Compartir datos mediante el control de acceso basado en etiquetas - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir datos mediante el control de acceso basado en etiquetas

AWS Lake Formation El control de acceso basado en etiquetas (LF-TBAC) es una estrategia de autorización que define los permisos en función de los atributos. En los pasos siguientes se explica cómo conceder permisos entre cuentas utilizando etiquetas LF.

Se requiere una configuración en la cuenta producer/grantor

  1. Agregue etiquetas LF.

    1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos o creador de etiquetas LF.

    2. En el panel de navegación, en Permisos, elija Etiquetas LF y permisos.

    3. Seleccione Agregar etiqueta LF.

      Para obtener instrucciones sobre cómo crear etiquetas LF, consulte Crear etiquetas LF.

  2. Otorgue a Describe and/or Associate permisos de etiqueta L a pares clave-valor a los principales de IAM de su cuenta o de cuentas externas.

    La concesión de permisos en pares clave-valor de etiquetas LF permite a las entidades principales ver las etiquetas LF y asignarlas a los recursos del Catálogo de datos (bases de datos, tablas y columnas).

  3. A continuación, el administrador del lago de datos o una entidad principal de IAM con permiso Asociar pueden asignar la etiqueta LF a bases de datos, tablas o columnas. Para obtener más información, consulte Asignación de varias etiquetas LF a recursos del Catálogo de datos.

  4. A continuación, conceda permisos de datos a cuentas externas mediante expresiones de etiquetas LF. Esto permite a quien concede o recibe los permisos acceder a los recursos del Catálogo de datos que están etiquetados con las mismas claves y valores.

    1. En el panel de navegación, elija Permisos y Permisos de datos.

    2. Elija Conceder.

    3. En la página Concesión de permisos, para Entidades principales, elija Cuentas externas y especifique el ID de Cuenta de AWS del beneficiario o el rol de IAM de la entidad principal o el nombre de recurso de Amazon (ARN) para la entidad principal (ARN de la entidad principal) si otorga una concesión directa entre cuentas a una entidad principal externa. Debe pulsar Intro después de especificar el ID de cuenta.

      La pantalla de concesión de permisos con la cuenta externa y los pares clave-valor de etiqueta LF especificados

    4. En Etiquetas LF o recursos de catálogo, elija Recursos que coincidan con etiquetas LF (recomendado).

      1. Elija la opción Pares clave-valor de etiqueta LF o Expresiones de etiquetas LF guardadas.

      2. Si elige Pares clave-valor de etiqueta LF, especifique la clave y los valores de la etiqueta LF que está asociada al recurso del Catálogo de datos que se comparte con la cuenta beneficiaria.

        Al beneficiario se le conceden permisos sobre los recursos del Catálogo de datos a los que se les asignó una etiqueta LF coincidente en la expresión de etiqueta LF. Si la expresión de etiqueta LF especifica varios valores por clave de etiqueta, cualquiera de los valores de la etiqueta puede coincidir.

    5. Elija los permisos en el nivel de base de datos o de tabla que se van a conceder a los recursos que coincidan con la expresión de etiqueta LF.

      importante

      Como el administrador del lago de datos debe conceder permisos sobre los recursos compartidos a las entidades principales de la cuenta beneficiaria, los permisos entre cuentas siempre deben concederse con la opción de concesión.

      Para obtener más información, consulte Concesión de permisos de etiqueta LF desde la consola.

      nota

      Las entidades principales que reciban concesiones directas entre cuentas no dispondrán de la opción Permisos concedibles.

Se requiere una configuración en la cuenta receiving/grantee

  1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos de la cuenta consumidora.

  2. A continuación, reciba el recurso compartido en la cuenta consumidora.

    1. Abre la AWS RAM consola.

    2. En el panel de navegación, en Compartidos conmigo, elija Recursos compartidos.

    3. Seleccione los recursos compartidos y elija Aceptar el recurso compartido.

  3. Al compartir un recurso con otra cuenta, el recurso sigue perteneciendo a la cuenta del productor y no está visible en la consola de Athena. Para que el recurso sea visible en la consola de Athena, debe crear un enlace de recurso que apunte al recurso compartido. Para obtener instrucciones sobre cómo crear un enlace a un recurso, consulte Crear un enlace de recursos a una tabla de Catálogo de datos compartida y Crear un enlace de recursos a una base de datos de Catálogo de datos compartida

    1. Elija Bases de datos o Tablas en el Catálogo de datos.

    2. En la Databases/Tables página, seleccione Crear, enlace de recursos.

    3. Especifique la siguiente información para un enlace de recurso de base de datos:

      • Nombre del enlace de recurso: un nombre exclusivo para el enlace de recurso.

      • Catálogo de destino: el catálogo en el que se crea el enlace de recurso.

      • Región de la base de datos compartida: la región de la base de datos compartida con usted si va a crear el enlace de recurso en una región diferente.

      • Base de datos compartida: elija la base de datos compartida.

      • ID de catálogo de la base de datos compartida: especifique el ID de catálogo de la base de datos compartida.

    4. Seleccione Crear. Puede ver el enlace de recurso recién creado en la lista de bases de datos.

    Del mismo modo, puede crear un enlace de recurso a una tabla compartida.

  4. Ahora conceda el permiso Describir en el enlace de recurso a las entidades principales de IAM con los que va a compartir el recurso.

    1. Para ello, en la página Bases de datos/tablas, seleccione el enlace de recurso y, en el menú Acciones, elija Conceder.

    2. En la sección Conceder permisos, seleccione Usuarios y roles de IAM.

    3. Elija el rol de IAM al que quiera conceder acceso al enlace de recurso.

    4. En la sección de permisos del Enlace de recurso, seleccione Describir.

    5. Elija Conceder.

  5. A continuación, conceda permisos de clave-valor de etiqueta LF a las entidades principales de la cuenta consumidora.

    Debería ser capaz de encontrar las etiquetas LF compartidas con usted en la cuenta consumidora en la consola de Lake Formation, en Permisos, Etiquetas LF y permisos. Puede asociar las etiquetas compartidas por el otorgante a los recursos compartidos por la cuenta otorgante, que incluyen: bases de datos, tablas y columnas. Puede conceder permisos adicionales sobre los recursos a otras entidades principales.

    La pantalla muestra los permisos de las etiquetas LF de la cuenta.

    1. En el panel de navegación, en Permisos, Permisos de datos, seleccione Conceder.

    2. En la página Conceder permisos, seleccione Usuarios y roles de IAM.

    3. A continuación, elija los usuarios y roles de IAM de su cuenta para conceder acceso a las bases de datos o tablas compartidas.

    4. A continuación, en Etiquetas LF o recursos de catálogo, elija Recursos que coincidan con etiquetas LF.

    5. A continuación, elija la clave y los valores de la etiqueta LF que se comparte con usted.

    6. A continuación, elija los permisos de base de datos y tabla que desea conceder a los usuarios y roles de IAM. También puede elegir Permisos concesibles para permitir a usuarios y roles de IAM conceder permisos a otros usuarios o roles.

    7. Elija Conceder.

    8. Puede ver las concesiones de permisos en Permisos de datos en la consola de Lake Formation.