View a markdown version of this page

Compartir datos mediante el control de acceso basado en etiquetas - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir datos mediante el control de acceso basado en etiquetas

AWS Lake Formation El control de acceso basado en etiquetas (LF-TBAC) es una estrategia de autorización que define los permisos en función de los atributos. En los siguientes pasos se explica cómo conceder permisos para varias cuentas mediante. LF-Tags

Se requiere una configuración en la cuenta producer/grantor
  1. Añadir LF-Tags.

    1. Inicie sesión en la consola de Lake Formation como administrador o LF-Tag creador de un lago de datos.

    2. En la barra de navegación izquierda, elija Permisos LF-Tags y permisos.

    3. Elija Añadir LF-Tag.

      Para obtener instrucciones detalladas sobre la creación LF-Tags, consulteCreando LF-Tags.

  2. Conceda a Describe and/or Associate permisos pares LF-Tag de valores clave a los directores de IAM de su cuenta o de cuentas externas.

    Al conceder permisos a los pares LF-Tag clave-valor, los directores pueden ver los recursos del catálogo de datos (bases de datos LF-Tags, tablas y columnas) y asignarlos a ellos.

  3. A continuación, el administrador del lago de datos o un director de IAM con permiso de asociado pueden asignarlos LF-Tag a bases de datos, tablas o columnas. Para obtener más información, consulte Asignación LF-Tags a recursos del catálogo de datos.

  4. A continuación, conceda permisos de datos a cuentas externas mediante LF-Tag expresiones. Esto permite a quien concede o recibe los permisos acceder a los recursos del Catálogo de datos que están etiquetados con las mismas claves y valores.

    1. En el panel de navegación, elija Permisos y Permisos de datos.

    2. Elija Conceder.

    3. En la página Concesión de permisos, para Entidades principales, elija Cuentas externas y especifique el ID de Cuenta de AWS del beneficiario o el rol de IAM de la entidad principal o el nombre de recurso de Amazon (ARN) para la entidad principal (ARN de la entidad principal) si otorga una concesión directa entre cuentas a una entidad principal externa. Debe pulsar Intro después de especificar el ID de cuenta.

      La pantalla de concesión de permisos con los pares de cuentas externas y LF-Tag clave-valor especificados.
    4. Para los recursos LF-Tags o para catalogarlos, elija los recursos que coincidan con LF-Tags (recomendado).

      1. Elija la opción pares LF-Tag clave-valor o Expresiones guardadas LF-Tag .

      2. Si elige pares LF-Tag clave-valor, introduzca la clave y los valores asociados al recurso del catálogo de datos LF-Tagque se comparte con la cuenta del concesionario.

        Al concesionario se le conceden permisos sobre los recursos del catálogo de datos a los que se les asignó una coincidencia en la expresión. LF-Tag LF-Tag Si la LF-Tag expresión especifica varios valores por clave de etiqueta, cualquiera de los valores de la etiqueta puede coincidir.

    5. Elija los permisos a nivel de base de datos o de tabla para conceder a los recursos que coincidan con la expresión. LF-Tag

      importante

      Como el administrador del lago de datos debe conceder permisos sobre los recursos compartidos a las entidades principales de la cuenta beneficiaria, los permisos entre cuentas siempre deben concederse con la opción de concesión.

      Para obtener más información, consulte LF-Tag Otorgar permisos mediante la consola.

      nota

      Las entidades principales que reciban concesiones directas entre cuentas no dispondrán de la opción Permisos concedibles.

La configuración es obligatoria en la cuenta receiving/grantee
  1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos de la cuenta consumidora.

  2. A continuación, reciba el recurso compartido en la cuenta consumidora.

    1. Abre la AWS RAM consola.

    2. En el panel de navegación, en Compartidos conmigo, elija Recursos compartidos.

    3. Seleccione los recursos compartidos y elija Aceptar el recurso compartido.

  3. Al compartir un recurso con otra cuenta, el recurso sigue perteneciendo a la cuenta del productor y no está visible en la consola de Athena. Para que el recurso sea visible en la consola de Athena, debe crear un enlace de recurso que apunte al recurso compartido. Para obtener instrucciones sobre cómo crear un enlace a un recurso, consulte Crear un enlace de recursos a una tabla de Catálogo de datos compartida y Crear un enlace de recursos a una base de datos de Catálogo de datos compartida

    1. Elija Bases de datos o Tablas en el Catálogo de datos.

    2. En la Databases/Tables página, seleccione Crear, enlace de recursos.

    3. Especifique la siguiente información para un enlace de recurso de base de datos:

      • Nombre del enlace de recurso: un nombre exclusivo para el enlace de recurso.

      • Catálogo de destino: el catálogo en el que se crea el enlace de recurso.

      • Región de la base de datos compartida: la región de la base de datos compartida con usted si va a crear el enlace de recurso en una región diferente.

      • Base de datos compartida: elija la base de datos compartida.

      • ID de catálogo de la base de datos compartida: especifique el ID de catálogo de la base de datos compartida.

    4. Seleccione Crear. Puede ver el enlace de recurso recién creado en la lista de bases de datos.

    Del mismo modo, puede crear un enlace de recurso a una tabla compartida.

  4. Ahora conceda el permiso Describir en el enlace de recurso a las entidades principales de IAM con los que va a compartir el recurso.

    1. En la Databases/Tablespágina, seleccione el enlace al recurso y, en el menú Acciones, elija Conceder.

    2. En la sección Conceder permisos, seleccione Usuarios y roles de IAM.

    3. Elija el rol de IAM al que quiera conceder acceso al enlace de recurso.

    4. En la sección de permisos del Enlace de recurso, seleccione Describir.

    5. Elija Conceder.

  5. A continuación, concede permisos LF-Tag con valores clave a los principales de la cuenta del consumidor.

    Debería poder encontrar los LF-Tags que se comparten con usted en la cuenta de consumidor de la consola de Lake Formation, en Permisos LF-Tags y permisos. Puede asociar las etiquetas compartidas por el otorgante a los recursos compartidos por la cuenta otorgante, que incluyen: bases de datos, tablas y columnas. Puede conceder permisos adicionales sobre los recursos a otras entidades principales.

    La pantalla muestra los permisos LF-Tags de la cuenta.
    1. En el panel de navegación, en Permisos, Permisos de datos, seleccione Conceder.

    2. En la página Conceder permisos, seleccione Usuarios y roles de IAM.

    3. A continuación, selecciona los usuarios y funciones de IAM de tu cuenta para conceder el acceso a lo compartido databases/tables.

    4. A continuación, para buscar recursos LF-Tags o catalogarlos, elija los recursos coincidentes por LF-Tags.

    5. A continuación, elige la clave y los valores de lo LF-Tag que se comparte contigo.

    6. A continuación, elija los permisos de base de datos y tabla que desea conceder a los usuarios y roles de IAM. También puede elegir permisos concedibles que permitan a los usuarios y roles de IAM conceder permisos a otros. users/roles

    7. Elija Conceder.

    8. Puede ver las concesiones de permisos en Permisos de datos en la consola de Lake Formation.