Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configurar AWS Lake Formation
<a name="initial-lf-config"></a>

 Las siguientes secciones proporcionan información sobre cómo configurar Lake Formation por primera vez. No todos los temas de esta sección son necesarios para empezar a utilizar Lake Formation. Puede utilizar las instrucciones para configurar el modelo de permisos de Lake Formation para gestionar sus AWS Glue Data Catalog objetos y ubicaciones de datos existentes en Amazon Simple Storage Service (Amazon S3).

1. [Crear un administrador de lago de datos](#create-data-lake-admin)

1. [Cambio del modelo de permisos predeterminado o uso del modo de acceso híbrido](#setup-change-cat-settings)

1. [Configurar una ubicación de Amazon S3 para el lago de datos](#register-s3-location)

1. [Asignar permisos a usuarios de Lake Formation](#permissions-lf-principal)

1. [Integración de IAM Identity Center](identity-center-integration.md)

1. [(Opcional) Configuración de filtrado de datos externo](#external-data-filter)

1. [(Opcional) Conceda acceso a la clave de cifrado del Catálogo de datos](#setup-encrypted-catalog)

1. [(Opcional) Crear un rol de IAM para flujos de trabajo](#iam-create-blueprint-role)

Esta sección muestra cómo configurar los recursos de Lake Formation de dos maneras diferentes:
+ Uso de una AWS CloudFormation plantilla
+ Uso de la consola de Lake Formation

Para configurar Lake Formation mediante la AWS consola, vaya a[Crear un administrador de lago de datos](#create-data-lake-admin).

## Configure los recursos de Lake Formation usando CloudFormation una plantilla
<a name="lf-setup-cfn"></a>
**nota**  
La CloudFormation pila realiza los pasos 1 a 6 de los anteriores, excepto los pasos 2 y 5. Ejecute [Cambio del modelo de permisos predeterminado o uso del modo de acceso híbrido](#setup-change-cat-settings) y [Integración de IAM Identity Center](identity-center-integration.md) manualmente desde la consola de Lake Formation.

1. Inicie sesión en la AWS CloudFormation consola en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) como administrador de IAM en la región EE.UU. Este (Norte de Virginia).

1. Seleccione [Lanzar pila](https://us-east-1.console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?templateURL=https://lf-public.s3.amazonaws.com/cfn/SettingUpLf.yaml).

1. Seleccione **Siguiente** en la pantalla **Crear pila**.

1. Introduzca un **Nombre de pila**.

1. Para **DatalakeAdminName**y **DatalakeAdminPassword**, introduzca su nombre de usuario y contraseña como usuario administrador de Data Lake.

1. Para **DatalakeUser1Name** y **DatalakeUser1Password**, introduce tu nombre de usuario y contraseña para el usuario de data lake analyst.

1. Para ello **DataLakeBucketName**, introduce el nombre del nuevo depósito que se va a crear.

1. Elija **Siguiente**.

1. En la página siguiente, elija `I acknowledge that CloudFormation might create IAM resources with custom names` y, a continuación, elija **Siguiente**.

1. Revisa los detalles en la última página y selecciona **Acepto que eso AWS CloudFormation podría crear recursos de IAM**.

1. Seleccione **Crear**.

   La creación de la pila puede llevar hasta dos minutos.

**Eliminar recursos**

Si quieres limpiar los recursos de la CloudFormation pila:

1. Anule el registro del bucket de Amazon S3 creado por su pila, registrado como ubicación del lago de datos.

1. Elimina la CloudFormation pila. Esto eliminará todos los recursos creados por la pila.

## Crear un administrador de lago de datos
<a name="create-data-lake-admin"></a>

Los administradores de los lagos de datos son inicialmente los únicos usuarios o roles AWS Identity and Access Management (de IAM) que pueden conceder permisos de Lake Formation sobre las ubicaciones de datos y los recursos del catálogo de datos a cualquier responsable (incluido uno mismo). Para obtener más información acerca de las capacidades de administrador de lago de datos, consulte [Permisos implícitos de Lake Formation](implicit-permissions.md). De forma predeterminada, con Lake Formation puede crear hasta 30 administradores de lago de datos.

Puede crear un administrador de lagos de datos mediante la consola de Lake Formation o la operación `PutDataLakeSettings` de la API de Lake Formation.

