Configurar los permisos para empezar a usar AWS HealthLake - AWS HealthLake
Inscríbase en una Cuenta de AWSCreación de un usuario con acceso administrativoConfigure IAM el usuario o el rol que desee utilizar HealthLake (IAMadministrador)Agregue un usuario o rol como administrador de Data Lake en Lake Formation (IAMadministrador)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar los permisos para empezar a usar AWS HealthLake

En este capítulo, utilizará el AWS Management Console para configurar los permisos necesarios para empezar a usar AWS HealthLake y crear un almacén de datos. Para configurar los permisos para crear un banco de datos, debe crear un IAM usuario o rol que sea administrador y HealthLake administrador del lago de datos. Convierte a este usuario en administrador de lagos de datos en AWS Lake Formation. El administrador del lago de datos concede a Lake Formation acceso a los recursos necesarios para utilizar Amazon Athena para consultar un almacén de datos.

Después de crear un almacén de datos HealthLake, puede configurar los permisos para importar archivos al almacén de datos o exportarlos. Para obtener información sobre cómo configurar los permisos para importar archivos, consulteConfiguración de permisos para trabajos de importación. Para obtener información sobre cómo configurar los permisos para exportar archivos, consulteConfiguración de permisos para trabajos de exportación.

Inscríbase en una Cuenta de AWS

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

Para suscribirte a una Cuenta de AWS

  1. Abrir https://portal.aws.amazon.com/billing/registro.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Cuando te registras en un Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a https://aws.amazon.com/y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

  1. Inicie sesión AWS Management Consolecomo propietario de la cuenta seleccionando el usuario root e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In .

  2. Activa la autenticación multifactorial (MFA) para tu usuario root.

    Para obtener instrucciones, consulte Habilitar un MFA dispositivo virtual para el usuario Cuenta de AWS root (consola) en la Guía del IAM usuario.

Creación de un usuario con acceso administrativo

  1. Habilite IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre cómo usar el Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.

Inicio de sesión como usuario con acceso de gestionador

  • Para iniciar sesión con su usuario de IAM Identity Center, utilice el inicio de sesión URL que se envió a su dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario de IAM Identity Center, consulte Iniciar sesión en el portal de AWS acceso en la Guía del AWS Sign-In usuario.

Concesión de acceso a usuarios adicionales

  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos con privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center .

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center .

Configure IAM el usuario o el rol que desee utilizar HealthLake (IAMadministrador)

Persona: IAM administrador

Un usuario que puede crear IAM usuarios y roles, y puede añadir administradores de lagos de datos.

Los pasos de este tema los debe llevar a cabo un IAM administrador.

Para conectar su almacén de HealthLake datos a Athena, debe crear un IAM usuario o rol que sea administrador y administrador del lago de datos. HealthLake Este nuevo usuario o rol otorga acceso a los recursos que se encuentran en un almacén de datos a través de AWS Lake Formation y tiene la política AmazonHealthLakeFullAccess AWS administrada agregada a su usuario o rol.

importante

Un IAM usuario o rol que sea administrador de un lago de datos no puede crear nuevos administradores de lagos de datos. Para agregar un administrador de lago de datos adicional, debe usar un IAM usuario o rol al que se le haya otorgado AdministratorAccess acceso.

Para crear un administrador

  1. Agregue la política AmazonHealthlakeFullAccess IAM AWS administrada a un usuario o rol de su organización.

    Si no está familiarizado con la creación de un IAM usuario, consulte Creación de un IAM usuario y descripción general de AWS IAM las políticas en la Guía del IAM usuario.

  2. Conceda al IAM usuario o rol acceso a AWS Lake Formation.

    • Agregue la siguiente política IAM AWS administrada a un usuario o rol de su organización: AWSLakeFormationDataAdmin

      nota

      La AWSLakeFormationDataAdmin política otorga acceso a todos los recursos de AWS Lake Formation. Le recomendamos que utilice siempre los permisos mínimos necesarios para realizar la tarea. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

  3. Agregue la siguiente política en línea al usuario o rol. Para obtener más información, consulte las políticas integradas en la Guía del IAMusuario.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-source-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:GetResourceShareInvitations",
                "ram:AcceptResourceShareInvitation",
                "glue:CreateDatabase",
                "glue:DeleteDatabase"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información sobre la AWSLakeFormationDataAdmin política, consulte la referencia sobre personas y IAM permisos de Lake Formation en la Guía para desarrolladores de AWS Lake Formation.

Agregue un usuario o rol como administrador de Data Lake en Lake Formation (IAMadministrador)

A continuación, el IAM administrador debe añadir el usuario o rol creado en el paso 1 como administrador del lago de datos en Lake Formation.

Para agregar un IAM usuario o un rol como administrador de un lago de datos

  1. Abre la consola de AWS Lake Formation: https://console.aws.amazon.com/lakeformation/

    nota

    Si es la primera vez que visita Lake Formation, aparecerá el cuadro de diálogo Bienvenido a Lake Formation pidiéndole que defina un administrador de Lake Formation.

    Imagen de un cuadro de diálogo en el que se le pide que defina un administrador de formaciones lacustres

  2. Asigne al nuevo usuario o rol como administrador AWS del lago de datos de Lake Formation.

    • Opción 1: Si ha recibido el cuadro de diálogo Welcome to Lake Formation.

      1. Seleccione Añadir otros AWS usuarios o roles.

      2. Seleccione la flecha hacia abajo (▼).

      3. Elija el HealthLake administrador que le gustaría que también fuera administrador de Lake Formation.

      4. Elija Comenzar.

    • Opción 2: utilice el panel de navegación (☰).

      1. Elija el panel de navegación (☰).

      2. En Permisos, elija Funciones y tareas administrativas.

      3. En la sección Administradores de Data Lake, selecciona Elegir administradores.

      4. En el cuadro de diálogo Administrar administradores de lagos de datos, seleccione la flecha hacia abajo (▼).

      5. A continuación, seleccione o busque los HealthLake administradores, usuarios o roles que también desee que sean administradores de Lake Formation.

      6. Seleccione Guardar.

  3. Cambie la configuración de seguridad predeterminada para que la administre Lake Formation. Los recursos del almacén de HealthLake datos deben ser gestionados por Lake Formation, noIAM. Para actualizar, consulte Cambiar el modelo de permisos predeterminado en la Guía para desarrolladores de AWS Lake Formation.