Control de acceso basado en atributos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso basado en atributos

En AWS Lake Formation, puede conceder acceso a AWS Glue Data Catalog objetos como catálogos, bases de datos, tablas y filtros de datos mediante atributos que son etiquetas de IAM y etiquetas de sesión asociadas a entidades de IAM, como roles y usuarios.

Para obtener más información sobre el uso de etiquetas de sesión, consulte assume-role en la guía del usuario. AWS CLI

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. AWS llama a estos atributos etiquetas. Puede usar ABAC para conceder acceso a los directores de la misma cuenta o de otra cuenta de los recursos del catálogo de datos. Cualquier director de IAM con claves y valores coincidentes de la etiqueta de IAM o de la etiqueta de sesión tendrá acceso al recurso. Debe tener permisos concedibles sobre los recursos para poder realizar estas concesiones.

ABAC le permite conceder acceso a varios usuarios al mismo tiempo. Cuando los nuevos usuarios se unen a la organización, su acceso a los datos se puede determinar automáticamente en función de sus atributos, como su puesto de trabajo o su departamento, sin necesidad de que los administradores asignen manualmente funciones o permisos específicos. Al utilizar atributos en lugar de funciones, ABAC proporciona una forma más ágil y fácil de mantener de gestionar el acceso a los datos en diversos sistemas y entornos, lo que, en última instancia, mejora la gobernanza y el cumplimiento de los datos.

Para obtener más información sobre la definición de atributos, consulte Definir permisos basados en atributos con la autorización de ABAC.

Para obtener información sobre las limitaciones, las consideraciones y AWS las regiones compatibles, consulteConsideraciones, limitaciones y regiones compatibles con el control de acceso basado en atributos.