As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Concedendo permissões de data lake usando o método LF-TBAC
Você pode conceder permissões de DESCRIBE e ASSOCIATE Lake Formation LF-Tags aos diretores para que eles possam visualizá-los LF-Tags e atribuí-los aos recursos do Catálogo de Dados (bancos de dados, tabelas, visualizações e colunas). Quando LF-Tags são atribuídos aos recursos do Catálogo de Dados, você pode usar o método de controle de acesso (LF-TBAC) baseado em tags do Lake Formation para proteger esses recursos. Para obter mais informações, consulte Controle de acesso baseado em tags do Lake Formation.
No início, somente o administrador do data lake pode conceder essas permissões. Se o administrador do data lake conceder essas permissões com a opção de concessão, outras entidades principais poderão concedê-las. As permissões DESCRIBE e ASSOCIATE são explicadas em Considerações e práticas recomendadas de controle de acesso com base em tags do Lake Formation.
Você pode conceder as ASSOCIATE permissões DESCRIBE e em uma LF-Tag AWS conta externa. Um administrador de data lake nessa conta pode então conceder essas permissões a outras entidades principais na conta. Os diretores aos quais o administrador do data lake na conta externa concede a ASSOCIATE permissão podem então atribuir LF-Tags aos recursos do Catálogo de Dados que você compartilhou com a conta deles.
Ao conceder para uma conta externa, você deve incluir a opção de concessão.
Você pode conceder permissões LF-Tags usando o AWS Lake Formation console, a API ou o AWS Command Line Interface (AWS CLI).
As etapas a seguir não são necessárias para catálogos de Tabelas do S3. Você pode usar LF-Tags para conceder permissões em catálogos existentes do S3 Tables sem excluí-los e recriá-los.
Habilitando o LF-Tags suporte para catálogos federados existentes que usam as permissões do Lake Formation
Siga estas etapas, se você tiver catálogos federados existentes que estejam usando permissões do Lake Formation, como o Amazon Redshift Amazon DynamoDB ou catálogos que foram criados LF-Tags antes que o suporte estivesse disponível para catálogos federados.
-
Exclua o catálogo existente: chame a operação deleteCatalog da API para remover o catálogo federado existente que usa as permissões do Lake Formation.
-
Crie um novo catálogo federado — Crie um novo catálogo e direcione o novo catálogo para o existente namespace/datashare.
Use um novo nome para o catálogo — Esse processo atualiza seus catálogos federados preexistentes para oferecer suporte à funcionalidade. LF-Tag Se você quiser usar o mesmo nome de catálogo, entre em contato com a equipe de AWS suporte para obter ajuda.
Conceder permissões do catálogo de dados
Use o console do Lake Formation ou AWS CLI conceda permissões do Lake Formation em bancos de dados, tabelas, visualizações e colunas do Catálogo de Dados usando o método de controle de acesso (LF-TBAC) baseado em tags do Lake Formation.
- Console
-
As etapas a seguir explicam como conceder permissões usando o método de controle de acesso (LF-TBAC) baseado em tags do Lake Formation e a página Conceder permissões do data lake no console do Lake Formation. A página está dividida nas seguintes seções:
-
Diretores — Os usuários, as funções e Contas da AWS para os quais conceder permissões.
-
LF-Tags ou recursos do catálogo — Os bancos de dados, tabelas ou links de recursos nos quais conceder permissões.
-
Permissões – As permissões do Lake Formation devem ser concedidas.
-
Abra a página Conceder permissões de data lake.
Abra o AWS Lake Formation console em https://console.aws.amazon.com/lakeformation/e faça login como administrador do data lake ou como usuário que recebeu permissões do Lake Formation nos recursos do Catálogo de Dados por meio LF-TBAC da opção de concessão.
No painel de navegação, em Permissões, escolha Permissões do data lake. Em seguida, escolha Conceder.
-
Especifique as entidades principais.
Na seção Entidades principais, escolha um tipo de principal e, em seguida, especifique às entidades principais aos quais conceder permissões.
- Usuários e perfis do IAM
-
Escolha um ou mais usuários ou perfis na lista de usuários e perfis do IAM.
- Centro de Identidade do IAM
-
Selecione um ou mais usuários na lista Usuários e grupos.
- Usuários e grupos SAML
-
Para usuários e grupos SAML e Quick, insira um ou mais Amazon Resource Names (ARNs) para usuários ou grupos federados por meio de SAML ou ARNs para usuários ou grupos Quick. Pressione Enter após cada ARN.
Para obter informações sobre como construir os ARNs, consulte Concessão e revogação da Lake Formation AWS CLI Comandos da do.
A integração do Lake Formation com o Quick é compatível somente com o Quick Enterprise Edition.
- Contas externas
-
Para Contas da AWS, AWS organização ou diretor do IAM, insira um ou mais Conta da AWS IDs válidos, IDs da organização, IDs da unidade organizacional ou ARN para o usuário ou a função do IAM. Pressione Enter após cada ID.
O ID da organização consiste em “o-” seguido por 10 a 32 letras minúsculas ou dígitos.
Um ID de unidade organizacional começa com “ou-” seguido de 4 a 32 letras minúsculas ou dígitos (o ID da raiz que contém a OU). Essa sequência é seguida por um segundo travessão "-" e 8 a 32 letras minúsculas ou dígitos adicionais.
-
Certifique-se de que a LF-Tags opção Recursos correspondidos por seja escolhida. Escolha pares LF-Tag de valores-chave ou expressões salvas LF-Tag .
-
Se você escolher a opção de pares LF-Tag de valores-chave, escolha as chaves e os valores.
Se você escolher mais de um valor, estará criando uma LF-Tag expressão com um OR operador. Isso significa que, se algum dos LF-Tag valores corresponder a um recurso LF-Tag atribuído a um catálogo de dados, você receberá permissões sobre o recurso.
-
(Opcional) Escolha Adicionar par LF-Tag de valores-chave novamente para especificar outro. LF-Tag
Se você especificar mais de um LF-Tag, estará criando uma LF-Tag expressão com um AND operador. O principal recebe permissões em um recurso do Catálogo de Dados somente se o recurso tiver recebido uma correspondência LF-Tag para cada um LF-Tag na LF-Tag expressão.
-
Escolha a opção Salvar como nova expressão para reutilizar a expressão.
Você precisa de Create LF-Tag expression para salvar as expressões.
Para obter mais informações sobre LF-Tag expressões, consulteGerenciando LF-Tag expressões para controle de acesso a metadados.
-
Especifique as permissões.
Especificar as permissões a serem concedidas à entidade principal em recursos correspondentes do catálogo de dados. Recursos correspondentes são aqueles que foram atribuídos LF-Tags e correspondem a uma das LF-Tag expressões concedidas ao diretor.
É possível especificar as permissões a serem concedidas em bancos de dados, tabelas e visualizações correspondentes.
Em Permissões do banco de dados, selecione as permissões do banco de dados a serem concedidas à entidade principal nos bancos de dados correspondentes.
Em Permissões de tabela, selecione as permissões de tabela ou visualização a serem concedidas à entidade principal nas tabelas e nas visualizações correspondentes.
Também é possível selecionar as permissões Select, Describe e Drop nas Permissões de tabela a serem aplicadas às visualizações.
-
Selecione Conceder.
- AWS CLI
-
Você pode usar o AWS Command Line Interface (AWS CLI) e o método de controle de acesso (LF-TBAC) baseado em tags do Lake Formation para conceder permissões do Lake Formation nos bancos de dados, tabelas e colunas do Catálogo de Dados.
Concedendo permissões de data lake usando o AWS CLI e o LF-TBAC método