a `IAMAllowedPrincipals` tutti i nuovi database, seleziona **Usa solo il controllo di accesso IAM per i nuovi** database.
+ Per concedere `Super` a `IAMAllowedPrincipals` tutte le nuove tabelle nei nuovi database, seleziona **Usa solo il controllo di accesso IAM per le nuove tabelle nei nuovi database**.
**Nota**  
Questa opzione fa sì che la casella di controllo **Usa solo il controllo di accesso IAM per le nuove tabelle in questo database** **nella finestra di dialogo Crea database** sia selezionata per impostazione predefinita. Non fa altro che questo. È la casella di controllo nella finestra di dialogo **Crea database** che abilita la concessione di `Super` a`IAMAllowedPrincipals`.

Queste opzioni della pagina **Impostazioni** sono abilitate per impostazione predefinita. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Modifica delle impostazioni predefinite per il data lake](change-settings.md)
+ [Aggiornamento delle autorizzazioni per AWS Glue i dati al modello AWS Lake Formation](upgrade-glue-lake-formation.md)

### `SUPER_USER`
<a name="perm-super-user"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| Super user | Catalog | glue:GetCatalog  | 

È possibile concedere l'`Super user`autorizzazione solo a soggetti specifici sui cataloghi all'interno del Data Catalog predefinito. Non puoi concedere l'`Super user`autorizzazione sul catalogo predefinito o su altri tipi di risorse come database e tabelle o ai responsabili degli account esterni. L'`Super user`autorizzazione consente a un responsabile di eseguire tutte le operazioni di Lake Formation supportate sui database e sulle tabelle all'interno del catalogo concesso. 

Con l'`Super user`autorizzazione, il principale (beneficiario) è in grado di eseguire le seguenti azioni sulle risorse (cataloghi, database e tabelle) all'interno del catalogo:
+ `CREATE_DATABASE`, `DESCRIBE` autorizzazioni sul catalogo.
+ `DROP`,`ALTER`,`CREATE_TABLE`, `DESCRIBE` (effettivamente`SUPER`) autorizzazioni su tutti i database all'interno del catalogo.
+ `DROP`,,`ALTER`,`DESCRIBE`, `SELECT``INSERT`, `DELETE` (effettivamente`SUPER`) autorizzazioni su tutte le tabelle all'interno di tutti i database all'interno del catalogo.
+ `All`(effettivamente SUPER) autorizzazioni sui cataloghi all'interno del catalogo.
+ Autorizzazioni concedibili (la possibilità di concedere queste autorizzazioni ad altri principali) su tutti i cataloghi, i database e le tabelle all'interno del catalogo.

Con l'`Super user`autorizzazione su una risorsa del catalogo, al beneficiario non è consentito eseguire o delegare alcuna azione sul catalogo. `ALTER` `DROP`

### `ASSOCIATE`
<a name="perm-associate"></a>


| Autorizzazione | Concesso su questa risorsa | Inoltre, il beneficiario ha bisogno | 
| --- | --- | --- | 
| ASSOCIATE | LF-Tag |   `glue:GetDatabase` `glue:GetTable`  `lakeformation:AddLFTagsToResource"` `lakeformation:RemoveLFTagsFromResource"` `lakeformation:GetResourceLFTags` `lakeformation:ListLFTags` `lakeformation:GetLFTag` `lakeformation:SearchTablesByLFTags` `lakeformation:SearchDatabasesByLFTags`  | 

Un principale con questa autorizzazione su un tag LF può assegnare il tag LF a una risorsa del catalogo dati. `ASSOCIATE``DESCRIBE`Concedere concessioni implicite.

**Example**  
Questo esempio concede all'utente l'`ASSOCIATE`autorizzazione per l'uso `datalake_user1` del tag LF con la chiave. `module` Concede le autorizzazioni per visualizzare e assegnare tutti i valori per quella chiave, come indicato dall'asterisco (\$1).  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```