本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 AWS Data Exchange 包含的数据权限数据集创建 AWS Lake Formation 数据授权（预览）
<a name="data-grant-publish-LF-data-product"></a>

如果您有兴趣在此预览期间创建包含 AWS Lake Formation 数据权限数据集的数据授权，请联系[AWS 支持](https://console.aws.amazon.com/support/home#/case/create%3FissueType=customer-service)。

 AWS Lake Formation 数据权限数据集包含一组 LF 标签和由管理的数据的权限。 AWS Lake Formation当客户接受包含 Lake Formation 数据权限的数据授权时，他们将获得对与添加到数据集的 LF 标签关联的数据库、表和列的只读访问权限。

作为数据所有者，您首先要在中创建 LF 标签， AWS Lake Formation 并将这些标签与要提供给收件人的数据相关联。有关在 Lake Formation 中为资源添加标签的更多信息，请参阅《AWS Lake Formation 开发人员指南》**中的 [Lake Formation 基于标签的访问控制](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html)。然后将这些 LF 标签和一组数据权限 AWS Data Exchange 作为资产导入。接受数据授权后，接收者将被授予访问与这些 LF 标签关联的数据的权限。

以下主题描述了创建包含数据权限 AWS Lake Formation 的数据授权的过程。此过程包含以下步骤：

**Topics**
+ [步骤 1：创建 AWS Lake Formation 数据集（预览）](#data-grant-create-LF-data-set)
+ [步骤 2：创建 AWS Lake Formation 数据权限（预览）](#data-grant-create-LF-data-permission)
+ [步骤 3：审核并定版](#data-grant-review-and-finalize-LF)
+ [步骤 4：创建修订](#data-grant-create-revision-LF)
+ [步骤 5：创建包含 AWS Lake Formation 数据集的新数据授权（预览）](#data-grant-publish-LF-product)
+ [创建包含数据权限数据集 AWS Lake Formation 的数据授权时的注意事项（预览）](#data-grant-considerations-LF-data-product)

## 步骤 1：创建 AWS Lake Formation 数据集（预览）
<a name="data-grant-create-LF-data-set"></a>

**创建 AWS Lake Formation 数据集**

1. 打开您的 Web 浏览器，登录到 [AWS Data Exchange 控制台](https://console.aws.amazon.com/dataexchange)。

1. 在左侧导航窗格中的**我的数据**下，选择**产品**。

1. 在**拥有的数据集**中，选择**创建数据集**，打开**数据集创建步骤**向导。

1. 在**选择数据集类型**中，选择**AWS Lake Formation 数据权限**。

1. 在**定义数据集**中，为您的数据集输入**名称**和**描述**。有关更多信息，请参阅 [数据集最佳实践](data-sets.md#data-set-best-practices)。

1. 在**添加标签 - 可选**下，选择**添加新标签**。

1. 选择**创建数据集**，然后继续。

## 步骤 2：创建 AWS Lake Formation 数据权限（预览）
<a name="data-grant-create-LF-data-permission"></a>

AWS Data Exchange 使用 LF-tags 来授予数据权限。选择与您要共享的数据关联的 LF 标签，以授予接收者对该数据的权限。

**创建 AWS Lake Formation 数据权限**

1. 在**创建 Lake Formation 数据权限**页面上，选择**添加 LF 标签**。

1. 输入**键**并选择您的 LF 标签**值**。

1. 选择**预览资源**，查看您的 LF 标签的解释。

   1. 从**预览资源**中，选择您的**关联数据目录资源**。
**注意**  
请务必撤销以下资源的 `IAMAllowedPrincipals` 群组。有关更多信息，请参阅《IAM 用户指南》**中的[撤销 IAM 角色临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。

1. 在下面的对话框中查看 LF 标签表达式的解释，以及与该数据集关联的**权限**。

1. 对于**服务访问权限**，选择允许 AWS Data Exchange 代入角色并代表您访问、授予和撤销 Lake Formation 数据权限的现有服务角色。然后选择**创建 Lake Formation 数据权限**。有关为创建角色的更多信息 AWS 服务，请参阅[创建向委派权限的角色 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

## 步骤 3：审核并定版
<a name="data-grant-review-and-finalize-LF"></a>

创建 AWS Lake Formation 数据权限（预览）后，您可以**查看**并**最终确定**您的数据集。

**要进行审核并定版，请按以下步骤操作：**

1. 审核**步骤 1** 中的**数据集详细信息**和**标签**，确保准确性。

1. 审核您的 **LF 标签表达式**、**添加另一个 Lake Formation 数据权限**（可选）、**关联的数据目录资源**和作业详细信息。
**注意**  
作业将在创建 90 天后被删除。

