As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compartilhamento de dados usando controle de acesso baseado em tags
AWS Lake Formation o controle de acesso baseado em tags (LF-TBAC) é uma estratégia de autorização que define permissões com base em atributos. As etapas a seguir explicam como conceder permissões entre contas usando LF-Tags.
Configuração obrigatória na producer/grantor conta
Adicionar LF-Tags.
Faça login no console do Lake Formation como administrador ou LF-Tag criador do data lake.
Na barra de navegação à esquerda, escolha Permissões e LF-Tags e permissões.
Escolha Adicionar LF-Tag.
Para obter instruções detalhadas sobre como criar LF-Tags, consulteCriando LF-Tags.
-
Conceda pares de LF-Tag valores-chave e chaves de permissões do Descreve and/or Associate aos diretores do IAM em sua conta ou em contas externas.
A concessão de permissões em pares LF-Tag de valores-chave permite que os diretores visualizem e os atribuam aos recursos do LF-Tags Catálogo de Dados (bancos de dados, tabelas e colunas).
Em seguida, o administrador do data lake ou um diretor do IAM com permissão de associado pode atribuí-los LF-Tag a bancos de dados, tabelas ou colunas. Para obter mais informações, consulte Atribuição LF-Tags aos recursos do Catálogo de Dados.
Em seguida, conceda permissão de dados para contas externas usando LF-Tag expressões. Isso permite que o beneficiário ou o destinatário das permissões acesse os recursos do Data Catalog marcados com as mesmas chaves e valores.
No painel de navegação, escolha Permissões e Permissões de dados.
Selecione Conceder.
Na página Conceder permissões, para Entidades principais, selecione Contas externas e insira o ID da Conta da AWS beneficiária, o perfil do IAM da entidade principal, ou o nome do recurso da Amazon (ARN) para a entidade principal (ARN da entidade principal), se estiver fazendo uma concessão direta entre contas a uma entidade principal externa. Você precisa pressionar Enter depois de inserir o ID da conta.
-
Para LF-Tags ou catalogue recursos, escolha Recursos correspondentes a LF-Tags (recomendado).
-
Escolha a opção pares de LF-Tag valores-chave ou Expressões salvas LF-Tag .
Se você escolher pares de LF-Tag chave-valor, insira a chave e o (s) valor (es) do LF-Tagque está associado ao recurso do Catálogo de Dados que está sendo compartilhado com a conta do beneficiário.
O beneficiário recebe permissões nos recursos do Catálogo de Dados aos quais foi atribuída uma correspondência LF-Tag na LF-Tag expressão. Se a LF-Tag expressão especificar vários valores por chave de tag, qualquer um dos valores de tag poderá corresponder.
-
-
Escolha as permissões em nível de banco de dados ou em nível de tabela a serem concedidas aos recursos que correspondam à expressão. LF-Tag
Importante
Como o administrador do data lake deve conceder permissões em recursos compartilhados para as entidades principais na conta beneficiária, você sempre deve conceder permissões entre contas com a opção de concessão.
Para obter mais informações, consulte Conceder LF-Tag permissões usando o console.
nota
Entidades principais que receberem concessões diretas entre contas não terão a opção de Permissões concedíveis.
Configuração obrigatória na receiving/grantee conta
Faça login no console do Lake Formation como administrador do data lake da conta do consumidor.
-
Depois, receba o compartilhamento do recurso na conta do consumidor.
Abra o AWS RAM console.
-
No painel de navegação, selecione Compartilhados comigo, Compartilhamento de recursos.
-
Selecione os compartilhamentos de recursos e escolha Aceitar compartilhamento de recursos.
-
Quando você compartilha um recurso com outra conta, o recurso ainda pertence à conta do produtor e não será visível no console do Athena. Para tornar o recurso visível no console do Athena, você precisa criar um link de recurso direcionando para o recurso compartilhado. Para obter instruções sobre como criar um link de recurso, consulte Como criar um link de recurso para uma tabela compartilhada do catálogo de dados e Como criar um link de recurso para um banco de dados compartilhado do catálogo de dados
Escolha Bancos de dados ou Tabelas no Data Catalog.
Na Databases/Tables página, escolha Criar, link do recurso.
-
Insira as seguintes informações para um link do recurso de banco de dados:
Nome do link do recurso: um nome exclusivo para o link do recurso.
Catálogo de destino: o catálogo no qual você está criando o link do recurso.
-
Região do banco de dados compartilhado: a região do banco de dados compartilhado com você se você estiver criando o link de recurso em outra região.
-
Banco de dados compartilhado: escolha o banco de dados compartilhado.
-
ID do catálogo do banco de dados compartilhado: insira o ID do catálogo do banco de dados compartilhado.
-
Escolha Criar. É possível ver o link do recurso recém-criado na lista de bancos de dados.
Da mesma forma, você pode criar um link do recurso para a tabela compartilhada.
-
Agora, conceda a permissão Describe no link do recurso às entidades principais do IAM com as quais você está compartilhando o recurso.
-
Na Databases/Tablespágina, selecione o link do recurso e, no menu Ações, escolha Conceder.
Na seção Conceder permissões, selecione Usuários e perfis do IAM.
Escolha o perfil do IAM ao qual você deseja conceder acesso ao link do recurso.
Na seção de permissões Link do recurso, selecione Describe.
Selecione Conceder.
-
-
Em seguida, conceda permissões LF-Tag de valor-chave aos diretores na conta do consumidor.
Você deve conseguir encontrar os LF-Tags que são compartilhados com você na conta do consumidor no console do Lake Formation, em Permissões LF-Tags e permissões. É possível associar tags compartilhadas do concedente aos recursos compartilhados da conta do concedente que incluem: bancos de dados, tabelas e colunas. Você pode conceder permissões nos recursos a outras entidades principais.
No painel de navegação, em Permissões, Permissões de dados, selecione Conceder.
-
Na página Conceder permissões, selecione Usuários e perfis do IAM.
Em seguida, escolha os usuários e funções do IAM em sua conta para conceder acesso ao compartilhado databases/tables.
-
Em seguida, para obter LF-Tags ou catalogar recursos, escolha Recursos correspondentes a LF-Tags.
-
Em seguida, escolha a chave e os valores do LF-Tag que é compartilhado com você.
-
Depois, escolha as permissões de banco de dados e de tabela que você deseja conceder aos usuários e perfis do IAM. Você também pode escolher permissões concedíveis que permitem que os usuários e funções do IAM concedam permissões a outras pessoas. users/roles
-
Selecione Conceder.
-
É possível visualizar as concessões de permissão em Permissões de dados no console do Lake Formation.