Métodos para el control de acceso específico - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Métodos para el control de acceso específico

Con un lago de datos, el objetivo es tener un control de acceso detallado a los datos. En Lake Formation, esto significa un control de acceso específico a los recursos del Catálogo de datos y a las ubicaciones de Amazon S3. Puede lograr un control de acceso específico con uno de los siguientes métodos.

Método Permisos de Lake Formation Permisos de IAM Comentarios
Método 1 Abra Específicos

Este es el método predeterminado por compatibilidad inversa con AWS Glue.

  • Abierto significa que el permiso especial Super se concede al grupo IAMAllowedPrincipals, donde se crea automáticamente IAMAllowedPrincipals e incluye a todos los usuarios y roles de IAM que tienen permitido el acceso a los recursos de su Catálogo de datos por sus políticas de IAM, y el permiso Super permite a una entidad principal todas las operaciones de Lake Formation compatibles en la base de datos o tabla en la que se concede. Esto hace que el acceso a los recursos del Catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de IAM. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos y Actualización AWS Glue de los permisos de datos al AWS Lake Formation modelo.

  • Específico significa que las políticas de IAM controlan todo el acceso a los recursos del Catálogo de datos y a los buckets individuales de Amazon S3.

En la consola de Lake Formation, este método aparece como Utilizar solo control de acceso IAM.

Método 2 Específicos Básicos

Esta es la opción recomendada.

  • El acceso específico implica la concesión de permisos limitados de Lake Formation a entidades principales individuales sobre los recursos del Catálogo de datos, las ubicaciones de Amazon S3 y los datos subyacentes en dichas ubicaciones.

  • Básicos significa permisos más amplios sobre operaciones individuales y sobre el acceso a las ubicaciones de Amazon S3. Por ejemplo, una política de IAM básica podría incluir "glue:*" o "glue:Create*" en lugar de "glue:CreateTables", dejando que los permisos de Lake Formation controlen si una entidad principal puede o no crear objetos de catálogo. También significa dar a las entidades principales acceso a las API que necesitan para hacer su trabajo, pero bloqueando otras API y recursos. Por ejemplo, puede crear una política de IAM que permita a una entidad principal crear recursos del Catálogo de datos y crear y ejecutar flujos de trabajo, pero que no permita la creación de conexiones AWS Glue o funciones definidas por el usuario. Vea los ejemplos más adelante en esta sección.

importante

Tenga en cuenta lo siguiente:

  • De forma predeterminada, Lake Formation tiene activada la configuración de control de acceso Utilizar solo IAM por compatibilidad con el comportamiento existente del Catálogo de datos AWS Glue. Le recomendamos que desactive esta configuración después de pasar a usar los permisos de Lake Formation. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos.

  • Los administradores de lagos de datos y los creadores de bases de datos tienen permisos implícitos de Lake Formation que debe comprender. Para obtener más información, consulte Permisos implícitos de Lake Formation.