Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de Lake Formation para un clúster de EMR habilitado por IAM Identity Center
<a name="emr-idc-lf"></a>

Puede integrarlo [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/)con su clúster de EMR AWS IAM Identity Center habilitado.

En primer lugar, asegúrese de tener una instancia de Identity Center configurada en la misma región que el clúster. Para obtener más información, consulte [Creación de una instancia de Identity Center](emr-idc-start.md#emr-idc-start-instance). Puede encontrar el ARN de la instancia en la consola de IAM Identity Center en los detalles de la instancia o utilizar el siguiente comando para ver los detalles de todas las instancias desde la CLI:

```
aws sso-admin list-instances
```

A continuación, utilice el ARN y el ID de su AWS cuenta con el siguiente comando para configurar Lake Formation para que sea compatible con IAM Identity Center:

```
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json 
json input:
{
    "CatalogId": "account-id/org-account-id",
    "InstanceArn": "identity-center-instance-arn"
}
```

Ahora, llame a `put-data-lake-settings` y habilite `AllowFullTableExternalDataAccess` con Lake Formation:

```
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json 
json input:
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "admin-ARN"
            }
        ],
        "CreateDatabaseDefaultPermissions": [...],
        "CreateTableDefaultPermissions": [...],
        "AllowExternalDataFiltering": true,
        "AllowFullTableExternalDataAccess": true
    }
}
```

Por último, conceda permisos de tabla completos al ARN de identidad para el usuario que accede al clúster de EMR. El ARN contiene el ID de usuario de Identity Center. Vaya a Identity Center en la consola, seleccione **Usuarios** y, a continuación, seleccione el usuario para ver su configuración de **Información general**.

Copie el ID de usuario y péguelo en el siguiente ARN para `user-id`:

```
arn:aws:identitystore:::user/user-id
```

**nota**  
Las consultas en el clúster de EMR solo funcionan si la identidad de IAM Identity Center tiene acceso total a la tabla protegida de Lake Formation. Si la identidad no tiene acceso total a la tabla, la consulta fallará.

Utilice el siguiente comando para conceder al usuario acceso total a la tabla:

```
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
    },
    "Resource": {
        "Table": {
            "DatabaseName": "tip_db",
            "Name": "tip_table"
        }
    },
    "Permissions": [
        "ALL"
    ],
    "PermissionsWithGrantOption": [
        "ALL"
    ]
}
```

## Cómo agregar el ARN de la aplicación en IDC para la integración con Lake Formation
<a name="emr-idc-enabled-idc"></a>

Para consultar recursos habilitados con Lake Formation, debe agregar el ARN de la aplicación de IDC. Para ello, sigue estos pasos:

1. En la consola, seleccione **AWS Lake Formation**.

1. Elija **Integración con IAM Identity Center** e **Integración de Lake Formation con la aplicación**, y relacione el ARN de la aplicación. El ARN aparecerá en la lista **ID de la aplicación**.