Administración de expresiones de etiquetas LF para el control de acceso a los metadatos - AWS Lake Formation
Permisos de IAM requeridos para crear expresiones de etiquetas LFAgregación de creadores de expresiones de etiquetas LF

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de expresiones de etiquetas LF para el control de acceso a los metadatos

Las expresiones de etiquetas LF son expresiones lógicas compuestas por una o más etiquetas L (pares clave-valor) que se utilizan para conceder permisos sobre los recursos. AWS Glue Data Catalog Las expresiones de etiquetas LF permiten definir reglas que rigen el acceso a los recursos de datos en función de sus etiquetas de metadatos. Puede guardar estas expresiones y reutilizarlas en varias concesiones de permisos, lo que garantiza la coherencia y facilita la gestión de los cambios en la ontología de las etiquetas a lo largo del tiempo.

Dentro de una expresión de etiqueta LF determinada, las claves de las etiquetas se combinan mediante la operación Y, mientras que los valores se combinan mediante la operación O. Por ejemplo, la expresión de etiqueta content_type:Sales AND location:US representa los recursos relacionados con los datos de ventas en EE. UU.

Puede crear hasta 1000 expresiones de etiquetas LF en una Cuenta de AWS. Estas expresiones proporcionan una forma flexible y escalable de administrar los permisos en función de las etiquetas de metadatos, lo que garantiza que solo los usuarios o las aplicaciones con autorización puedan acceder a recursos de datos específicos en función de las reglas de etiquetas definidas.

Las expresiones de etiquetas LF ofrecen las siguientes ventajas:

  • Reutilización: al definir y guardar las expresiones de etiqueta LF, ya no es necesario replicar manualmente las mismas expresiones al asignar permisos a otros recursos o entidades principales.

  • Coherencia: la reutilización de las expresiones de etiqueta LF en varias concesiones de permisos garantiza la coherencia en la forma en que se conceden y administran los permisos.

  • Administración de la ontología de etiquetas: las expresiones de etiquetas LF ayudan a administrar los cambios en la ontología de etiquetas a lo largo del tiempo, ya que se pueden actualizar las expresiones guardadas en lugar de modificar las concesiones de permisos individuales.

Para obtener más información sobre el control de acceso basado en etiquetas, consulte Control de acceso basado en etiquetas de Lake Formation.

Creadores de expresiones de etiquetas LF

El creador de expresiones de etiquetas LF es una entidad principal que tiene permisos para crear y administrar expresiones de etiquetas LF. Los administradores de lagos de datos pueden añadir creadores de expresiones de etiquetas LF mediante la consola Lake Formation, la CLI, la API o el SDK. Los creadores de expresiones de etiquetas LF tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar expresiones de etiquetas LF y conceder permisos de expresiones de etiquetas LF a otras entidades principales.

Los creadores de expresiones de etiquetas LF que no sean administradores de lagos de datos reciben permisos Alter, Drop, Describe y Grant with LF-Tag expression implícitos únicamente para las expresiones que hayan creado.

Los administradores de lagos de datos también pueden conceder permisos Create LF-Tag expression concesibles a los creadores de expresiones etiquetas LF. Luego, el creador de etiquetas LF puede conceder el permiso para crear expresiones de etiquetas LF a otras entidades principales.

Temas
Véase también

Permisos de IAM requeridos para crear expresiones de etiquetas LF

Debe configurar permisos para que una entidad principal de Lake Formation pueda crear expresiones de etiquetas LF. Agregue la siguiente instrucción a la política de permisos de la entidad principal que necesita ser creadora de expresiones de etiquetas LF.

nota

Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF y expresiones de etiquetas LF, asignar etiquetas LF a los recursos y conceder permisos de etiquetas LF y expresiones de etiquetas LF a las entidades principales, los administradores de lagos de datos también necesitan los permisos de IAM siguientes.

Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }

Agregación de creadores de expresiones de etiquetas LF

Los creadores de expresiones de etiquetas LF pueden crear y guardar expresiones de etiquetas LF reutilizables, actualizar la clave y los valores de las etiquetas, eliminar expresiones y conceder permisos sobre los recursos del Catálogo de datos a las entidades principales mediante el método LF-TBAC. El creador de la expresión de etiqueta LF también puede conceder estos permisos a entidades principales.

Puede crear funciones de creador de expresiones de etiquetas LF mediante la AWS Lake Formation consola, la API o (). AWS Command Line Interface AWS CLI

console
Cómo agregar creadores de expresiones de etiquetas LF

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    Inicie sesión como administrador del lago de datos.

  2. En el panel de navegación, en Permisos, elija Etiquetas LF y permisos.

  3. Seleccione la pestaña Expresiones de etiquetas LF.

  4. En la sección Creadores de expresiones de etiquetas LF, seleccione Agregar creadores de expresiones de etiquetas LF.

    Form to add LF-Tag expression creators with Usuario de IAM selection and permissions.

  5. En la página Agregar creadores de etiquetas LF, seleccione un usuario o un rol de IAM que tenga los permisos necesarios para crear expresiones de etiquetas LF.

  6. Marque la casilla de verificación del permiso Create LF-Tag expression.

  7. (Opcional) Para que las entidades principales seleccionadas puedan conceder permisos Create LF-Tag expression a las entidades principales, seleccione el permiso concedible Create LF-Tag expression.

  8. Elija Agregar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}

El rol de creador de expresiones de etiqueta LF tiene la capacidad de crear, actualizar o eliminar expresiones de etiquetas LF.

Permiso Description (Descripción)
Create Una entidad principal con este permiso puede agregar expresiones de etiquetas LF en el lago de datos.
Drop Una entidad principal con este permiso en una expresión de etiqueta LF puede eliminar una expresión de etiqueta LF del lago de datos.
Alter Una entidad principal con este permiso en una expresión de etiqueta LF puede actualizar el cuerpo de la expresión de etiqueta LF.
Describe Una entidad principal con este permiso en una expresión de etiqueta LF puede ver el contenido de una expresión de etiqueta LF.
Grant with LF-Tag expression Este permiso permite al destinatario utilizar la expresión de etiqueta como recurso al conceder permisos de acceso a datos o metadatos. Al conceder Grant with LF-Tag expression está otorgando Describe de manera implícita.
Super En el caso de las expresiones de etiqueta LF, el permiso Super otorga la capacidad de Describe, Alter, Drop y de conceder permisos sobre la expresión de etiqueta a otras entidades principales.

Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.