Administración de permisos de usuario de Lake Formation y Athena

Lake Formation ofrece credenciales para consultar almacenes de datos de Amazon S3 registrados en Lake Formation. Si anteriormente utilizó políticas de IAM para conceder o denegar permisos para leer ubicaciones de datos en Amazon S3, puede utilizar permisos de Lake Formation en su lugar. Sin embargo, otros permisos de IAM siguen siendo necesarios.

Siempre que utilice políticas de IAM, asegúrese de seguir las prácticas recomendadas de IAM. Para obtener más información, consulte la sección Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM.

En las siguientes secciones, se resumen los permisos necesarios para utilizar Athena para consultar los datos registrados en Lake Formation. Para obtener más información, consulte Seguridad en AWS Lake Formation en la Guía para desarrolladores de AWS Lake Formation.

Permisos basados en identidad para Lake Formation y Athena

Cualquier persona que utilice Athena para consultar datos registrados en Lake Formation debe tener una política de permisos de IAM que permita la acción lakeformation:GetDataAccess. La Política administrada de AWS: AmazonAthenaFullAccess permite esta acción. Si utiliza políticas insertadas, asegúrese de actualizar las políticas de permisos para permitir esta acción.

En Lake Formation, un administrador de lago de datos tiene permisos para crear objetos de metadatos tales como bases de datos y tablas, conceder permisos de Lake Formation a otros usuarios y registrar nuevas ubicaciones de Amazon S3. Para registrar nuevas ubicaciones, se necesitan permisos para el rol vinculado al servicio para Lake Formation. Para obtener más información, consulte Creación de un administrador de lago de datos y Permisos de roles vinculados al servicio para Lake Formation en la Guía para desarrolladores de AWS Lake Formation.

Un usuario de Lake Formation puede utilizar Athena para consultar bases de datos, tablas, columnas de tablas y almacenes de datos de Amazon S3 subyacentes en función de los permisos de Lake Formation que le hayan concedido los administradores del lago de datos. Los usuarios no pueden crear bases de datos ni tablas, ni registrar nuevas ubicaciones de Amazon S3 con Lake Formation. Para obtener más información, consulte Creación de un usuario de lago de datos en la Guía para desarrolladores de AWS Lake Formation.

En Athena, las políticas de permisos basadas en identidades, incluidas las de los grupos de trabajo de Athena, siguen controlando el acceso a las acciones de Athena para los usuarios de cuentas de Amazon Web Services. Además, el acceso federado podría proporcionarse a través de la autenticación basada en SAML disponible con controladores de Athena. Para obtener más información, consulte Uso de grupos de trabajo para controlar el acceso a las consultas y los costos, Uso de políticas de IAM para el control del acceso al grupo de trabajo y Habilitación del acceso federado a la API de Athena.

Para obtener más información, consulte Concesión de permisos de Lake Formation en la Guía para desarrolladores de AWS Lake Formation.

Permisos de Amazon S3 para las ubicaciones de los resultados de las consultas de Athena

Las ubicaciones de los resultados de consulta en Amazon S3 para Athena no se pueden registrar en Lake Formation. Los permisos de Lake Formation no limitan el acceso a estas ubicaciones. A menos que limite el acceso, los usuarios de Athena pueden acceder a los archivos de resultados de consultas y metadatos cuando no tienen permisos de Lake Formation para los datos. Para evitar esto, le recomendamos que utilice grupos de trabajo para especificar la ubicación de los resultados de consulta y alinear la pertenencia a grupos de trabajo con permisos de Lake Formation. A continuación, puede utilizar políticas de permisos de IAM para limitar el acceso a ubicaciones de resultados de consulta. Para obtener más información sobre los resultados de consultas, consulte Trabajo con resultados de la consulta y consultas recientes.

Suscripciones a grupos de trabajo de Athena para el historial de consultas

El historial de consultas de Athena expone una lista de consultas guardadas y las cadenas de consultas completas. A menos que utilice grupos de trabajo para separar el acceso a los historiales de consultas, los usuarios de Athena que no tengan autorización para consultar datos en Lake Formation pueden ver cadenas de consulta ejecutadas en esos datos, incluidos nombres de columna, criterios de selección, etc. Le recomendamos que utilice grupos de trabajo para separar los historiales de consultas y alinear la pertenencia al grupo de trabajo de Athena con permisos de Lake Formation para limitar el acceso. Para obtener más información, consulte Uso de grupos de trabajo para controlar el acceso a las consultas y los costos.

Permisos de Lake Formation para datos

Además del permiso de referencia para utilizar Lake Formation, los usuarios de Athena deben tener permisos de Lake Formation para obtener acceso a los recursos que consultan. Un administrador de Lake Formation concede y administra estos permisos. Para obtener más información, consulte Seguridad y control de acceso a metadatos y datos en la Guía para desarrolladores de AWS Lake Formation.

Permisos de IAM para escribir en ubicaciones de Amazon S3

Los permisos de Lake Formation para Amazon S3 no incluyen la capacidad de escribir en Amazon S3. Las consultas Create Table As Statements (CTAS) requieren acceso de escritura a la ubicación de las tablas de Amazon S3. Para ejecutar consultas CTAS sobre datos registrados en Lake Formation, los usuarios de Athena deben tener permisos de IAM para escribir en la tabla ubicaciones de Amazon S3, además de los permisos de Lake Formation correspondientes para leer las ubicaciones de datos. Para obtener más información, consulte Creación de una tabla a partir de los resultados de una consulta (CTAS).

Permisos para datos cifrados, metadatos y resultados de consultas de Athena

Los datos de origen subyacentes en Amazon S3 y los metadatos en el catálogo de datos que están registrados en Lake Formation se pueden cifrar. No hay ningún cambio en la forma en que Athena gestiona el cifrado de los resultados de las consultas cuando se utiliza Athena para consultar los datos registrados en Lake Formation. Para obtener más información, consulte Cifrado de los resultados de las consultas de Athena en Amazon S3.

• Cifrado de datos de origen: se admite el cifrado de datos de origen de ubicaciones de datos de Amazon S3. Los usuarios de Athena que consultan ubicaciones cifradas de Amazon S3 registradas en Lake Formation necesitan permisos para cifrar y descifrar datos. Para obtener más información acerca de los requisitos, consulte Opciones de cifrado de Simple Storage Service (Amazon S3) compatibles y Permisos para datos cifrados en Amazon S3.

• Cifrado de metadatos: se admite el cifrado de metadatos en el catálogo de datos. Para las entidades principales que utilizan Athena, las políticas basadas en identidad deben permitir las acciones "kms:GenerateDataKey", "kms:Decrypt" y "kms:Encrypt" para la clave utilizada para cifrar los metadatos. Para obtener más información, consulte Cifrado de su catálogo de datos en la Guía para desarrolladores de AWS Glue y en el Configuración del acceso desde Athena a los metadatos cifrados en el AWS Glue Data Catalog.

Permisos basados en recursos para buckets de Amazon S3 en cuentas externas (opcional)

Para consultar una ubicación de datos de Amazon S3 en una cuenta diferente, debe permitir el acceso a la ubicación una política de IAM basada en recursos (política de bucket). Para obtener más información, consulte Configuración del acceso entre cuentas en Athena a los buckets de Amazon S3.

Para obtener información sobre cómo acceder a un catálogo de datos en otra cuenta, consulte Opción A: configuración del acceso al catálogo de datos entre cuentas en Athena.