Permisos entre cuentas en cascada

Al compartir datos entre AWS cuentas mediante políticas de etiquetas LF, se AWS Lake Formation habilita la transmisión en cascada de permisos a través de dos mecanismos principales de delegación. Estos mecanismos permiten a los administradores de cuentas de consumidores conceder acceso a los usuarios y funciones sin necesidad de que la cuenta de productor gestione los permisos individuales de cada consumidor.

Delegación con políticas de etiqueta LF idénticas: cuando la política de etiqueta LF es exactamente la misma que la política de etiqueta LF utilizada por la cuenta del productor para compartir recursos con la cuenta de consumidor, los directores pueden transferir los permisos en cascada utilizando los permisos concedibles (). PermissionsWithGrantOption Esto permite que el principal de la cuenta del consumidor conceda los mismos permisos a otros directores de su cuenta.
Delegación alternativa mediante DESCRIBE permisos: los directores de la cuenta de consumidor pueden transferir permisos en cascada sin necesidad de conceder permisos (PermissionsWithGrantOption) si tienen permisos de descripción en pares de etiquetas y valores. Este enfoque solo funciona cuando las cuentas de productor y consumidor tienen políticas de permisos diferentes.

Es importante comprender estos mecanismos de delegación para poder compartir datos entre cuentas de forma adecuada y gestionar la seguridad de forma adecuada. Determinan cómo fluyen los permisos de los propietarios de los datos a los consumidores.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Compartir datos mediante el control de acceso basado en etiquetas

Reglas de permisos en cascada