View a markdown version of this page

Compartilhamento de dados usando controle de acesso baseado em tags - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhamento de dados usando controle de acesso baseado em tags

AWS Lake Formation o controle de acesso baseado em tags (LF-TBAC) é uma estratégia de autorização que define permissões com base em atributos. As etapas a seguir explicam como conceder permissões entre contas usando LF-Tags.

Configuração obrigatória na producer/grantor conta
  1. Adicionar LF-Tags.

    1. Faça login no console do Lake Formation como administrador ou LF-Tag criador do data lake.

    2. Na barra de navegação à esquerda, escolha Permissões e LF-Tags e permissões.

    3. Escolha Adicionar LF-Tag.

      Para obter instruções detalhadas sobre como criar LF-Tags, consulteCriando LF-Tags.

  2. Conceda pares de LF-Tag valores-chave e chaves de permissões do Descreve and/or Associate aos diretores do IAM em sua conta ou em contas externas.

    A concessão de permissões em pares LF-Tag de valores-chave permite que os diretores visualizem e os atribuam aos recursos do LF-Tags Catálogo de Dados (bancos de dados, tabelas e colunas).

  3. Em seguida, o administrador do data lake ou um diretor do IAM com permissão de associado pode atribuí-los LF-Tag a bancos de dados, tabelas ou colunas. Para obter mais informações, consulte Atribuição LF-Tags aos recursos do Catálogo de Dados.

  4. Em seguida, conceda permissão de dados para contas externas usando LF-Tag expressões. Isso permite que o beneficiário ou o destinatário das permissões acesse os recursos do Data Catalog marcados com as mesmas chaves e valores.

    1. No painel de navegação, escolha Permissões e Permissões de dados.

    2. Selecione Conceder.

    3. Na página Conceder permissões, para Entidades principais, selecione Contas externas e insira o ID da Conta da AWS beneficiária, o perfil do IAM da entidade principal, ou o nome do recurso da Amazon (ARN) para a entidade principal (ARN da entidade principal), se estiver fazendo uma concessão direta entre contas a uma entidade principal externa. Você precisa pressionar Enter depois de inserir o ID da conta.

      A tela de concessão de permissão com pares externos de contas e LF-Tag valores-chave especificados.
    4. Para LF-Tags ou catalogue recursos, escolha Recursos correspondentes a LF-Tags (recomendado).

      1. Escolha a opção pares de LF-Tag valores-chave ou Expressões salvas LF-Tag .

      2. Se você escolher pares de LF-Tag chave-valor, insira a chave e o (s) valor (es) do LF-Tagque está associado ao recurso do Catálogo de Dados que está sendo compartilhado com a conta do beneficiário.

        O beneficiário recebe permissões nos recursos do Catálogo de Dados aos quais foi atribuída uma correspondência LF-Tag na LF-Tag expressão. Se a LF-Tag expressão especificar vários valores por chave de tag, qualquer um dos valores de tag poderá corresponder.

    5. Escolha as permissões em nível de banco de dados ou em nível de tabela a serem concedidas aos recursos que correspondam à expressão. LF-Tag

      Importante

      Como o administrador do data lake deve conceder permissões em recursos compartilhados para as entidades principais na conta beneficiária, você sempre deve conceder permissões entre contas com a opção de concessão.

      Para obter mais informações, consulte Conceder LF-Tag permissões usando o console.

      nota

      Entidades principais que receberem concessões diretas entre contas não terão a opção de Permissões concedíveis.

Configuração obrigatória na receiving/grantee conta
  1. Faça login no console do Lake Formation como administrador do data lake da conta do consumidor.

  2. Depois, receba o compartilhamento do recurso na conta do consumidor.

    1. Abra o AWS RAM console.

    2. No painel de navegação, selecione Compartilhados comigo, Compartilhamento de recursos.

    3. Selecione os compartilhamentos de recursos e escolha Aceitar compartilhamento de recursos.

  3. Quando você compartilha um recurso com outra conta, o recurso ainda pertence à conta do produtor e não será visível no console do Athena. Para tornar o recurso visível no console do Athena, você precisa criar um link de recurso direcionando para o recurso compartilhado. Para obter instruções sobre como criar um link de recurso, consulte Como criar um link de recurso para uma tabela compartilhada do catálogo de dados e Como criar um link de recurso para um banco de dados compartilhado do catálogo de dados

    1. Escolha Bancos de dados ou Tabelas no Data Catalog.

    2. Na Databases/Tables página, escolha Criar, link do recurso.

    3. Insira as seguintes informações para um link do recurso de banco de dados:

      • Nome do link do recurso: um nome exclusivo para o link do recurso.

      • Catálogo de destino: o catálogo no qual você está criando o link do recurso.

      • Região do banco de dados compartilhado: a região do banco de dados compartilhado com você se você estiver criando o link de recurso em outra região.

      • Banco de dados compartilhado: escolha o banco de dados compartilhado.

      • ID do catálogo do banco de dados compartilhado: insira o ID do catálogo do banco de dados compartilhado.

    4. Escolha Criar. É possível ver o link do recurso recém-criado na lista de bancos de dados.

    Da mesma forma, você pode criar um link do recurso para a tabela compartilhada.

  4. Agora, conceda a permissão Describe no link do recurso às entidades principais do IAM com as quais você está compartilhando o recurso.

    1. Na Databases/Tablespágina, selecione o link do recurso e, no menu Ações, escolha Conceder.

    2. Na seção Conceder permissões, selecione Usuários e perfis do IAM.

    3. Escolha o perfil do IAM ao qual você deseja conceder acesso ao link do recurso.

    4. Na seção de permissões Link do recurso, selecione Describe.

    5. Selecione Conceder.

  5. Em seguida, conceda permissões LF-Tag de valor-chave aos diretores na conta do consumidor.

    Você deve conseguir encontrar os LF-Tags que são compartilhados com você na conta do consumidor no console do Lake Formation, em Permissões LF-Tags e permissões. É possível associar tags compartilhadas do concedente aos recursos compartilhados da conta do concedente que incluem: bancos de dados, tabelas e colunas. Você pode conceder permissões nos recursos a outras entidades principais.

    A tela mostra as permissões LF-Tags da conta.
    1. No painel de navegação, em Permissões, Permissões de dados, selecione Conceder.

    2. Na página Conceder permissões, selecione Usuários e perfis do IAM.

    3. Em seguida, escolha os usuários e funções do IAM em sua conta para conceder acesso ao compartilhado databases/tables.

    4. Em seguida, para obter LF-Tags ou catalogar recursos, escolha Recursos correspondentes a LF-Tags.

    5. Em seguida, escolha a chave e os valores do LF-Tag que é compartilhado com você.

    6. Depois, escolha as permissões de banco de dados e de tabela que você deseja conceder aos usuários e perfis do IAM. Você também pode escolher permissões concedíveis que permitem que os usuários e funções do IAM concedam permissões a outras pessoas. users/roles

    7. Selecione Conceder.

    8. É possível visualizar as concessões de permissão em Permissões de dados no console do Lake Formation.