Añadir creadores de etiquetas LF - AWS Lake Formation
Permisos de IAM requeridos para crear etiquetas LFAñadir creadores de etiquetas LF

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir creadores de etiquetas LF

De forma predeterminada, los administradores de lagos de datos pueden crear, actualizar y eliminar etiquetas LF, asignar etiquetas a los recursos del Catálogo de datos y conceder permisos de etiquetas a las entidades principales. Si desea delegar las operaciones de creación y administración de etiquetas a entidades principales no administrativa, el administrador del lago de datos puede crear roles de creador de etiquetas LF y conceder permisos Create LF-Tag a Lake Formation para los roles. Con un permiso Create LF-Tag concedible, los creadores de etiquetas LF pueden delegar las tareas de creación y mantenimiento de etiquetas a otras entidades principales no administrativas.

nota

Las concesiones de permisos entre cuentas solo pueden incluir permisos Describe y Associate. No puede conceder permisos Create LF-Tag, Drop, Alter ni Grant with LFTag expressions a las entidades principales de una cuenta diferente.

Véase también

Permisos de IAM requeridos para crear etiquetas LF

Debe configurar permisos para que una entidad principal de Lake Formation pueda crear LF-tags. Añada la siguiente instrucción a la política de permisos de la entidad principal que necesita ser creadora de etiquetas LF.

nota

Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF, asignar etiquetas LF a los recursos y conceder etiquetas LF a las entidades principales, los administradores de lagos de datos también necesitan los permisos de IAM siguientes.

Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Las entidades principales que asignan etiquetas LF a recursos y conceden etiquetas LF a entidades principales deben tener los mismos permisos, salvo CreateLFTag, UpdateLFTag y DeleteLFTag.

Añadir creadores de etiquetas LF

Un creador de etiquetas LF puede crear una etiqueta LF, actualizar la clave y los valores de la etiqueta, eliminar etiquetas, asociar etiquetas a los recursos del Catálogo de datos y conceder permisos sobre los recursos del Catálogo de datos a entidades principales mediante el método LF-TBAC. El creador de la etiqueta LF también puede conceder estos permisos a entidades principales.

Puede crear funciones de creador de etiquetas LF mediante la AWS Lake Formation consola, la API o (). AWS Command Line Interface AWS CLI

console
Para añadir un creador de etiquetas LF

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    Inicie sesión como administrador del lago de datos.

  2. En el panel de navegación, en Permisos, elija Etiquetas LF y permisos.

    En la página Permisos y etiquetas LF, seleccione la sección Creadores de etiquetas LF y seleccione Añadir creadores de etiquetas LF.

  3. En la página Añadir creadores de etiquetas LF, seleccione un usuario o un rol de IAM que tenga los permisos necesarios para crear etiquetas LF.

  4. Marque la casilla de verificación del permiso Create LF-Tag.

  5. (Opcional) Para que las entidades principales seleccionadas puedan conceder permisos Create LF-Tag a las entidades principales, seleccione el permiso concedible Create LF-Tag.

  6. Seleccione Agregar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Los siguientes son los permisos disponibles para un rol de creador de etiquetas LF:

Permiso Descripción
Drop Una entidad principal con este permiso en una etiqueta LF puede eliminar una etiqueta LF del lago de datos. La entidad principal obtiene un permiso implícito Describe sobre todos los valores de etiqueta de un recurso de etiqueta LF.
Alter Una entidad principal con este permiso en una etiqueta LF puede añadir o eliminar el valor de una etiqueta LF. La entidad principal obtiene un permiso implícito Alter sobre todos los valores de una etiqueta LF.
Describe Una entidad principal con este permiso en una etiqueta LF puede ver la etiqueta LF y sus valores al asignar etiquetas LF a los recursos o conceder permisos a las etiquetas LF. Puede conceder Describe en todos los valores clave o en valores específicos.
Associate Una entidad principal con este permiso en una etiqueta LF puede asignar esta a un recurso del Catálogo de datos. Al conceder Associate está otorgando Describe de manera implícita.
Grant with LF-Tag expression Una entidad principal con este permiso en una etiqueta LF puede conceder permisos sobre los recursos de un Catálogo de datos utilizando la clave y los valores de la etiqueta LF. Conceder Grant with LF-Tag expression otorga Describe de manera implícita.

Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.