Control de acceso basado en atributos

En AWS Lake Formation, puede conceder acceso a AWS Glue Data Catalog objetos como catálogos, bases de datos, tablas y filtros de datos mediante atributos que son etiquetas de IAM y etiquetas de sesión asociadas a entidades de IAM, como roles y usuarios.

Para obtener más información sobre el uso de etiquetas de sesión, consulte assume-role en la guía del usuario. AWS CLI

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. AWS llama a estos atributos etiquetas. Puede utilizar ABAC para conceder acceso a las entidades principales de la misma cuenta o de otra cuenta sobre los recursos del Catálogo de datos. Cualquier entidad principal de IAM con claves y valores coincidentes de la etiqueta de IAM o de la etiqueta de sesión tendrá acceso al recurso. Debe tener permisos concesibles sobre los recursos para poder realizar estas concesiones.

ABAC le permite conceder acceso a varios usuarios al mismo tiempo. Cuando los nuevos usuarios se unen a la organización, su acceso a los datos se puede determinar automáticamente en función de sus atributos, como su puesto de trabajo o su departamento, sin necesidad de que los administradores asignen manualmente roles o permisos específicos. Al utilizar atributos en lugar de roles, ABAC proporciona una forma de administrar el acceso a los datos en diversos sistemas y entornos más ágil y fácil de mantener, lo que, en última instancia, mejora la gobernanza y el cumplimiento de los datos.

Para obtener más información sobre cómo definir atributos, consulte Definición de permisos en función de los atributos con la autorización de ABAC.

Para obtener información sobre las limitaciones, las consideraciones y AWS las regiones compatibles, consulteConsideraciones, limitaciones y regiones compatibles para el control de acceso basado en atributos.