Métodos para el control de acceso específico

Con un lago de datos, el objetivo es tener un control de acceso detallado a los datos. En Lake Formation, esto significa un control de acceso específico a los recursos del catálogo de datos y a las ubicaciones de Amazon S3. Puede lograr un control de acceso específico con uno de los siguientes métodos.

Método Permisos de Lake Formation Permisos de IAM Comentarios

Método 1

Open

Específicos

Método	Permisos de Lake Formation	Permisos de IAM	Comentarios
Método 1	Open	Específicos	Este es el método predeterminado por compatibilidad inversa con AWS Glue. Abierto significa que el permiso especial `Super` se concede al grupo `IAMAllowedPrincipals`, donde se crea automáticamente `IAMAllowedPrincipals` e incluye a todos los usuarios y roles de IAM que tienen permitido el acceso a los recursos de su catálogo de datos por sus políticas de IAM, y el permiso `Super` permite a una entidad principal todas las operaciones de Lake Formation compatibles en la base de datos o tabla en la que se concede. Esto hace que el acceso a los recursos del catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de IAM. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos y Actualización de los permisos de datos AWS Glue al modelo AWS Lake Formation. Específico significa que las políticas de IAM controlan todo el acceso a los recursos del catálogo de datos y a los buckets individuales de Amazon S3. En la consola de Lake Formation, este método aparece como Utilizar solo control de acceso IAM.
Método 2	Específicos	Básicos	Esta es la opción recomendada. El acceso específico implica la concesión de permisos limitados de Lake Formation a entidades principales individuales sobre los recursos del catálogo de datos, las ubicaciones de Amazon S3 y los datos subyacentes en dichas ubicaciones. Básicos significa permisos más amplios sobre operaciones individuales y sobre el acceso a las ubicaciones de Amazon S3. Por ejemplo, una política de IAM básica podría incluir `"glue:"` o `"glue:Create"` en lugar de `"glue:CreateTables"`, dejando que los permisos de Lake Formation controlen si una entidad principal puede o no crear objetos de catálogo. También significa dar a las entidades principales acceso a las API que necesitan para hacer su trabajo, pero bloqueando otras API y recursos. Por ejemplo, puede crear una política de IAM que permita a una entidad principal crear recursos del catálogo de datos y crear y ejecutar flujos de trabajo, pero que no permita la creación de conexiones AWS Glue o funciones definidas por el usuario. Vea los ejemplos más adelante en esta sección.

Este es el método predeterminado por compatibilidad inversa con AWS Glue.

Abierto significa que el permiso especial Super se concede al grupo IAMAllowedPrincipals, donde se crea automáticamente IAMAllowedPrincipals e incluye a todos los usuarios y roles de IAM que tienen permitido el acceso a los recursos de su catálogo de datos por sus políticas de IAM, y el permiso Super permite a una entidad principal todas las operaciones de Lake Formation compatibles en la base de datos o tabla en la que se concede. Esto hace que el acceso a los recursos del catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de IAM. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos y Actualización de los permisos de datos AWS Glue al modelo AWS Lake Formation.
Específico significa que las políticas de IAM controlan todo el acceso a los recursos del catálogo de datos y a los buckets individuales de Amazon S3.

En la consola de Lake Formation, este método aparece como Utilizar solo control de acceso IAM.

Método 2

Específicos

Básicos

Esta es la opción recomendada.

El acceso específico implica la concesión de permisos limitados de Lake Formation a entidades principales individuales sobre los recursos del catálogo de datos, las ubicaciones de Amazon S3 y los datos subyacentes en dichas ubicaciones.
Básicos significa permisos más amplios sobre operaciones individuales y sobre el acceso a las ubicaciones de Amazon S3. Por ejemplo, una política de IAM básica podría incluir "glue:*" o "glue:Create*" en lugar de "glue:CreateTables", dejando que los permisos de Lake Formation controlen si una entidad principal puede o no crear objetos de catálogo. También significa dar a las entidades principales acceso a las API que necesitan para hacer su trabajo, pero bloqueando otras API y recursos. Por ejemplo, puede crear una política de IAM que permita a una entidad principal crear recursos del catálogo de datos y crear y ejecutar flujos de trabajo, pero que no permita la creación de conexiones AWS Glue o funciones definidas por el usuario. Vea los ejemplos más adelante en esta sección.

importante

Tenga en cuenta lo siguiente:

De forma predeterminada, Lake Formation tiene activada la configuración de control de acceso Utilizar solo IAM por compatibilidad con el comportamiento existente del catálogo de datos AWS Glue. Le recomendamos que desactive esta configuración después de pasar a usar los permisos de Lake Formation. Para obtener más información, consulte Cambiar la configuración predeterminada de su lago de datos.
Los administradores de lagos de datos y los creadores de bases de datos tienen permisos implícitos de Lake Formation que debe comprender. Para obtener más información, consulte Permisos implícitos de Lake Formation.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descripción general de los permisos de Lake Formation

Control de acceso a los metadatos