Para crear un administrador de lago de datos, se requieren los permisos siguientes. El usuario `Administrator` tiene estos permisos de forma implícita.
+ `lakeformation:PutDataLakeSettings`
+ `lakeformation:GetDataLakeSettings`

Si concede a un usuario la política `AWSLakeFormationDataAdmin`, dicho usuario no podrá crear usuarios administradores adicionales de Lake Formation.

**Para crear un administrador de lago de datos (consola)**

1. Si el usuario que va a ser administrador del lago de datos aún no existe, utilice la consola de IAM para crearlo. De lo contrario, elija un usuario existente para ser administrador del lago de datos.
**nota**  
Le recomendamos que no seleccione a un usuario administrativo de IAM (usuario con la política `AdministratorAccess` AWS gestionada) como administrador del lago de datos.

   Adjunte las siguientes políticas AWS administradas al usuario:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/initial-lf-config.html)

1. Adjunte la siguiente política en línea, que otorga al administrador del lago de datos permiso para crear el rol vinculado al servicio de Lake Formation. Un posible nombre para la política es `LakeFormationSLR`.

   El rol vinculado al servicio permite al administrador del lago de datos registrar más fácilmente las ubicaciones de Amazon S3 con Lake Formation. Para más información sobre el rol vinculado al servicio Lake Formation, consulte [Uso de roles vinculados a servicios para Lake Formation](service-linked-roles.md).
**importante**  
En todas las políticas siguientes, *<account-id>* sustitúyalo por un número de AWS cuenta válido.

   ```
   {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:CreateServiceLinkedRole",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "iam:AWSServiceName": "lakeformation.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "iam:PutRolePolicy"
               ],
               "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
           }
       ]
   }
   ```

1. (Opcional) Vincule la siguiente política `PassRole` insertada al usuario. Esta política permite al administrador del lago de datos crear y ejecutar flujos de trabajo. El permiso `iam:PassRole` capacita al flujo de trabajo asumir el rol `LakeFormationWorkflowRole` para crear rastreadores y trabajos, y vincular el rol a los rastreadores y trabajos creados. Un posible nombre para la política es `UserPassRole`.
**importante**  
*<account-id>*Sustitúyalo por un número de AWS cuenta válido.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "PassRolePermissions",
               "Effect": "Allow",
               "Action": [
                   "iam:PassRole"
               ],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

1. (Opcional) Adjunte esta política adicional insertada si su cuenta va a conceder o recibir permisos entre cuentas de Lake Formation. Esta política permite al administrador del lago de datos ver y aceptar AWS Resource Access Manager (AWS RAM) invitaciones para compartir recursos. Además, para los administradores de lagos de datos de la cuenta AWS Organizations de administración, la política incluye un permiso para permitir las concesiones entre cuentas a las organizaciones. Para obtener más información, consulte [Compartir datos entre cuentas en Lake Formation](cross-account-permissions.md).

    Un posible nombre para la política es `RAMAccess`.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ram:AcceptResourceShareInvitation",
                   "ram:RejectResourceShareInvitation",
                   "ec2:DescribeAvailabilityZones",
                   "ram:EnableSharingWithAwsOrganization"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Abra la AWS Lake Formation consola [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicie sesión como el usuario administrador que creó [Creación de un usuario con acceso administrativo](getting-started-setup.md#create-an-admin) o como usuario con una política AWS gestionada por `AdministratorAccess` el usuario.

1. Si aparece la **ventana de bienvenida a Lake Formation**, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, elija **Comenzar**.

1. Si no aparece la **ventana de bienvenida a Lake Formation**, siga estos pasos para configurar un administrador de Lake Formation.

   1. En el panel de navegación, en **Administración**, seleccione **Roles y tareas administrativas**. En la sección de **administradores del lago de datos** de la página de la consola, seleccione **Agregar**. 

   1. En el cuadro de diálogo **Agregar administradores**, como tipo de acceso seleccione **Administrador del lago de datos**. 

   1. Para **los usuarios y roles de IAM**, elija el usuario de IAM que creó o seleccionó en el Paso 1 y, a continuación, seleccione **Guardar**.

## Cambio del modelo de permisos predeterminado o uso del modo de acceso híbrido
<a name="setup-change-cat-settings"></a>

Lake Formation comienza con la configuración «Use only IAM access control» habilitada para garantizar la compatibilidad con el AWS Glue Data Catalog comportamiento existente. Este ajuste le permite administrar el acceso a sus datos en el lago de datos y sus metadatos mediante políticas de IAM y políticas de bucket de Amazon S3. 

