Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Otorgar permisos de lago de datos mediante el método LF-TBAC
Puede conceder los permisos de ASSOCIATE Lake Formation DESCRIBE y de Lake Formation LF-Tags a los directores para que puedan ver LF-Tags y asignarlos a los recursos del catálogo de datos (bases de datos, tablas, vistas y columnas). Cuando LF-Tags se asignan a los recursos del catálogo de datos, puede utilizar el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para proteger esos recursos. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.
Al principio, solo el administrador del lago de datos puede conceder estos permisos. Si el administrador del lago de datos concede estos permisos con la opción de concesión, otras entidades principales podrán otorgarlos. Los permisos DESCRIBE y ASSOCIATE se explican en Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation.
Puede conceder los ASSOCIATE permisos DESCRIBE y LF-Tag a una AWS cuenta externa. Un administrador del lago de datos de esa cuenta puede entonces conceder esos permisos a otras entidades principales de la cuenta. Los directores a los que el administrador del lago de datos de la cuenta externa les conceda el ASSOCIATE permiso pueden entonces LF-Tags asignar los recursos del catálogo de datos que haya compartido con su cuenta.
Al hacer concesiones a una cuenta externa, debe incluir la opción de concesión.
Puede conceder permisos LF-Tags mediante la AWS Lake Formation consola, la API o el AWS Command Line Interface (AWS CLI).
Los siguientes pasos no son necesarios para los catálogos de Tablas de S3. Puede utilizarlos LF-Tags para conceder permisos en los catálogos de S3 Tables existentes sin eliminarlos ni volver a crearlos.
Habilitar LF-Tags el soporte para los catálogos federados existentes que utilizan los permisos de Lake Formation
Siga estos pasos si tiene catálogos federados existentes que utilizan permisos de Lake Formation, como Amazon Redshift, Amazon DynamoDB o catálogos que se crearon LF-Tags antes de que estuviera disponible el soporte para los catálogos federados.
-
Eliminar el catálogo existente: llame a la operación de la API deleteCatalog para eliminar el catálogo federado existente que usa los permisos de Lake Formation.
-
Cree un nuevo catálogo federado: cree un catálogo nuevo y dirija el nuevo catálogo al existente. namespace/datashare
Use un nombre nuevo para el catálogo: este proceso actualiza los catálogos federados preexistentes para que sean compatibles con la funcionalidad. LF-Tag Si desea utilizar el mismo nombre de catálogo, póngase en contacto con el equipo de AWS soporte para obtener ayuda.
Concesión de permisos del catálogo de datos
Utilice la consola de Lake Formation o conceda permisos AWS CLI a Lake Formation en las bases de datos, tablas, vistas y columnas del catálogo de datos mediante el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation.
- Console
-
En los siguientes pasos se explica cómo conceder permisos mediante el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation y la página de concesión de permisos de lagos de datos de la consola de Lake Formation. La página está dividida en las secciones siguientes:
-
Responsables: los usuarios, las funciones y Cuentas de AWS a los que se deben conceder los permisos.
-
LF-Tags o recursos del catálogo: las bases de datos, las tablas o los enlaces a los recursos para conceder permisos.
-
Permisos. Los permisos de Lake Formation que se conceden.
-
Abra la página Conceder permisos de lagos de datos.
Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/e inicie sesión como administrador de un lago de datos o como usuario al que se le hayan otorgado permisos de Lake Formation sobre los recursos del catálogo de datos LF-TBAC mediante la opción de concesión.
En el panel de navegación, en Permisos, seleccione Permisos de lago de datos. A continuación, seleccione Conceder.
-
Especifique las entidades principales.
En la sección Entidades principales, elija uno de los tipos y, a continuación, especifique las que van a recibir los permisos concedidos.
- Usuarios y roles de IAM
-
Elija uno o varios usuarios o roles en la lista de usuarios y roles de IAM.
- IAM Identity Center
-
Elija uno o varios usuarios o en la lista de Usuarios y grupos.
- Usuarios y grupos de SAML
-
Para los usuarios y grupos de SAML y Quick, introduzca uno o más nombres de recursos de Amazon (ARN) para los usuarios o grupos federados a través de SAML, o ARN para los usuarios o grupos de Quick. Pulse Intro después de cada ARN.
Para obtener información sobre cómo crear ARN, consulte Concesión y revocación de Lake Formation AWS CLI Comandos de la de.
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.
- Cuentas externas
-
Para Cuentas de AWS AWS la organización o el director de IAM, introduzca uno o más Cuenta de AWS ID, ID de organización, ID de unidad organizativa o ARN válidos para el usuario o rol de IAM. Pulse Intro después de cada ID.
El ID de una organización está formado por una "o-" seguida de 10 a 32 letras minúsculas o dígitos.
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.
-
Asegúrese de elegir los recursos coincidentes por LF-Tags opción. Elija pares LF-Tag clave-valor o expresiones guardadas LF-Tag .
-
Si elige la opción de pares LF-Tag clave-valor, elija las claves y los valores.
Si elige más de un valor, está creando una LF-Tag expresión con un OR operador. Esto significa que si alguno de los LF-Tag valores coincide con un recurso LF-Tag asignado a un catálogo de datos, se le conceden permisos sobre el recurso.
-
(Opcional) Vuelva a seleccionar Añadir par LF-Tag clave-valor para especificar otro. LF-Tag
Si especifica más de uno LF-Tag, está creando una LF-Tag expresión con un AND operador. Al principal se le conceden permisos sobre un recurso del catálogo de datos solo si al recurso se le ha asignado una coincidencia LF-Tag para cada uno de los LF-Tag elementos de la LF-Tag expresión.
-
Seleccione la opción Guardar como expresión nueva para volver a utilizar la expresión.
Necesita Create LF-Tag expression para guardar expresiones.
Para obtener más información sobre LF-Tag las expresiones, consulteGestión de LF-Tag expresiones para el control de acceso a los metadatos.
-
Especifique los permisos.
Especifique los permisos que se conceden a la entidad principal sobre los recursos coincidentes del catálogo de datos. Los recursos coincidentes son aquellos recursos que se asignaron y LF-Tags que coinciden con una de las LF-Tag expresiones otorgadas al principal.
Puede especificar los permisos que se van a conceder sobre las bases de datos coincidentes, las tablas coincidentes y las vistas coincidentes.
En Permisos de base de datos, seleccione los permisos de base de datos que se concederán a la entidad principal en las bases de datos coincidentes.
En Permisos de tabla, seleccione los que se concederán a la entidad principal en las tablas y vistas coincidentes.
También puede elegir Select,Describe y permisos de Drop en Permisos de tabla y aplicarlos a las vistas.
-
Elija Conceder.
- AWS CLI
-
Puede usar el método AWS Command Line Interface (AWS CLI) y el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para conceder permisos de Lake Formation en las bases de datos, tablas y columnas del catálogo de datos.
Otorgar permisos para lagos de datos mediante el AWS CLI y el LF-TBAC método