Gerenciar expressões de tag LF para controle de acesso a metadados - AWS Lake Formation
Permissões de IAM necessárias para criar expressões de tag LFCriadores de expressões de tag LF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar expressões de tag LF para controle de acesso a metadados

As expressões LF-Tag são expressões lógicas compostas por uma ou mais tags LF (pares de valores-chave) usadas para conceder permissões em recursos. AWS Glue Data Catalog As expressões de tag LF permitem que você defina regras que controlem o acesso aos seus recursos de dados com base em suas tags de metadados. É possível salvar essas expressões e reutilizá-las em várias concessões de permissão, garantindo a consistência e facilitando o gerenciamento de alterações na ontologia de tags ao longo do tempo.

Em determinada expressão de tag LF, as chaves de tag são combinadas usando a operação AND, enquanto os valores são combinados usando a operação OR. Por exemplo, a expressão de tag content_type:Sales AND location:US representa recursos relacionados aos dados de vendas nos EUA.

É possível criar até mil expressões de tag LF em uma Conta da AWS. Essas expressões proporcionam uma forma flexível e escalável de gerenciar permissões com base em tags de metadados, garantindo que somente usuários ou aplicações autorizados possam acessar recursos de dados específicos com base nas regras de tag definidas.

As expressões de tag LF oferecem os seguintes benefícios:

  • Reutilização: quando você define e salve expressões de tag LF, não precisa mais replicar manualmente as mesmas expressões ao atribuir permissões a outros recursos ou entidades principais.

  • Consistência: a reutilização de expressões de tag LF em várias concessões de permissão garante a consistência na forma como as permissões são concedidas e gerenciadas.

  • Gerenciamento de ontologia de tags: as expressões de tag LF ajudam a gerenciar alterações na ontologia de tags ao longo do tempo, pois você pode atualizar as expressões salvas em vez de modificar as permissões individuais.

Para acessar mais informações sobre o controle de acesso baseado em tags, consulte Controle de acesso baseado em tags do Lake Formation.

Criadores de expressões de tag LF

O criador de expressão de tag LF é uma entidade principal que tem permissões para criar e gerenciar expressões de tag LF. Os administradores do data lake podem adicionar criadores de expressões de tag LF usando o console do Lake Formation, a CLI, a API ou o SDK. Os criadores da expressões de tag LF têm permissões implícitas do Lake Formation para criar, atualizar e excluir expressões de tag LF e conceder permissões de expressão de tag LF a outras entidades principais.

Os criadores de expressões de tag LF que não são administradores de data lake recebem permissões Alter, Drop, Describe e Grant with LF-Tag expression implícitas somente para as expressões criadas.

Os administradores do data lake também podem conceder aos criadores de expressões de tag LF permissões Create LF-Tag expression para concessão. Depois, o criador de expressões de tag LF pode conceder a permissão para criar expressões de tag LF a outras entidades principais.

Tópicos
Consulte também

Permissões de IAM necessárias para criar expressões de tag LF

Você deve configurar permissões para permitir que uma entidade principal do Lake Formation crie expressões de tag LF. Adicione a seguinte declaração à política de permissões para a entidade principal que precisa ser um criador de expressões de tag LF.

nota

Embora os administradores do data lake tenham permissões implícitas do Lake Formation para criar, atualizar e excluir tags LF e expressões de tag LF, para atribuir tags LF aos recursos e conceder tags LF e expressões de tag LF às entidades principais, os administradores do data lake também precisam das permissões do IAM a seguir.

Para obter mais informações, consulte Referência de personas e permissões do IAM do Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }

Criadores de expressões de tag LF

Os criadores de expressões de tag LF podem criar e salvar expressões de tag LF reutilizáveis, atualizar a chave e os valores da tag, excluir expressões e conceder permissões sobre os recursos do Data Catalog às entidades principais usando o método LF-TBAC. O criador de expressões de tag LF também pode conceder essas permissões a entidades principais.

Você pode criar funções de criador de expressões LF-Tag usando o AWS Lake Formation console, a API ou o AWS Command Line Interface ()AWS CLI.

console
Como adicionar um criador de expressões de tag LF

  1. Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

    Faça login como administrador de data lake.

  2. No painel de navegação, em Permissões, selecione permissões e tags do LF.

  3. Escolha a guia Expressões de tags LF.

  4. Na seção Criadores de expressões de tag LF, escolha Adicionar criadores de expressões de tag LF.

    Form to add LF-Tag expression creators with Usuário do IAM selection and permissions.

  5. Na página Adicionar criadores de expressões de tag LF, escolha um perfil ou usuário do IAM que tenha as permissões necessárias para criar expressões de tag LF.

  6. Marque a caixa de seleção de permissão Create LF-Tag expression.

  7. (Opcional) Para permitir que as entidades principais selecionadas concedam a permissão Create LF-Tag expression às entidades principais, escolha a permissão Create LF-Tag expression concedível.

  8. Escolha Adicionar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}

O perfil de criador da expressões de tag LF tem a capacidade de criar, atualizar ou excluir expressões de tag LF.

Permissão Description
Create Uma entidade principal com essa permissão pode adicionar expressões de tag LF no data lake.
Drop Uma entidade principal com essa permissão em uma expressão de tag LF pode excluir uma expressão de tag LF do data lake.
Alter Uma entidade principal com essa permissão em uma expressão de tag LF pode atualizar o corpo de uma expressão de tag LF.
Describe Uma entidade principal com essa permissão em uma expressão de tag LF pode visualizar o conteúdo de uma expressão de tag LF.
Grant with LF-Tag expression Com essa permissão, o destinatário usa a expressão de tag como recurso ao conceder permissões de acesso a dados ou metadados. Conceder Grant with LF-Tag expression concede implicitamente Describe.
Super Em relação a expressões de tag LF, a permissão Super concede a capacidade de Describe, Alter, Drop e concede permissões na expressão de tag a outras entidades principais.

Essas permissões são concedidas. Uma entidade principal que tenha recebido essas permissões com a opção de concessão pode concedê-las a outras entidades principais.