Para facilitar la transición de los permisos del lago de datos de un modelo IAM y Amazon S3 a los permisos de Lake Formation, le recomendamos que utilice el modo de acceso híbrido para el Catálogo de datos. Con el modo de acceso híbrido, dispone de una vía incremental en la que puede habilitar los permisos de Lake Formation para un conjunto específico de usuarios sin interrumpir a otros usuarios o cargas de trabajo existentes.

Para obtener más información, consulte [Modo de acceso híbrido](hybrid-access-mode.md).

Desactive la configuración predeterminada para mover a todos los usuarios existentes de una tabla a Lake Formation en un solo paso.

**importante**  
Si ya hay bases de datos y tablas de AWS Glue Data Catalog, no siga las instrucciones indicadas en esta sección. En su lugar, siga las instrucciones en [Actualización AWS Glue de los permisos de datos al AWS Lake Formation modelo](upgrade-glue-lake-formation.md).

**aviso**  
Si cuenta con una automatización que crea bases de datos y tablas en el Catálogo de datos, los pasos siguientes podrían provocar un error en los trabajos de automatización y extracción, transformación y carga (ETL) posteriores. Continúe solo después de haber modificado sus procesos existentes o de haber concedido permisos explícitos de Lake Formation a las entidades principales requeridas. Para obtener información sobre los permisos de Lake Formation, consulte [Referencia de permisos de Lake Formation](lf-permissions-reference.md).

**Para cambiar la configuración predeterminada del Catálogo de datos**

1. Continúe en la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Asegúrese de haber iniciado sesión como el usuario administrador que creó [Creación de un usuario con acceso administrativo](getting-started-setup.md#create-an-admin) o como usuario con la política `AdministratorAccess` AWS gestionada.

1. Modifique la configuración del Catálogo de datos:

   1. En el panel de navegación, **Administración**, seleccione **Configuración del Catálogo de datos**.

   1. Desmarque ambas casillas y seleccione **Guardar**.  
![\[El cuadro de diálogo de configuración del Catálogo de datos tiene el subtítulo «Permisos predeterminados para las bases de datos y tablas recién creadas» y dos casillas de verificación, descritas en el texto.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/settings-page.png)

1. Revoque el permiso de `IAMAllowedPrincipals` a los creadores de bases de datos.

   1. En el panel de navegación, en **Administración**, seleccione **Roles y tareas administrativas**.

   1. En la página de la consola de **Roles y tareas administrativas**, en la sección **Creadores de bases de datos**, seleccione el grupo `IAMAllowedPrincipals` y elija **Revocar**.

      Aparece el cuadro de diálogo para **revocar** permisos, en el que se muestra que `IAMAllowedPrincipals` tiene el permiso para **crear base de datos**.

   1. Seleccione **Revocar**.

## Asignar permisos a usuarios de Lake Formation
<a name="permissions-lf-principal"></a>

Cree un usuario para tener acceso al lago de datos AWS Lake Formation. Este usuario tiene el privilegio mínimo de permisos para consultar el lago de datos.

Para más información sobre la creación de usuarios o grupos, consulte [Identidades IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la Guía del usuario de IAM.

**Para adjuntar permisos a un usuario no administrador con el fin de acceder a los datos de Lake Formation**

1. Abra la consola de IAM [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) e inicie sesión como usuario administrador que haya creado en [Creación de un usuario con acceso administrativo](getting-started-setup.md#create-an-admin) o como usuario con la política `AdministratorAccess` AWS gestionada.

1. Elija **Usuarios** o **Grupos de usuarios**. 

1. En la lista, seleccione el nombre del usuario o del grupo en el que integrará una política.

   Elija **Permisos**.

1. Elija **Agregar permisos** y seleccione **Adjuntar políticas directamente**. Introduzca `Athena` en el campo de texto **Filtrar políticas**. En la lista de resultados, marque la casilla de `AmazonAthenaFullAccess`.

