Cambiar la configuración predeterminada de su lago de datos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cambiar la configuración predeterminada de su lago de datos

Para mantener la compatibilidad con versiones anterioresAWS Glue, AWS Lake Formation tiene la siguiente configuración de seguridad inicial:

  • El permiso Super se concede al grupo IAMAllowedPrincipals sobre todos los recursos existentes del Catálogo de datos de AWS Glue.

  • La configuración "Usar solo control de acceso de IAM" está activada para los nuevos recursos del Catálogo de datos.

De hecho, esta configuración hace que el acceso a los recursos del catálogo de datos y a las ubicaciones de Amazon S3 se controle únicamente mediante políticas AWS Identity and Access Management (IAM). Los permisos individuales de Lake Formation no están en vigor.

El grupo IAMAllowedPrincipals incluye a todos los usuarios y roles de IAM a los que sus políticas de IAM permiten el acceso a los recursos de su Catálogo de datos. El permiso Super permite a una entidad principal efectuar todas las operaciones compatibles con Lake Formation en la base de datos o tabla sobre la que se ha concedido.

Para cambiar la configuración de seguridad de modo que el acceso a los recursos del Catálogo de datos (bases de datos y tablas) sea administrado por los permisos de Lake Formation, haga lo siguiente:

  1. Cambie la configuración de seguridad predeterminada para los nuevos recursos. Para ver instrucciones, consulte Cambie el modelo de permisos predeterminado o utilice el modo de acceso híbrido.

  2. Cambiar la configuración de los recursos existentes del Catálogo de datos. Para ver instrucciones, consulte Mejora AWS Glue permisos de datos para el AWS Lake Formation modelo.

Cambiar la configuración de seguridad predeterminada mediante la operación de la API PutDataLakeSettings de Lake Formation

También puede cambiar la configuración de seguridad predeterminada mediante la operación de la PutDataLakeSettingsAPI Lake Formation. Esta acción toma como argumentos un identificador de catálogo opcional y una DataLakeSettingsestructura.

Para imponer el control de acceso a los metadatos y a los datos subyacentes por parte de Lake Formation en las nuevas bases de datos y tablas, codifique la estructura DataLakeSettings de la manera siguiente.

nota

<AccountID>Sustitúyalo por un ID de AWS cuenta válido y por <Username>un nombre de usuario de IAM válido. Puede especificar más de un usuario como administrador del lago de datos.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}

También puede codificar la estructura de la siguiente manera. Omitir el parámetro CreateDatabaseDefaultPermissions o CreateTableDefaultPermissions equivale a pasar una lista vacía.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}

Esta acción revoca efectivamente todos los permisos de Lake Formation del grupo IAMAllowedPrincipals en las nuevas bases de datos y tablas. Cuando cree una base de datos, puede anular esta configuración.

Para imponer el control de acceso a los metadatos y a los datos subyacentes solo mediante IAM en las nuevas bases de datos y tablas, codifique la estructura de DataLakeSettings de la manera siguiente.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}

Esto concede al grupo IAMAllowedPrincipals el permiso Super de Lake Formation sobre nuevas bases de datos y tablas. Cuando cree una base de datos, puede anular esta configuración.

nota

En la estructura DataLakeSettings anterior, el único valor permitido para DataLakePrincipalIdentifier es IAM_ALLOWED_PRINCIPALS, y el único valor permitido para Permissions es ALL.