

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione delle espressioni LF-tag per il controllo dell'accesso ai metadati
<a name="managing-tag-expressions"></a>

 Le espressioni LF-tag sono espressioni logiche composte da uno o più tag LF (coppie chiave-valore) utilizzate per concedere autorizzazioni sulle risorse. AWS Glue Data Catalog Le espressioni LF-Tag consentono di definire regole che regolano l'accesso alle risorse di dati in base ai relativi tag di metadati. È possibile salvare queste espressioni e riutilizzarle in più concessioni di autorizzazioni, garantendo la coerenza e semplificando la gestione delle modifiche all'ontologia dei tag nel tempo. 

All'interno di una determinata espressione del tag LF, le chiavi dei tag vengono combinate utilizzando l'operazione AND, mentre i valori vengono combinati utilizzando l'operazione OR. Ad esempio, l'espressione tag `content_type:Sales AND location:US` rappresenta risorse relative ai dati di vendita negli Stati Uniti.

È possibile creare fino a 1000 espressioni di tag LF in un. Account AWS Queste espressioni forniscono un modo flessibile e scalabile per gestire le autorizzazioni basate sui tag di metadati, garantendo che solo gli utenti o le applicazioni autorizzati possano accedere a risorse di dati specifiche in base alle regole di tag definite.

Le espressioni LF-Tag offrono i seguenti vantaggi: 
+ **Riusabilità**: definendo e salvando le espressioni dei tag LF, non è più necessario replicare manualmente le stesse espressioni quando si assegnano le autorizzazioni ad altre risorse o principali.
+ **Coerenza: il riutilizzo delle espressioni LF-Tag su più concessioni di autorizzazioni garantisce la coerenza** nel modo in cui le autorizzazioni vengono concesse e gestite.
+ **Gestione dell'ontologia dei tag**: le espressioni LF-Tag aiutano a gestire le modifiche all'ontologia dei tag nel tempo, poiché è possibile aggiornare le espressioni salvate anziché modificare le concessioni di autorizzazioni individuali. 

Per ulteriori informazioni sul controllo degli accessi basato su tag, consulta. [Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md) 

**Creatori di espressioni con tag LF**  
Il creatore di espressioni LF-Tag è un preside che dispone delle autorizzazioni per creare e gestire espressioni LF-Tag. Gli amministratori di Data Lake possono aggiungere creatori di espressioni LF-Tag utilizzando la console, la CLI, l'API o l'SDK di Lake Formation. I creatori di espressioni LF-Tag hanno i permessi impliciti di Lake Formation per creare, aggiornare ed eliminare espressioni LF-Tag e per concedere i permessi di espressione LF-Tag ad altri principali.

I creatori di espressioni LF-Tag che non sono amministratori di Data Lake ricevono autorizzazioni implicite e solo per le espressioni che hanno creato. `Alter` `Drop` `Describe` `Grant with LF-Tag expression` 

Gli amministratori di Data Lake possono anche concedere autorizzazioni valide ai creatori di espressioni LF-Tag. `Create LF-Tag expression` Quindi, il creatore di espressioni LF-Tag può concedere il permesso di creare espressioni LF-Tag ad altri responsabili.

**Topics**
+ [Autorizzazioni IAM necessarie per creare espressioni con tag LF](#tag-expression-creator-permissions)
+ [Aggiungi i creatori di espressioni LF-Tag](#add-lf-tag-expression-creator)
+ [Creazione di espressioni con tag LF](TBAC-creating-tag-expressions.md)
+ [Aggiornamento delle espressioni del tag LF](TBAC-updating-expressions.md)
+ [Eliminazione delle espressioni dei tag LF](TBAC-deleting-expressions.md)
+ [Elenco delle espressioni dei tag LF](TBAC-listing-expressions.md)

**Consulta anche**  
[Gestione delle autorizzazioni per i valori del tag LF](TBAC-granting-tags.md)
[Concessione delle autorizzazioni per il data lake utilizzando il metodo LF-TBAC](granting-catalog-perms-TBAC.md)
[Controllo degli accessi basato su tag Lake Formation](tag-based-access-control.md)

## Autorizzazioni IAM necessarie per creare espressioni con tag LF
<a name="tag-expression-creator-permissions"></a>

 È necessario configurare le autorizzazioni per consentire a un preside di Lake Formation di creare espressioni di tag LF. Aggiungi la seguente dichiarazione alla politica di autorizzazione per il principale che deve essere un creatore di espressioni LF-Tag.

