Métodos para un control de acceso detallado

Con un lago de datos, el objetivo es tener un control de acceso detallado a los datos. En Lake Formation, esto significa un control de acceso detallado a los recursos del catálogo de datos y a las ubicaciones de Amazon S3. Puede lograr un control de acceso detallado con uno de los métodos siguientes.

Método Permisos de formación de lagos Permisos de IAM Comentarios

Método 1

Open

De grano fino

Método	Permisos de formación de lagos	Permisos de IAM	Comentarios
Método 1	Open	De grano fino	Este es el método predeterminadopara compatibilidad con versiones anteriores conAWS Glue. Abrirsignifica que el permiso especial`Super`se concede al grupo`IAMAllowedPrincipals`, donde`IAMAllowedPrincipals`se crea automáticamente e incluye todos los usuarios y roles de IAM a los que sus políticas de IAM permitan el acceso a los recursos del catálogo de datos, y el`Super`el permiso permite al director realizar todas las operaciones de formación de lagos admitidas en la base de datos o tabla en la que se concede. De hecho, esto hace que el acceso a los recursos del catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de IAM. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos y ActualizaciónAWS Gluepermisos de datos para elAWS Lake Formationmodelo. De grano finosignifica que las políticas de IAM controlan todo el acceso a los recursos del catálogo de datos y a los cubos individuales de Amazon S3. En la consola de Lake Formation, este método aparece comoUtilice únicamente el control de acceso de IAM.
Método 2	De grano fino	De grano grueso	Este es el método recomendado. De grano finoel acceso significa conceder permisos limitados de Lake Formation a los directores individuales sobre los recursos del catálogo de datos, las ubicaciones de Amazon S3 y los datos subyacentes de esas ubicaciones. De grano gruesosignifica permisos más amplios en las operaciones individuales y en el acceso a las ubicaciones de Amazon S3. Por ejemplo, una política de IAM general podría incluir`"glue:"`o`"glue:Create"`en lugar de`"glue:CreateTables"`, dejando los permisos de Lake Formation para controlar si un director puede crear objetos de catálogo o no. También significa dar a los directores acceso a las API que necesitan para hacer su trabajo, pero bloquear otras API y recursos. Por ejemplo, puede crear una política de IAM que permita al director crear recursos del catálogo de datos y crear y ejecutar flujos de trabajo, pero no permita la creación deAWS Glueconexiones o funciones definidas por el usuario. Consulte los ejemplos más adelante en esta sección.

Este es el método predeterminadopara compatibilidad con versiones anteriores conAWS Glue.

Abrirsignifica que el permiso especialSuperse concede al grupoIAMAllowedPrincipals, dondeIAMAllowedPrincipalsse crea automáticamente e incluye todos los usuarios y roles de IAM a los que sus políticas de IAM permitan el acceso a los recursos del catálogo de datos, y elSuperel permiso permite al director realizar todas las operaciones de formación de lagos admitidas en la base de datos o tabla en la que se concede. De hecho, esto hace que el acceso a los recursos del catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de IAM. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos y ActualizaciónAWS Gluepermisos de datos para elAWS Lake Formationmodelo.
De grano finosignifica que las políticas de IAM controlan todo el acceso a los recursos del catálogo de datos y a los cubos individuales de Amazon S3.

En la consola de Lake Formation, este método aparece comoUtilice únicamente el control de acceso de IAM.

Método 2

De grano fino

De grano grueso

Este es el método recomendado.

De grano finoel acceso significa conceder permisos limitados de Lake Formation a los directores individuales sobre los recursos del catálogo de datos, las ubicaciones de Amazon S3 y los datos subyacentes de esas ubicaciones.
De grano gruesosignifica permisos más amplios en las operaciones individuales y en el acceso a las ubicaciones de Amazon S3. Por ejemplo, una política de IAM general podría incluir"glue:*"o"glue:Create*"en lugar de"glue:CreateTables", dejando los permisos de Lake Formation para controlar si un director puede crear objetos de catálogo o no. También significa dar a los directores acceso a las API que necesitan para hacer su trabajo, pero bloquear otras API y recursos. Por ejemplo, puede crear una política de IAM que permita al director crear recursos del catálogo de datos y crear y ejecutar flujos de trabajo, pero no permita la creación deAWS Glueconexiones o funciones definidas por el usuario. Consulte los ejemplos más adelante en esta sección.

importante

Tenga en cuenta lo siguiente:

De forma predeterminada, Lake Formation tiene elUtilice únicamente el control de acceso de IAMconfiguración habilitada para compatibilidad con la existenteAWS GlueComportamiento del catálogo de datos. Le recomendamos que desactive esta configuración después de pasar a utilizar los permisos de Lake Formation. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos.
Los administradores de lagos de datos y los creadores de bases de datos tienen permisos implícitos de Lake Formation que usted debe entender. Para obtener más información, consulte Permisos implícitos de formación de lagos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descripción general de los permisos de formación de lagos

Control de acceso a metadatos