Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Personas de Lake Formation y referencia de permisos IAM Esta sección enumera algunas personas sugeridas de Lake Formation y sus permisos AWS Identity and Access Management (IAM) sugeridos. Para obtener información sobre los permisos de Lake Formation, consulte [Referencia de permisos de Lake Formation](lf-permissions-reference.md). ## AWS Lake Formation personas En la siguiente tabla se muestran las AWS Lake Formation personas sugeridas. **Personas de Lake Formation** | Persona | Description (Descripción) | | --- | --- | | Administrador de IAM (superusuario) | (Obligatorio) Usuario que puede crear usuarios y roles de IAM. Tiene la política AdministratorAccess AWS gestionada. Tiene todos los permisos sobre todos los recursos de Lake Formation. Puede añadir administradores del lago de datos. No puede conceder permisos de Lake Formation si no ha sido designado también administrador del lago de datos. | | Administrador del lago de datos | (Obligatorio) Usuario que puede registrar las ubicaciones de Amazon S3, acceder al catálogo de datos, crear bases de datos, crear y ejecutar flujos de trabajo, conceder permisos de Lake Formation a otros usuarios y ver los AWS CloudTrail registros. Tiene menos permisos IAM que el administrador IAM, pero suficientes para administrar el lago de datos. No se pueden añadir otros administradores del lago de datos. | | Administrador de solo lectura | (Opcional) Usuario que puede ver entidades principales, recursos del Catálogo de datos, permisos y registros de AWS CloudTrail , sin permisos para las actualizaciones. | | Ingeniero de datos | (Opcional) Usuario que puede crear bases de datos, crear y ejecutar rastreadores y flujos de trabajo, y conceder permisos de Lake Formation sobre las tablas del Catálogo de datos que crean los rastreadores y los flujos de trabajo. Le recomendamos que convierta a todos los ingenieros de datos en creadores de bases de datos. Para obtener más información, consulte [Creación de una base de datos](creating-database.md). | | Analista de datos | (Opcional) Usuario que puede ejecutar consultas en el lago de datos utilizando, por ejemplo, Amazon Athena. Solo tiene permisos suficientes para ejecutar consultas. | | Rol de flujo de trabajo | (Obligatorio) Rol que ejecuta un flujo de trabajo en nombre de un usuario. Este rol se especifica cuando se crea un flujo de trabajo a partir de un esquema. | **nota** En Lake Formation, los administradores de lagos de datos agregados después de la creación de la base de datos pueden conceder permisos, pero no tienen permisos de acceso a los datos, como SELECT o DESCRIBE, automáticamente. Los administradores que crean bases de datos reciben permisos `SUPER` en esas bases de datos. Este comportamiento es intencionado: si bien todos los administradores pueden concederse los permisos necesarios, estos permisos no se aplican automáticamente a los recursos preexistentes. Por lo tanto, los administradores deben concederse explícitamente el acceso a las bases de datos que existían antes de que se les asignaran los privilegios de administrador. ## AWS políticas gestionadas para Lake Formation Puede conceder los permisos AWS Identity and Access Management (de IAM) necesarios para trabajar con ellas AWS Lake Formation mediante políticas AWS gestionadas y políticas integradas. Las siguientes políticas AWS gestionadas están disponibles para Lake Formation. ### AWS política gestionada: AWSLake FormationDataAdmin [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)la política otorga acceso administrativo AWS Lake Formation y servicios relacionados, como la administración AWS Glue de lagos de datos. Puede asociar `AWSLakeFormationDataAdmin` a los usuarios, grupos y roles. **Detalles del permiso** + `CloudTrail`— Permite a los directores ver los AWS CloudTrail registros. Esto es necesario para revisar cualquier error en la configuración del lago de datos. + `Glue`. Permite a las entidades principales ver, crear y actualizar tablas de metadatos y bases de datos en el Catálogo de datos. Esto incluye las operaciones de la API que comienzan con `Get`, `List`, `Create`, `Update`, `Delete` y `Search`. Esto es necesario para administrar los metadatos de las tablas del lago de datos. + `IAM`. Permite a las entidades principales recuperar información sobre los usuarios y roles de IAM y las políticas asociadas a los roles. Esto es necesario para que el administrador de datos revise y enumere los usuarios y roles de IAM para conceder los permisos de Lake Formation. + `Lake Formation`. Concede a los administradores de los lagos de datos los permisos necesarios de Lake Formation para administrar los lagos de datos. + `S3`. Permite a las entidades principales recuperar información sobre los buckets de Amazon S3 y sus ubicaciones con el fin de establecer la ubicación de datos para los lagos de datos. ``` "Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:CreateCatalog", "glue:UpdateCatalog", "glue:DeleteCatalog", "glue:GetCatalog", "glue:GetCatalogs", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] } ``` **nota** La política `AWSLakeFormationDataAdmin` no concede todos los permisos necesarios a los administradores del lago de datos. Se necesitan permisos adicionales para crear y ejecutar flujos de trabajo y registrar ubicaciones con el rol vinculado al servicio `AWSServiceRoleForLakeFormationDataAccess`. Para obtener más información, consulte [Crear