1. Pulse el botón **Crear política**. En la página **Crear política**, elija la pestaña **JSON**. Copie la política siguiente y péguela en el editor de políticas.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:GetDataAccess",
                   "glue:GetTable",
                   "glue:GetTables",
                   "glue:SearchTables",
                   "glue:GetDatabase",
                   "glue:GetDatabases",
                   "glue:GetPartitions",
                   "lakeformation:GetResourceLFTags",
                   "lakeformation:ListLFTags",
                   "lakeformation:GetLFTag",
                   "lakeformation:SearchTablesByLFTags",
                   "lakeformation:SearchDatabasesByLFTags"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Seleccione el botón **Siguiente** en la parte inferior hasta que vea la página **Revisar la política**. Escriba un nombre para la política, por ejemplo `DatalakeUserBasic`. Seleccione **Crear política** y, a continuación, cierre la pestaña **Políticas** o la ventana del navegador.

## Configurar una ubicación de Amazon S3 para el lago de datos
<a name="register-s3-location"></a>

Para utilizar Lake Formation con el fin de administrar y proteger los datos de su lago de datos, primero debe registrar una ubicación de Amazon S3. Al registrar una ubicación, se registran esa ruta de Amazon S3 y todas las carpetas incluidas en esa ruta, lo que permite a Lake Formation aplicar los permisos de nivel de almacenamiento. Cuando el usuario solicita datos de un motor integrado como Amazon Athena, Lake Formation proporciona acceso a los datos en lugar de utilizar los permisos del usuario.

Cuando registras una ubicación, especificas un rol de IAM que concede read/write permisos en esa ubicación. Lake Formation asume esa función al proporcionar credenciales temporales a AWS los servicios integrados que solicitan acceso a los datos en la ubicación registrada de Amazon S3. Puede especificar el rol vinculado al servicio (SLR) de Lake Formation o crear el suyo propio.

Utilice un rol personalizado en las siguientes situaciones:
+ Planeas publicar métricas en Amazon CloudWatch Logs. La función definida por el usuario debe incluir una política para añadir registros a los CloudWatch registros y publicar métricas, además de los permisos de SLR. Para ver un ejemplo de política en línea que concede los CloudWatch permisos necesarios, consulte. [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md)
+ La ubicación de Amazon S3 está en una cuenta diferente. Para obtener más información, consulte [Registrar una ubicación de Amazon S3 en otra AWS cuenta](register-cross-account.md).
+ La ubicación de Amazon S3 contiene datos cifrados con una Clave administrada de AWS. Para más detalles, consulte [Registro de una ubicación cifrada de Amazon S3](register-encrypted.md) y [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md).
+ Tiene previsto acceder a la ubicación de Amazon S3 mediante Amazon EMR. Para obtener más información sobre los requisitos de los roles, consulte [Roles de IAM para Lake Formation](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-lf-iam-role.html) en la *Guía de administración de Amazon EMR*.

El rol que elija debe tener los permisos necesarios, tal y como se describe en [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). Para obtener instrucciones sobre cómo registrar una ubicación de Amazon S3, consulte [Añadir una ubicación de Amazon S3 a su lago de datos](register-data-lake.md).

## (Opcional) Configuración de filtrado de datos externo
<a name="external-data-filter"></a>

Si tiene intención de analizar y procesar los datos de su lago de datos utilizando motores de consulta de terceros, debe optar por permitir que los motores externos accedan a los datos gestionados por Lake Formation. Si no lo hace, los motores externos no podrán acceder a los datos de las ubicaciones de Amazon S3 que estén registradas en Lake Formation.

Lake Formation es compatible con los permisos a nivel de columna para restringir el acceso a columnas específicas de una tabla. Los servicios analíticos integrados Amazon Athena, como Amazon Redshift Spectrum y Amazon EMR, recuperan metadatos de tablas no filtrados del. AWS Glue Data Catalog El filtrado real de las columnas en las respuestas a las consultas es responsabilidad del servicio integrado. Es responsabilidad de los administradores externos gestionar adecuadamente los permisos para evitar el acceso no autorizado a los datos. 

**Para permitir que motores de terceros accedan a los datos y los filtren (consola)**

1. Continúe en la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Compruebe que ha iniciado sesión como una entidad principal con el permiso de IAM en la operación de la API `PutDataLakeSettings` de Lake Formation. El usuario administrador de IAM que ha creado en [Inscríbase en una Cuenta de AWS](getting-started-setup.md#sign-up-for-aws) tiene este permiso.

