Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Buone pratiche e considerazioni per il controllo degli accessi basato su tag Lake Formation È possibile creare, gestire e assegnare LF-tags per controllare l'accesso ai database, alle tabelle e alle colonne del Data Catalog. Considerate le seguenti best practice quando utilizzate il controllo degli accessi basato su tag Lake Formation: + Tutti i tag LF devono essere predefiniti prima di poter essere assegnati alle risorse del Data Catalog o concessi ai responsabili. L'amministratore del data lake può delegare le attività di gestione dei tag creando creatori di *tag LF* con le autorizzazioni IAM richieste. Gli ingegneri e gli analisti dei dati decidono le caratteristiche e le relazioni dei tag LF. I creatori di LF-tag creano quindi e mantengono i tag LF in Lake Formation. + È possibile assegnare più LF-tag alle risorse del Data Catalog. È possibile assegnare un solo valore per una particolare chiave a una particolare risorsa. Ad esempio, è possibile assegnare`module=Orders`, `region=West``division=Consumer`, e così via a un database, una tabella o una colonna. Non puoi `module=Orders,Customers` assegnare. + Non è possibile assegnare tag LF alle risorse quando si crea la risorsa. È possibile aggiungere tag LF solo alle risorse esistenti. + È possibile concedere espressioni LF-Tag, non solo singoli tag LF, a un principale. Un'espressione LF-Tag ha un aspetto simile alla seguente (in pseudo-codice). ``` module=sales AND division=(consumer OR commercial) ``` *Un principale a cui è concessa questa espressione LF-Tag può accedere solo alle risorse del Data Catalog (database, tabelle e colonne) assegnate e a una delle due opzioni. `module=sales`* `division=consumer` `division=commercial` Se desideri che il principale sia in grado di accedere a risorse che dispongono `module=sales` *o meno* `division=commercial` di includerle entrambe nella stessa concessione. Fai due sovvenzioni, una per `module=sales` e una per`division=commercial`. L'espressione più semplice del tag LF è costituita da un solo tag LF, ad esempio. `module=sales` + Un principale a cui sono concesse le autorizzazioni per un tag LF con più valori può accedere alle risorse del Data Catalog con uno di questi valori. Ad esempio, se a un utente viene concesso un tag LF con key= `module` e values=`orders,customers`, l'utente ha accesso alle risorse assegnate o. `module=orders` `module=customers` + È necessario disporre dell'`Grant with LF-Tag expressions`autorizzazione per concedere le autorizzazioni relative ai dati sulle risorse del Catalogo dati utilizzando il metodo LF-TBAC. L'amministratore del data lake e il creatore di LF-Tag ricevono implicitamente questa autorizzazione. Un principale che dispone dell'`Grant with LFTag expressions`autorizzazione può concedere le autorizzazioni relative ai dati sulle risorse utilizzando: + il metodo di risorsa denominato + il metodo LF-TBAC, ma utilizzando solo la stessa espressione LF-TAG Ad esempio, supponiamo che l'amministratore del data lake conceda la seguente concessione (in pseudo-codice). ``` GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION ``` In questo caso, `user1` può concedere `SELECT` tabelle ad altri principali utilizzando il metodo LF-TBAC, ma solo con l'espressione LF-TAG completa. `module=customers, region=west,south` + Se a un principale vengono concesse le autorizzazioni su una risorsa sia con il metodo LF-TBAC che con il metodo della risorsa denominata, i permessi che il principale ha sulla risorsa sono l'unione dei permessi concessi con entrambi i metodi. + Lake Formation supporta la concessione `DESCRIBE` e `ASSOCIATE` l'eliminazione dei tag LF tra gli account e la concessione di autorizzazioni sulle risorse del Data Catalog tra gli account utilizzando il metodo LF-TBAC. In entrambi i casi, il principale è l'ID dell'account. AWS **Nota** Lake Formation supporta sovvenzioni tra account a organizzazioni e unità organizzative utilizzando il metodo LF-TBAC. **Per utilizzare questa funzionalità, è necessario aggiornare le impostazioni della versione di **Cross account alla versione 3**.** Per ulteriori informazioni, consulta [Condivisione dei dati tra account in Lake Formation](cross-account-permissions.md). + Le risorse del Data Catalog create in un account possono essere etichettate solo utilizzando i tag LF creati nello stesso account. I tag LF creati in un account non possono essere associati a risorse condivise di un altro account. + L'utilizzo del controllo degli accessi basato su tag Lake Formation (LF-TBAC) per concedere l'accesso tra account alle risorse del Data Catalog richiede aggiunte alla politica delle risorse del Data Catalog per il tuo account. AWS Per ulteriori informazioni, consulta [Prerequisiti](cross-account-prereqs.md). + Le chiavi LF-Tag e i valori LF-Tag non possono superare i 50 caratteri di lunghezza. + Il numero massimo di tag LF che possono essere assegnati a una risorsa del Data Catalog è 50. + I seguenti limiti sono limiti flessibili: + Il numero massimo di tag LF che è possibile creare è 10000. + Il numero massimo di valori che possono essere definiti per un LF-Tag è 1000. + Le chiavi e i valori dei tag vengono convertiti in lettere minuscole quando vengono memorizzati. + È possibile assegnare un solo valore per un tag LF a una particolare risorsa. + Se vengono concessi più LF-tag a un principale con un'unica concessione, il principale può accedere solo alle risorse del Data Catalog che contengono tutti i tag LF. + Se la valutazione di un'espressione LF-Tag comporta l'accesso solo a un sottoinsieme di colonne della tabella, ma l'autorizzazione Lake Formation concessa in caso di corrispondenza è una delle autorizzazioni che richiedevano l'accesso completo alla colonna, vale a dire,, o `Alter` `Drop` `Insert``Delete`, allora nessuna di queste autorizzazioni viene concessa. Invece, viene concesso solo. `Describe` Se l'autorizzazione concessa è `All` (`Super`), allora solo `Select` e `Describe` vengono concesse. + I wildcard non vengono utilizzati con i tag LF. Per assegnare un tag LF a tutte le colonne di una tabella, si assegna il tag LF alla tabella e tutte le colonne della tabella ereditano il tag LF. Per assegnare un tag LF a tutte le tabelle di un database, si assegna il tag LF al database e tutte le tabelle del database ereditano quel tag LF. + È possibile creare fino a 1000 espressioni di tag LF in un account. + È possibile utilizzare fino a 50 espressioni di tag LF per concedere autorizzazioni a un principale sulle risorse del Data Catalog. + Quando si concedono o si revocano le autorizzazioni su un'espressione di tag LF in linea, la dimensione dell'espressione del tag LF non può superare i 900 byte. Per concedere i permessi su espressioni di tag LF più grandi, utilizzate le espressioni di tag LF salvate. Per ulteriori informazioni, consulta [Creazione di espressioni con tag LF](TBAC-creating-tag-expressions.md). + Per aggiungere LF-Tag ai cataloghi federati Redshift esistenti creati prima della versione di disponibilità generale del supporto LF-Tag per i cataloghi federati, è necessario contattare il team di supporto per ricevere assistenza. AWS