Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Concesión de permisos mediante control de acceso basado en atributos
En este tema, se describen los pasos que debe seguir para conceder permisos de acceso basados en atributos a los recursos del Catálogo de datos. Puede utilizar la consola de Lake Formation o la interfaz de línea de AWS comandos (AWS CLI).
Abre la consola de Lake Formation en e inicia sesión como administrador del lago de datos, creador del recurso o usuario de IAM que tenga permisos concedibles sobre el recurso. https://console.aws.amazon.com/lakeformation/
Realice una de las siguientes acciones:
En el panel de navegación, en Permisos, seleccione Permisos de lago de datos. A continuación, seleccione Conceder.
En el panel de navegación, elija Catálogos en Catálogo de datos. A continuación, elija un objeto de catálogo (catálogos, bases de datos, tablas y filtros de datos) y, en el menú Acciones, en Permisos, elija Conceder.
En la página Concesión de permisos, elija Entidades principales por atributos.
Especifique la clave y el valor o los valores del atributo. Si elige más de un valor, está creando una expresión de atributo con un operador
OR. Esto significa que si alguno de los valores de las etiquetas de atributo asignados a un rol o usuario de IAM coincide, role/user obtiene permisos de acceso al recurso.Si elige más de una etiqueta de atributo, está creando una expresión de atributo con un operador
AND. Al principal se le conceden permisos sobre un recurso del catálogo de datos solo si al IAM role/user se le ha asignado una etiqueta coincidente para cada etiqueta de atributo de la expresión de atributo.Revise la expresión de política de Cedar resultante que se muestra en la consola.
Elija el alcance de los permisos. Si los beneficiarios pertenecen a una cuenta externa, elija Cuenta externa e introduzca el ID de la AWS cuenta.
A continuación, elija la cuenta del Catálogo de datos o cuentas externas. Debe tener los permisos concesibles correspondientes sobre los recursos para completar satisfactoriamente las concesiones de permisos.
Especifique qué acciones quiere permitir que realicen las entidades principales (usuarios o roles) que tienen atributos coincidentes. El acceso se concede a las entidades de IAM a las que se les hayan asignado etiquetas y valores que coincidan con al menos una de las expresiones de atributos especificadas. Revise la expresión de política de Cedar resultante en la consola. Para obtener más información acerca de Cedar, consulte ¿Qué es Cedar? | Referencia del lenguaje de políticas de Cedar
. GuideLink A continuación, elija los recursos del Catálogo de datos para conceder el acceso. Puede definir estos permisos para varios recursos del Catálogo de datos, incluidos catálogos, bases de datos, tablas y filtros de datos.
Elija Conceder.
Este enfoque le permite controlar el acceso en función de los atributos, lo que garantiza que solo los usuarios o roles con las etiquetas adecuadas puedan realizar acciones específicas en los recursos designados.
El siguiente ejemplo muestra una expresión de atributo que debe cumplirse para recibir todos los permisos disponibles en el recurso. También puede especificar permisos individuales como Select, Describe o Drop. La expresión utiliza la expresión de política de Cedar. Para obtener más información acerca de Cedar, consulte ¿Qué es Cedar? | Referencia del lenguaje de las políticas de Cedar GuideLink
Esta condición comprueba si la entidad principal de IAM tiene una etiqueta department y el valor de la etiqueta department es igual a sales.
aws lakeformation grant-permissions --principal '{"DataLakePrincipalIdentifier": "111122223333:IAMPrincipals"}' \ --resource '{"Database": {"CatalogId":111122223333, "Name": "abac-db"}}' \ --permissionsALL\ --condition '{"Expression": "context.iam.principalTags.hasTag(\"department\") \ && context.iam.principalTags.getTag(\"department\") == \"sales\""}'
