Compartilhamento de dados usando controle de acesso baseado em tags - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhamento de dados usando controle de acesso baseado em tags

AWS Lake Formation o controle de acesso baseado em tags (LF-TBAC) é uma estratégia de autorização que define permissões com base em atributos. As etapas a seguir explicam como conceder permissões entre contas usando tags do LF.

Configuração obrigatória na producer/grantor conta

  1. Adicione tags LF.

    1. Faça login no console do Lake Formation como administrador do data lake ou criador de tag LF.

    2. No painel de navegação esquerdo, escolha Permissões e Tags LF e permissões.

    3. Selecione Adicionar tag do LF.

      Para receber instruções detalhadas para criar tags LF, consulte Criação de tags do LF.

  2. Conceda permissões Descreve and/or Associate com pares de chave-valor da tag LF aos diretores do IAM em sua conta ou em contas externas.

    Conceder permissões em pares de chave-valor de tag LF permite que as entidades principais visualizem as tags LF e as atribua a recursos do Data Catalog (bancos de dados, tabelas e colunas).

  3. Depois, o administrador do data lake ou uma entidade principal do IAM com a permissão Associate pode atribuir a tag LF a bancos de dados, tabelas ou colunas. Para obter mais informações, consulte Atribuição de tags do LF aos recursos do catálogo de dados.

  4. Depois, conceda permissão de dados a contas externas usando expressões de tag LF. Isso permite que o beneficiário ou o destinatário das permissões acesse os recursos do Data Catalog marcados com as mesmas chaves e valores.

    1. No painel de navegação, escolha Permissões e Permissões de dados.

    2. Selecione Conceder.

    3. Na página Conceder permissões, para Entidades principais, selecione Contas externas e insira o ID da Conta da AWS beneficiária, o perfil do IAM da entidade principal, ou o nome do recurso da Amazon (ARN) para a entidade principal (ARN da entidade principal), se estiver fazendo uma concessão direta entre contas a uma entidade principal externa. Você precisa pressionar Enter depois de inserir o ID da conta.

      A tela de concessão de permissão com a conta externa e os pares de chave-valor de tag LF especificados.

    4. Em Tags LF ou recursos de catálogo, selecione Recursos correspondentes a tags LF (recomendado).

      1. Escolha a opção Pares de chave-valor de tag LF ou Expressões de tag LF salvas.

      2. Se você escolher Pares de chave-valor de tag LF, insira a chave e os valores da Tag LF associados ao recurso do Data Catalog que está sendo compartilhado com a conta beneficiária.

        O beneficiário recebe permissões nos recursos do Data Catalog que receberam uma tag LF correspondente na expressão de tag LF. Se a expressão de tag LF especificar vários valores por chave de tag, qualquer um dos valores de tag poderá coincidir.

    5. Escolha as permissões em nível de banco de dados ou em nível de tabela a serem concedidas aos recursos que correspondam à expressão de tag LF.

      Importante

      Como o administrador do data lake deve conceder permissões em recursos compartilhados para as entidades principais na conta beneficiária, você sempre deve conceder permissões entre contas com a opção de concessão.

      Para obter mais informações, consulte Conceder permissões de tag do LF usando o console.

      nota

      Entidades principais que receberem concessões diretas entre contas não terão a opção de Permissões concedíveis.

Configuração obrigatória na receiving/grantee conta

  1. Faça login no console do Lake Formation como administrador do data lake da conta do consumidor.

  2. Depois, receba o compartilhamento do recurso na conta do consumidor.

    1. Abra o AWS RAM console.

    2. No painel de navegação, selecione Compartilhados comigo, Compartilhamento de recursos.

    3. Selecione os compartilhamentos de recursos e escolha Aceitar compartilhamento de recursos.

  3. Quando você compartilha um recurso com outra conta, o recurso ainda pertence à conta do produtor e não será visível no console do Athena. Para tornar o recurso visível no console do Athena, você precisa criar um link de recurso direcionando para o recurso compartilhado. Para obter instruções sobre como criar um link de recurso, consulte Como criar um link de recurso para uma tabela compartilhada do catálogo de dados e Como criar um link de recurso para um banco de dados compartilhado do catálogo de dados

    1. Escolha Bancos de dados ou Tabelas no Data Catalog.

    2. Na Databases/Tables página, escolha Criar, link do recurso.

    3. Insira as seguintes informações para um link do recurso de banco de dados:

      • Nome do link do recurso: um nome exclusivo para o link do recurso.

      • Catálogo de destino: o catálogo no qual você está criando o link do recurso.

      • Região do banco de dados compartilhado: a região do banco de dados compartilhado com você se você estiver criando o link de recurso em outra região.

      • Banco de dados compartilhado: escolha o banco de dados compartilhado.

      • ID do catálogo do banco de dados compartilhado: insira o ID do catálogo do banco de dados compartilhado.

    4. Escolha Criar. É possível ver o link do recurso recém-criado na lista de bancos de dados.

    Da mesma forma, você pode criar um link do recurso para a tabela compartilhada.

  4. Agora, conceda a permissão Describe no link do recurso às entidades principais do IAM com as quais você está compartilhando o recurso.

    1. Na página Bancos de dados/tabelas, selecione o link do recurso e no menu Ações, selecione Conceder.

    2. Na seção Conceder permissões, selecione Usuários e perfis do IAM.

    3. Escolha o perfil do IAM ao qual você deseja conceder acesso ao link do recurso.

    4. Na seção de permissões Link do recurso, selecione Describe.

    5. Selecione Conceder.

  5. Depois, conceda permissões de chave-valor de tag LF às entidades principais na conta do consumidor.

    Você deve conseguir encontrar as tags LF que são compartilhadas com você na conta do consumidor, no console do Lake Formation, em Permissões, Tags LF e permissões. É possível associar tags compartilhadas do concedente aos recursos compartilhados da conta do concedente que incluem: bancos de dados, tabelas e colunas. Você pode conceder permissões nos recursos a outras entidades principais.

    A tela mostra as permissões para tags LF na conta.

    1. No painel de navegação, em Permissões, Permissões de dados, selecione Conceder.

    2. Na página Conceder permissões, selecione Usuários e perfis do IAM.

    3. Depois, escolha os usuários e perfis do IAM em sua conta para conceder acesso aos bancos de dados/tabelas compartilhados.

    4. Em Tags do LF ou recursos do catálogo, selecione Recursos correspondentes a tags LF.

    5. Depois, escolha a chave e os valores da tag LF que é compartilhada com você.

    6. Depois, escolha as permissões de banco de dados e de tabela que você deseja conceder aos usuários e perfis do IAM. Você também pode escolher Permissões para concessão que permitem que os usuários e perfis do IAM concedam permissões a outros usuários/perfis.

    7. Selecione Conceder.

    8. É possível visualizar as concessões de permissão em Permissões de dados no console do Lake Formation.