Concesión de permisos - AWS Lake Formation
AWS CLI ejemplo de concesión de permisos en una tabla de Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos

Tras integrar las tablas de S3 AWS Lake Formation, puede conceder permisos sobre el catálogo de tablas de S3 y los objetos del catálogo (depósitos de tablas, bases de datos, tablas) a otros roles y usuarios de IAM de su cuenta. Los permisos de Lake Formation permiten definir controles de acceso a nivel de tabla, columna y fila para los usuarios de motores analíticos integrados, como Amazon Redshift Spectrum y Athena.

Puede conceder permisos utilizando el método de recursos con nombre o el método de control de acceso basado en etiquetas de Lake Formation (LF-TBAC). Antes de conceder permisos mediante etiquetas LF y expresiones de etiquetas LF, debe definirlas y asignarlas a los objetos del catálogo de datos.

Para obtener más información, consulte Gestión de etiquetas LF para el control de acceso a los metadatos.

Puede compartir bases de datos y tablas con AWS cuentas externas concediendo permisos de Lake Formation a las cuentas externas. A continuación, los usuarios pueden ejecutar consultas y trabajos para unir y consultar tablas en varias cuentas. Al compartir un recurso del catálogo con otra cuenta, los directores de esa cuenta pueden operar con ese recurso como si el recurso estuviera en su catálogo de datos.

Al compartir bases de datos y tablas con cuentas externas, el permiso de superusuario no está disponible.

Para obtener instrucciones detalladas sobre la concesión de permisos, consulte la Administrar los permisos de Lake Formation sección.

AWS CLI ejemplo de concesión de permisos en una tabla de Amazon S3

aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

Los siguientes son los parámetros que se deben incluir en el comando:

  • DataLakePrincipalIdentifier — ARN de usuario, rol o grupo de IAM para conceder permisos

  • CatalogId — ID de AWS cuenta de 12 dígitos propietario del catálogo de datos

  • DatabaseName — Nombre del espacio de nombres del bucket de la tabla Amazon S3

  • Nombre: nombre de la mesa bucket de Amazon S3

  • Permisos: permisos que se deben conceder. Las opciones incluyen: SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL y SUPER