View a markdown version of this page

Gestión de LF-Tag expresiones para el control de acceso a los metadatos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de LF-Tag expresiones para el control de acceso a los metadatos

LF-Tag las expresiones son expresiones lógicas compuestas por uno o más LF-Tags (pares clave-valor) que se utilizan para conceder permisos sobre AWS Glue Data Catalog los recursos. LF-Tag las expresiones permiten definir reglas que rigen el acceso a los recursos de datos en función de sus etiquetas de metadatos. Puede guardar estas expresiones y reutilizarlas en varias concesiones de permisos, lo que garantiza la coherencia y facilita la administración de los cambios en la ontología de las etiquetas a lo largo del tiempo.

Dentro de una LF-Tag expresión determinada, las claves de las etiquetas se combinan mediante la operación AND, mientras que los valores se combinan mediante la operación OR. Por ejemplo, la expresión de etiqueta content_type:Sales AND location:US representa los recursos relacionados con los datos de ventas en EE. UU.

Puede crear hasta 1000 LF-Tag expresiones en una Cuenta de AWS. Estas expresiones proporcionan una forma flexible y escalable de administrar los permisos en función de las etiquetas de metadatos, lo que garantiza que solo los usuarios o las aplicaciones con autorización puedan acceder a recursos de datos específicos en función de las reglas de etiquetas definidas.

LF-Tag las expresiones ofrecen las siguientes ventajas:

  • Reutilización: al definir y guardar LF-Tag las expresiones, ya no es necesario replicar manualmente las mismas expresiones al asignar permisos a otros recursos o entidades principales.

  • Coherencia: la reutilización de LF-Tag expresiones en varias concesiones de permisos garantiza la coherencia en la forma en que se conceden y administran los permisos.

  • Gestión de la ontología de etiquetas: LF-Tag las expresiones ayudan a gestionar los cambios en la ontología de etiquetas a lo largo del tiempo, ya que puede actualizar las expresiones guardadas en lugar de modificar las concesiones de permisos individuales.

Para obtener más información sobre el control de acceso basado en etiquetas, consulte Control de acceso basado en etiquetas de Lake Formation.

LF-Tag creadores de expresiones

LF-Tag el creador de expresiones es un director que tiene permisos para crear y administrar LF-Tag expresiones. Los administradores de lagos de datos pueden añadir creadores de LF-Tag expresiones mediante la consola, la CLI, la API o el SDK de Lake Formation. LF-Tag los creadores de expresiones tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar LF-Tag expresiones, y para conceder permisos de LF-Tag expresión a otros directores.

LF-Tag Los creadores de expresiones que no son administradores de lagos de datos reciben Grant with LF-Tag expression permisos implícitos Alter y solo para las expresiones que hayan creado. Drop Describe

Los administradores de lagos de datos también pueden conceder permisos LF-Tag concedibles a los creadores de expresiones. Create LF-Tag expression A continuación, el creador de la LF-Tag expresión puede conceder el permiso para crear LF-Tag expresiones a otros directores.

Se necesitan permisos de IAM para crear expresiones LF-Tag

Debe configurar los permisos para permitir que el director de Lake Formation cree LF-Tag expresiones. Agregue la siguiente declaración a la política de permisos del director que debe ser un creador de LF-Tag expresiones.

nota

Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar LF-Tags y eliminar LF-Tag expresiones, asignar LF-Tags recursos LF-Tags y conceder permisos de LF-Tag expresión a los directores, los administradores de lagos de datos también necesitan los siguientes permisos de IAM.

Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.

{ "Sid": "Transformational", "Effect": "Allow", "Action": [ "lakeformation:AddLFTagsToResource", "lakeformation:RemoveLFTagsFromResource", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:CreateLFTag", "lakeformation:GetLFTag", "lakeformation:UpdateLFTag", "lakeformation:DeleteLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags", "lakeformation:CreateLFTagExpression", "lakeformation:DeleteLFTagExpression", "lakeformation:UpdateLFTagExpression", "lakeformation:GetLFTagExpression", "lakeformation:ListLFTagExpressions", "lakeformation:GrantPermissions", "lakeformation:RevokePermissions", "lakeformation:BatchGrantPermissions", "lakeformation:BatchRevokePermissions" ] }

Añada creadores de expresiones LF-Tag

LF-Tag Los creadores de expresiones pueden crear y guardar LF-Tag expresiones reutilizables, actualizar la clave y los valores de las etiquetas, eliminar expresiones y conceder permisos sobre los recursos del catálogo de datos a los directores mediante el LF-TBAC método. El creador de la LF-Tag expresión también puede conceder estos permisos a los directores.

Puede crear funciones de creador de LF-Tag expresiones mediante la AWS Lake Formation consola, la API o AWS Command Line Interface (AWS CLI).

console
Para añadir un creador LF-Tag de expresiones
  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    Inicie sesión como administrador del lago de datos.

  2. En el panel de navegación, en Permisos, elija LF-Tags y permisos.

  3. Seleccione la pestaña de LF-Tag expresiones.

  4. En la sección de creadores de LF-Tag expresiones, selecciona Añadir creadores de LF-Tag expresiones.

    LF-Tag El creador de expresiones detalla el contenedor que muestra Usuario de IAM datalake_user con permisos.
  5. En la página Añadir creadores de LF-Tag expresiones, elija un rol o usuario de IAM que tenga los permisos necesarios para crear expresiones. LF-Tag

  6. Marque la casilla de verificación del permiso Create LF-Tag expression.

  7. (Opcional) Para que las entidades principales seleccionadas puedan conceder permisos Create LF-Tag expression a las entidades principales, seleccione el permiso concedible Create LF-Tag expression.

  8. Elija Añadir.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager" }, "Resource": { "Catalog": {} }, "Permissions": [ "CreateLFTagExpression" ], "PermissionsWithGrantOption": [ "CreateLFTagExpression" ] }

El rol de creador de LF-Tag expresiones tiene la capacidad de crear, actualizar o eliminar LF-Tag expresiones.

Permiso Description (Descripción)
Create Un director con este permiso puede añadir LF-Tag expresiones en el lago de datos.
Drop Un director con este permiso para una LF-Tag expresión puede eliminar una LF-Tag expresión del lago de datos.
Alter Un director con este permiso para una LF-Tag expresión puede actualizar el cuerpo de la LF-Tag expresión.
Describe Un director con este permiso para una LF-Tag expresión puede ver el contenido de una LF-Tag expresión.
Grant with LF-Tag expression Este permiso permite al destinatario utilizar la expresión de etiqueta como recurso al conceder permisos de acceso a datos o metadatos. Al conceder Grant with LF-Tag expression está otorgando Describe de manera implícita.
Super En el caso de las LF-Tag expresiones, el Super permiso otorga la capacidad de Describe AlterDrop,, y concede permisos sobre la expresión de etiqueta a otros principales.

Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.