1. En el panel de navegación, **Administración**, seleccione **Configuración de integración de aplicaciones**.

1. En la página **Configuración de integración de aplicaciones**, haga lo siguiente:

   1. Marque la casilla **Permitir que motores externos filtren datos en las ubicaciones de Amazon S3 registradas en Lake Formation**.

   1.  Introduzca los **valores de las etiquetas de sesión** definidos para motores de terceros. 

   1. Para la **AWS cuenta IDs**, introduzca la cuenta IDs desde la que los motores de terceros pueden acceder a las ubicaciones registradas en Lake Formation. Pulse **Intro** después de cada ID de cuenta.

   1. Seleccione **Save**.

 Para permitir que los motores externos accedan a los datos sin validar las etiquetas de sesión, consulte [Integración de aplicaciones para un acceso completo a la tabla](full-table-credential-vending.md) 

## (Opcional) Conceda acceso a la clave de cifrado del Catálogo de datos
<a name="setup-encrypted-catalog"></a>

Si AWS Glue Data Catalog está cifrada, conceda permisos AWS Identity and Access Management (de IAM) sobre la AWS KMS clave a los directores que necesiten conceder permisos de Lake Formation en las bases de datos y tablas de Data Catalog.

Para obtener más información, consulte la *Guía para desarrolladores de AWS Key Management Service *.

## (Opcional) Crear un rol de IAM para flujos de trabajo
<a name="iam-create-blueprint-role"></a>

Con AWS Lake Formationél, puede importar sus datos mediante *flujos* de trabajo ejecutados por AWS Glue rastreadores. Un flujo de trabajo define el origen de datos y la programación para importar los datos a su lago de datos. Puede definir fácilmente los flujos de trabajo mediante los *esquemas* o las plantillas proporcionados por Lake Formation.

Al crear un flujo de trabajo, debe asignarle un rol AWS Identity and Access Management (IAM) que otorgue a Lake Formation los permisos necesarios para ingerir los datos.

En el procedimiento siguiente se presupone que está familiarizado con IAM.

**Crear un rol de IAM para flujos de trabajo**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam) e inicie sesión como el usuario administrador que creó [Creación de un usuario con acceso administrativo](getting-started-setup.md#create-an-admin) o como usuario con la `AdministratorAccess` AWS política gestionada.

1. En el panel de navegación, seleccione **Roles**, **Crear rol**.

1. En la página **Crear rol**, elija el **servicio AWS ** y, a continuación, **Glue**. Elija **Siguiente**.

1. En la página **Añadir permisos**, busque la política **AWSGlueServiceRole**gestionada y seleccione la casilla de verificación situada junto al nombre de la política en la lista. A continuación, complete el **asistente de creación de roles**, asignando al rol el nombre `LFWorkflowRole`. Para terminar, seleccione **Crear rol**.

1. De regreso en la página **Roles**, busque `LFWorkflowRole` y elija el nombre del rol.

1. En la página **Resumen** del rol, en la pestaña **Permisos**, elija **Crear política insertada**. En la pantalla **Crear política**, vaya a la pestaña JSON y añada la siguiente política insertada. Un posible nombre para la política es `LakeFormationWorkflow`.
**importante**  
En la siguiente política, *<account-id>* sustitúyala por un Cuenta de AWS número válido.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                    "lakeformation:GetDataAccess",
                    "lakeformation:GrantPermissions"
                ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": ["iam:PassRole"],
               "Resource": [
                   "arn:aws:iam::111122223333:role/LakeFormationWorkflowRole"
               ]
           }
       ]
   }
   ```

------

   A continuación se describen brevemente los permisos de esta política:
   + `lakeformation:GetDataAccess` permite que los trabajos creados por el flujo de trabajo escriban en la ubicación de destino.
   + `lakeformation:GrantPermissions` permite que el flujo de trabajo conceda el permiso de `SELECT` sobre las tablas de destino.
   + `iam:PassRole` permite al servicio asumir el rol de `LakeFormationWorkflowRole` para crear rastreadores y trabajos (instancias de flujos de trabajo) y asociar el rol a los rastreadores y trabajos creados.

1. Compruebe que el rol `LakeFormationWorkflowRole` tenga dos políticas asociadas.

1. Si va a ingerir datos de fuera de la ubicación del lago de datos, añada una política insertada que conceda permisos para leer los datos de origen.