un administrador de lago de datos](initial-lf-config.md#create-data-lake-admin) y [Uso de roles vinculados a servicios para Lake Formation](service-linked-roles.md). ### AWS política gestionada: AWSLake FormationCrossAccountManager [AWSLakeFormationCrossAccountManager](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)la política proporciona acceso entre cuentas a AWS Glue los recursos a través de Lake Formation y otorga acceso de lectura a otros servicios requeridos, como AWS Organizations y AWS RAM. Puede asociar `AWSLakeFormationCrossAccountManager` a los usuarios, grupos y roles. **Detalles del permiso** Esta política incluye los siguientes permisos. + `Glue`. Permite a las entidades principales establecer o eliminar la política de recursos del Catálogo de datos para el control de acceso. + `Organizations`. Permite a las entidades principales recuperar información sobre cuentas y unidades organizativas (UO) de una organización. + `ram:CreateResourceShare`. Permite a las entidades principales crear un recurso compartido. + `ram:UpdateResourceShare`. Permite a las entidades principales modificar algunas propiedades del recurso compartido especificado. + `ram:DeleteResourceShare`. Permite a las entidades principales eliminar el recurso compartido especificado. + `ram:AssociateResourceShare`. Permite a las entidades principales añadir la lista especificada de entidades principales y la lista de recursos a un recurso compartido. + `ram:DisassociateResourceShare`. Permite a las entidades principales eliminar a las entidades principales o recursos especificados de la participación en el recurso compartido especificado. + `ram:GetResourceShares`. Permite a las entidades principales recuperar detalles sobre los recursos compartidos que le pertenecen o que se comparten. + `ram:RequestedResourceType`. Permite a las entidades principales recuperar el tipo de recurso (base de datos, tabla o catálogo). + `AssociateResourceSharePermission`— Permite a los directores añadir o reemplazar el AWS RAM permiso para un tipo de recurso incluido en un recurso compartido. Puede tener exactamente un permiso asociado a cada tipo de recurso en el recurso compartido. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "ArnLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] } ``` ------ ### AWS política gestionada: AWSGlue ConsoleFullAccess [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess)la política otorga acceso total a AWS Glue los recursos cuando una identidad a la que está asociada la política utiliza la Consola de administración de AWS. Si sigue la convención de nomenclatura para los recursos especificados en esta política, los usuarios dispondrán de todas las funciones de la consola. Esta política suele estar asociada a los usuarios de la AWS Glue consola. Además, AWS Glue Lake Formation asume la función de servicio `AWSGlueServiceRole` para permitir el acceso a servicios relacionados, incluidos Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) y Amazon. CloudWatch ### AWS managed policy:LakeFormationDataAccessServiceRolePolicy Esta política está asociada a un rol vinculado a servicio denominado `ServiceRoleForLakeFormationDataAccess` que permite a dicho servicio realizar acciones en recursos previa solicitud por su parte. No puede adjuntar esta política a identidades de IAM. Esta política permite a los AWS servicios integrados de Lake Formation, como Amazon Athena Amazon Redshift, utilizar la función vinculada al servicio para descubrir los recursos de Amazon S3. Para obtener más información, consulte, [Uso de roles vinculados a servicios para Lake Formation](service-linked-roles.md). **Detalles del permiso** Esta política incluye el siguiente permiso. + `s3:ListAllMyBuckets`: devuelve una lista de todos los buckets pertenecientes al remitente autenticado de la solicitud. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } ``` ------ **Lake Formation actualiza sus políticas AWS gestionadas** Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Lake Formation desde que este servicio comenzó a rastrear estos cambios. | Cambio | Descripción | Fecha | | --- | --- | --- | | Política AWSLakeFormationCrossAccountManager actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política al reemplazar el operador de StringLike condición por el ArnLike operador que permite a IAM realizar la verificación del formato ARN. | Enero de 2025 | | Política AWSLakeFormationDataAdmin actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)política al agregar el siguiente AWS Glue Data Catalog CRUD APIs como parte de la función de catálogo múltiple. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html)Este cambio en la política administrada tiene por objeto garantizar que el perfil de administrador de Lake Formation cuente de forma predeterminada con el permiso de IAM para estas nuevas operaciones. | Diciembre de 2024 | | Política AWSLakeFormationCrossAccountManager actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política al agregar elementos Sid a la declaración de política. | Marzo de 2024 | | Política AWSLakeFormationDataAdmin actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin)política al agregar un elemento Sid a la declaración de política y eliminar una acción redundante. | Marzo de 2024 | | Política LakeFormationDataAccessServiceRolePolicy actualizada de Lake Formation. | Lake Formation mejoró la [LakeFormationDataAccessServiceRolePolicy](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/LakeFormationDataAccessServiceRolePolicy)política al agregar un elemento Sid a la declaración de política. | Febrero de 2024 | | Política AWSLakeFormationCrossAccountManager actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política al agregar un nuevo permiso para permitir el intercambio de datos entre cuentas en modo de acceso híbrido. | Octubre de 2023 | | Política AWSLakeFormationCrossAccountManager actualizada de Lake Formation. | Lake Formation mejoró la [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager)política para crear solo un recurso compartido por cuenta de destinatario cuando el recurso se comparte por primera vez. Todos los recursos compartidos a partir de entonces con la misma cuenta se adjuntan al mismo recurso compartido. | 6 de mayo de 2022 | | Lake Formation inició el seguimiento de los cambios. | Lake Formation comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 6 de mayo de 2022 | ## Permisos sugeridos para las personas Los siguientes son los permisos sugeridos para cada persona. El administrador de IAM no está incluido porque ese usuario tiene todos los permisos sobre todos los recursos. **Topics** + [Permisos de administrador del lago de datos](#persona-dl-admin) + [Permisos de administrador de solo lectura](#persona-read-only-admin) + [Permisos de ingeniero de datos](#persona-engineer) + [Permisos de analista de datos](#persona-user) + [Permisos del rol de flujo de trabajo](#persona-workflow-role) ### Permisos de administrador del lago de datos **importante** En las siguientes políticas, ** sustitúyalo por un número de AWS cuenta válido y ** sustitúyelo por el nombre de un rol que tenga permisos para ejecutar un flujo de trabajo, tal y como se define en[Permisos del rol de flujo de trabajo](#persona-workflow-role). | Tipo de política | Política | | --- | --- | | AWS políticas gestionadas | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) Para obtener información sobre las políticas AWS administradas opcionales, consulte[Crear un administrador de lago de datos](initial-lf-config.md#create-data-lake-admin). | | Política insertada (para crear el rol vinculado al servicio de Lake Formation) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam:::role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
| | (Opcional) Política insertada (política de passrole para el rol de flujo de trabajo). Esto solo es necesario si el administrador del lago de datos crea y ejecuta flujos de trabajo. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | | (Opcional) Política en línea (si su cuenta concede o recibe permisos entre cuentas de Lake Formation). Esta política sirve para aceptar o rechazar las invitaciones para compartir AWS RAM recursos y para permitir la concesión de permisos entre cuentas a las organizaciones. ram:EnableSharingWithAwsOrganizationsolo es obligatorio para los administradores del lago de datos de la cuenta de AWS Organizations administración. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | ### Permisos de administrador de solo lectura | Tipo de política | Política | | --- | --- | | Política insertada (básica) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | ### Permisos de ingeniero de datos **importante** En las siguientes políticas, ** sustitúyalo por un número de AWS cuenta válido y ** sustitúyalo por el nombre del rol del flujo de trabajo. | Tipo de política | Política | | --- | --- | | AWS política gestionada | AWSGlueConsoleFullAccess | | Política insertada (básica) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | | Política insertada (para las operaciones en tablas gobernadas, incluidas las operaciones dentro de las transacciones) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | | Política insertada (para el control de acceso a metadatos mediante el método de control de acceso basado en etiquetas de Lake Formation (LF-TBAC)) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | | Política insertada (política de passrole para el rol de flujo de trabajo) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | ### Permisos de analista de datos | Tipo de política | Política | | --- | --- | | AWS política gestionada | AmazonAthenaFullAccess | | Política insertada (básica) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
| | (Opcional) Política insertada (para las operaciones en tablas gobernadas, incluidas las operaciones dentro de las transacciones) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | ### Permisos del rol de flujo de trabajo Este rol cuenta con los permisos necesarios para ejecutar un flujo de trabajo. Se especifica un rol con estos permisos cuando se crea un flujo de trabajo. **importante** En las siguientes políticas, ** sustitúyalo por un identificador de AWS región válido (por ejemplo`us-east-1`), ** por un número de AWS cuenta válido, ** por el nombre del rol del flujo de trabajo y ** por la ruta de Amazon S3 a tus AWS CloudTrail registros. | Tipo de política | Política | | --- | --- | | AWS política gestionada | AWSGlueServiceRole | | Política insertada (acceso a datos) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
| | Política insertada (política de passrole para el rol de flujo de trabajo) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) | | Política en línea (para ingerir datos fuera del lago de datos, por ejemplo, AWS CloudTrail registros) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/permissions-reference.html) |