**Nota**  
Sebbene gli amministratori dei data lake abbiano le autorizzazioni implicite di Lake Formation per creare, aggiornare ed eliminare i tag LF e le espressioni dei tag LF, per assegnare i tag LF alle risorse e per concedere l'autorizzazione alle espressioni LF-Tag e LF-Tag ai principali, gli amministratori del data lake necessitano anche delle seguenti autorizzazioni IAM.

Per ulteriori informazioni, consulta [Riferimento ai personaggi di Lake Formation e alle autorizzazioni IAM](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## Aggiungi i creatori di espressioni LF-Tag
<a name="add-lf-tag-expression-creator"></a>

I creatori di espressioni LF-Tag possono creare e salvare espressioni di tag LF riutilizzabili, aggiornare chiavi e valori dei tag, eliminare espressioni e concedere autorizzazioni sulle risorse del Data Catalog ai principali utilizzando il metodo LF-TBAC. Il creatore di espressioni LF-Tag può anche concedere queste autorizzazioni ai principali.

È possibile creare ruoli di creatore di espressioni LF-Tag utilizzando la AWS Lake Formation console, l'API o (). AWS Command Line Interface AWS CLI

------
#### [ console ]

**Per aggiungere un creatore di espressioni LF-Tag**

1. Apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Accedi come amministratore del data lake.

1. Nel riquadro di navigazione, in **Autorizzazioni, scegli **LF-tags** e permessi**.

1. **Scegliete la scheda Espressioni LF-Tag.**

1. **Nella sezione Creatori di espressioni con **tag LF, scegliete Aggiungi creatori di espressioni** con tag LF.**  
![Contenitore di dettagli del creatore di espressioni LF-Tag che mostra datalake_user con autorizzazioni. Utente IAM](http://docs.aws.amazon.com/it_it/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. Nella pagina **Aggiungi creatori di espressioni LF-Tag**, scegli un ruolo o un utente IAM con le autorizzazioni necessarie per creare espressioni LF-Tag.

1. Seleziona `Create LF-Tag expression` la casella di controllo delle autorizzazioni.

1. (Facoltativo) Per consentire ai responsabili selezionati di concedere l'`Create LF-Tag expression`autorizzazione ai mandanti, scegli Autorizzazione `Create LF-Tag expression` concedibile.

1. Scegliere **Aggiungi**.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

Il ruolo di creatore di espressioni LF-Tag consente di creare, aggiornare o eliminare espressioni LF-Tag. 


| Autorizzazione | Description | 
| --- | --- | 
| Create | Un principale con questa autorizzazione può aggiungere espressioni di tag LF nel data lake. | 
| Drop | Un principale con questa autorizzazione su un'espressione LF-Tag può eliminare un'espressione LF-Tag dal data lake.  | 
| Alter | Un principale con questa autorizzazione su un'espressione LF-Tag può aggiornare il corpo dell'espressione di un'espressione LF-Tag. | 
| Describe | Un principale con questa autorizzazione su un'espressione LF-Tag può visualizzare il contenuto di un'espressione LF-Tag.  | 
| Grant with LF-Tag expression | Questa autorizzazione consente al destinatario di utilizzare l'espressione del tag come risorsa per concedere le autorizzazioni di accesso ai dati o ai metadati. Concedere concessioni Grant with LF-Tag expression implicite. Describe | 
| Super | Per le espressioni LF-Tag, l'Superautorizzazione concede la possibilità di Describe AlterDrop, e concede le autorizzazioni sull'espressione del tag ad altri principali. | 

Queste autorizzazioni sono concesse. Un preside a cui sono state concesse queste autorizzazioni con l'opzione di concessione può concederle ad altri committenti.