Configuración AWS Lake Formation con IAM Identity Center - AWS IAM Identity Center
Requisitos previosPasos para configurar la propagación de identidades de confianzaPropagación de identidad confiable con Lake Formation across Cuentas de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración AWS Lake Formation con IAM Identity Center

AWS Lake Formation es un servicio administrado que simplifica la creación y administración de lagos de datos en AWS. Automatiza la recopilación, la catalogación y la seguridad de los datos, y proporciona un repositorio centralizado para almacenar y analizar diversos tipos de datos. Lake Formation ofrece controles de acceso detallados y se integra con varios servicios de AWS análisis, lo que permite a las organizaciones configurar, proteger y obtener información de manera eficiente de sus lagos de datos.

Siga estos pasos para permitir que Lake Formation conceda permisos de datos en función de la identidad del usuario mediante IAM Identity Center y la propagación de identidades de confianza.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:

Pasos para configurar la propagación de identidades de confianza

  1. Integre IAM Identity Center con AWS Lake Formation siguiendo las instrucciones de Conexión de Lake Formation con IAM Identity Center.

    importante

    Si no tiene tablas de AWS Glue Data Catalog , debe crearlas para poder utilizar AWS Lake Formation a fin de conceder acceso a los usuarios y grupos de IAM Identity Center. Consulte Creación de objetos en AWS Glue Data Catalog para obtener más información.

  2. Registre las ubicaciones de los lagos de datos.

    Registre las ubicaciones de S3 donde se almacenan los datos de las tablas de Glue. De este modo, Lake Formation proporcionará acceso temporal a las ubicaciones de S3 requeridas cuando se consulten las tablas, lo que eliminará la necesidad de incluir los permisos de S3 en la función de servicio (por ejemplo, la función de servicio de Athena configurada en WorkGroup la).

    1. Diríjase a las ubicaciones de los lagos de datos en la sección Administración del panel de navegación de la AWS Lake Formation consola. Seleccione Registrar ubicación.

      Esto permitirá a Lake Formation proporcionar credenciales de IAM temporales con los permisos necesarios para acceder a las ubicaciones de datos de S3.

      Paso 1 Registre la ubicación del lago de datos en la consola de Lake Formation.

    2. Introduzca la ruta de S3 de las ubicaciones de los datos de las tablas de AWS Glue en el campo Ruta de Amazon S3.

    3. En la sección Roles de IAM, no seleccione el rol vinculado al servicio si quiere utilizarlo con una propagación de identidades de confianza. Cree un rol con los siguientes permisos:

      Para usar estas políticas, sustituya italicized placeholder text la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte Creación de una política o Edición de una política. La política de permisos debe permitir el acceso a la ubicación de S3 especificada en la ruta:

      1. Política de permisos

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

      2. Relación de confianza: debe incluir sts:SectContext, lo cual es obligatorio para la propagación de identidades de confianza.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "lakeformation.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
        nota

        El rol de IAM creado por el asistente es un rol vinculado a un servicio y no incluye sts:SetContext.

    4. Tras crear el rol de IAM, seleccione Registrar ubicación.

Propagación de identidad confiable con Lake Formation across Cuentas de AWS

AWS Lake Formation admite el uso de AWS Resource Access Manager (RAM) para compartir tablas Cuentas de AWS y funciona con la propagación de identidades confiable cuando la cuenta del otorgante y la cuenta del concesionario están en la misma Región de AWS, en la misma instancia de la organización y comparten la misma instancia AWS Organizations organizativa del Centro de Identidad de IAM. Para obtener más información, consulte Cross-account data sharing in Lake Formation.