Compartir datos mediante el control de acceso basado en etiquetas - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir datos mediante el control de acceso basado en etiquetas

AWS Lake Formation El control de acceso basado en etiquetas (LF-TBAC) es una estrategia de autorización que define los permisos en función de los atributos. En los siguientes pasos se explica cómo conceder permisos entre cuentas mediante etiquetas LF.

Configuración necesaria en la cuenta del productor/concedente
  1. Defina una etiqueta LF. Para obtener instrucciones sobre cómo crear una etiqueta LF, consulte Crear etiquetas LF.

  2. Asigne la etiqueta LF al recurso de destino. Para obtener más información, consulte Asignación de varias etiquetas LF a recursos del Catálogo de datos.

  3. Conceda el permiso de etiqueta LF a la cuenta externa. Para obtener más información, consulte Concesión de permisos de etiqueta LF desde la consola.

    En este punto, el administrador del lago de datos del consumidor debería poder encontrar la etiqueta de política que se comparte a través de la consola de Lake Formation de la cuenta del beneficiario, en Permisos, Roles y tareas administrativas, Etiquetas LF.

  4. Concede permiso de datos a la cuenta externa o del beneficiario.

    1. En el panel de navegación, en Permisos, Permisos de lago de datos, seleccione Conceder.

    2. En el caso de los principales, elija Cuentas externas e introduzca el Cuenta de AWS ID de destino o la IAM función del principal o el nombre de recurso de Amazon (ARN) para el principal (principalARN).

    3. Para las etiquetas LF o los recursos del catálogo, elija la clave y los valores de la etiqueta LF que se va a compartir con la cuenta del consumidor (clave Confidentiality y valor public).

    4. En Permisos, bajo Recursos que coinciden con las etiquetas LF (recomendado) elija Agregar etiqueta LF.

    5. Selecciona la clave y el valor de la etiqueta que se comparte con la cuenta del beneficiario (clave Confidentiality y valor public).

    6. Para Permisos de base de datos, seleccione Describir en Permisos de bases de datos para conceder permisos de acceso a nivel de base de datos.

    7. El administrador del lago de datos del consumidor debería poder encontrar la etiqueta de política que se comparte a través de la cuenta del consumidor en la consola de Lake Formation https://console.aws.amazon.com/lakeformation/, en Permisos, funciones y tareas administrativas, etiquetas LF.

    8. Seleccione Describir en Permisos otorgables para que la cuenta del consumidor pueda conceder permisos a nivel de base de datos a sus usuarios.

      Como el administrador del lago de datos debe conceder permisos sobre los recursos compartidos a las entidades principales de la cuenta beneficiaria, los permisos entre cuentas siempre deben concederse con la opción de concesión.

      nota

      Las entidades principales que reciban concesiones directas entre cuentas no dispondrán de la opción Permisos concedibles.

    9. En Permisos de tabla y columna, elija Seleccionar y Describir en la Permisos de tabla.

    10. Elija Seleccionar y Describir en Permisos concedibles.

    11. Elija Conceder.

Se requiere una configuración en la cuenta receptora o beneficiaria
  1. Al compartir un recurso con otra cuenta, el recurso sigue perteneciendo a la cuenta del productor y no está visible en la consola de Athena. Para que el recurso sea visible en la consola de Athena, debe crear un enlace de recurso que apunte al recurso compartido. Para obtener instrucciones sobre cómo crear un enlace a un recurso, consulte Crear un enlace de recursos a una tabla de Catálogo de datos compartida y Crear un enlace de recursos a una base de datos de Catálogo de datos compartida

  2. Debe crear un conjunto independiente de etiquetas LF en la cuenta del consumidor para utilizar el control de acceso basado en etiquetas LF al compartir los enlaces de recursos. Cree y asigne las etiquetas LF necesarias a las bases de datos o tablas compartidas y a los enlaces de recursos.

  3. Concede permisos sobre estas etiquetas LF a los IAM directores de la cuenta del concesionario.