1. 选择**定版**。

## 步骤 4：创建修订
<a name="data-grant-create-revision-LF"></a>

**要创建修订，请按以下步骤操作：**

1. 从**拥有的数据集**部分，选择要为其添加修订的数据集。

1. 选择**修订**选项卡。

1. 在**修订**部分中，选择**创建修订**。

1. 在**修订 Lake Formation 数据权限**页面上，选择**添加 LF 标签**。

1. 查看**数据库**和**表**的**权限**。

1. 在**服务访问权限**中，选择现有服务角色，然后选择**创建 Lake Formation 数据权限**。

## 步骤 5：创建包含 AWS Lake Formation 数据集的新数据授权（预览）
<a name="data-grant-publish-LF-product"></a>

在您创建了至少一个数据集并最终确定了包含资产的修订版之后，就可以使用数据权限数据集创建 AWS Lake Formation 数据授予了。

**创建新数据授权**

1. 在 [AWS Data Exchange 控制台](https://console.aws.amazon.com/dataexchange)左侧导航窗格的**已交换的数据授权**下，选择**已发送的数据授权**。

1. 从**已发送的数据授权**中，选择**创建数据授权**以打开**定义数据授权**向导。

1. 在**选择拥有的数据集**部分，选中要添加的数据集旁边的复选框。
**注意**  
您选择的数据集必须具有最终修订版。未完成修订版的数据集无法添加到数据授权中。  
与共享的数据产品中包含的数据集不同 AWS Marketplace，添加到数据授权中的数据集没有修订访问规则，这意味着数据授予的接受者一旦获得批准，就可以访问给定数据集的所有最终修订版（包括在数据授权创建之前完成的历史修订）。

1. 在**授予概览**部分中，输入接收者将看到的有关您的数据授权的信息，包括**数据授权名称**和**数据授权描述**。

1. 选择**下一步**。

   有关更多信息，请参阅 [中的产品最佳实践 AWS Data Exchange](product-details.md)。

1. 在 “**收件人访问信息**” 部分的 “**AWS 账户 ID**” 下，输入应获得数据授予的收款人账户的 AWS 账户 ID。

1. 在**访问结束日期**下，为数据授权的到期时间选择特定的结束日期，或者，如果该授予应永久存在，则选择**无结束日期**。

1. 选择**下一步**。

1. 在**审核并发送**部分中，审核您的数据授权信息。

1. 如果您确定要创建数据授权并将其发送给选定的接收者，请选择**创建并发送数据授权**。

您现在已经完成创建数据授权的手动操作部分。数据授权将显示在 “**已发送数据授**权” 页面的 “**已发送数据授**权” 选项卡上，显示其状态为 “**待接受**”，直到接收者账户接受为止。

## 创建包含数据权限数据集 AWS Lake Formation 的数据授权时的注意事项（预览）
<a name="data-grant-considerations-LF-data-product"></a>

为确保最佳的接收者体验，我们强烈建议您不要对您的产品包含的 Lake Formation 数据集（预览版）的任何权限 AWS Data Exchange 进行以下任何修改。
+ 我们建议不要删除或修改在包含 AWS Lake Formation 数据集的活动数据授权 AWS Data Exchange 中传递给的 IAM 角色。如果您删除或修改此类 IAM 角色，会出现以下问题：
  + AWS 账户 有权访问 Lake Formation 数据权限的用户可能会无限期地保留访问权限。
  + AWS 账户 您的数据授权的接收者但尚未获得 Lake Formation 数据权限的访问权限将无法获得访问权限。

  AWS Data Exchange 对您删除或修改的任何 IAM 角色概不负责。
+ 我们建议您不要撤销 AWS Data Exchange 在包含数据集 AWS Lake Formation 的数据授权中传递给的 IAM 角色授予 AWS Lake Formation 的数据权限。如果您撤销此类 IAM 角色的授予数据权限，会出现以下问题：
  + AWS 账户 有权访问 Lake Formation 数据权限的用户可能会无限期地保留访问权限。
  + AWS 账户 订阅您的产品但尚未获得 Lake Formation 数据权限访问权限的用户将无法获得访问权限。
+ 我们建议不要从包含数据集的活动 AWS Lake Formation 数据授权中 AWS 账户 撤消授予 AWS Lake Formation 的数据权限。如果您撤消 AWS 账户 了作为数据授予接收者的授予的数据权限，则这些账户将失去访问权限，从而造成糟糕的客户体验。
+ 在创建包含 AWS Lake Formation 数据集的数据授权时，我们建议 AWS Glue Data Catalog 将您的跨账户版本设置为版本 3。如果您降级 Data Lake Catalog 的跨账户版本，同时拥有包含 AWS Lake Formation 数据集的活跃数据授权，则作为数据授权的接收者但尚未获得 Lake Formation 数据权限的访问权限的人可能无法访问数据。 AWS 账户