Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Otorgar permisos de lago de datos mediante el TBAC método LF-
Puede conceder los permisos DESCRIBE
y ASSOCIATE
de Lake Formation sobre las etiquetas LF a las entidades principales para que puedan ver las etiquetas LF y asignarlas a los recursos del catálogo de datos (bases de datos, tablas, vistas y columnas). Cuando se asignan etiquetas LF a los recursos del catálogo de datos, puede utilizar el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para proteger esos recursos. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.
Al principio, solo el administrador del lago de datos puede conceder estos permisos. Si el administrador del lago de datos concede estos permisos con la opción de concesión, otras entidades principales podrán otorgarlos. Los permisos DESCRIBE
y ASSOCIATE
se explican en Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation.
Puede conceder los ASSOCIATE
permisos DESCRIBE
y los permisos de una etiqueta LF a una cuenta externa. AWS Un administrador del lago de datos de esa cuenta puede entonces conceder esos permisos a otras entidades principales de la cuenta. Las entidades principales a las que el administrador del lago de datos de la cuenta externa conceda el permiso ASSOCIATE
podrán entonces asignar etiquetas LF a los recursos del Catálogo de datos que haya compartido con su cuenta.
Al hacer concesiones a una cuenta externa, debe incluir la opción de concesión.
Puedes conceder permisos a las etiquetas LF mediante la AWS Lake Formation consola, la o la API (). AWS Command Line Interface AWS CLI
Concesión de permisos del catálogo de datos
Utilice la consola de Lake Formation o conceda permisos AWS CLI a Lake Formation en las bases de datos, tablas, vistas y columnas del catálogo de datos mediante el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation.
- Console
-
En los siguientes pasos se explica cómo conceder permisos mediante el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation y la página de concesión de permisos de lagos de datos en la consola de Lake Formation. La página está dividida en las secciones siguientes:
-
Responsables: los usuarios, las funciones y Cuentas de AWS a los que se deben conceder los permisos.
-
Etiquetas LF o recursos del catálogo. Bases de datos, tablas o enlaces a recursos sobre los que se conceden los permisos.
-
Permisos. Los permisos de Lake Formation que se conceden.
-
Abra la página Conceder permisos de lagos de datos.
Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/e inicie sesión como administrador de un lago de datos o como usuario al que se le hayan otorgado permisos de Lake Formation sobre los recursos del catálogo de datos a través de LF- TBAC con la opción de concesión.
En el panel de navegación, en Permisos, seleccione Permisos de lago de datos. A continuación, seleccione Conceder.
-
Especifique las entidades principales.
En la sección Entidades principales, elija uno de los tipos y, a continuación, especifique las que van a recibir los permisos concedidos.
- IAMusuarios y roles
-
Elija uno o más usuarios o roles de la lista de IAMusuarios y roles.
- IAMCentro de identidades
-
Elija uno o varios usuarios o en la lista de Usuarios y grupos.
- Usuarios y grupos de SAML
-
Para QuickSight los usuarios SAML y grupos de Amazon, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través SAML de Amazon o ARNs para QuickSight los usuarios o grupos de Amazon. Pulse Entrar después de cada unoARN.
Para obtener información acerca de cómo construir elARNs, consulteLake Formation otorga y revoca órdenes AWS CLI.
La integración de Lake Formation con Amazon solo QuickSight es compatible con Amazon QuickSight Enterprise Edition.
- Cuentas externas
-
Para Cuentas de AWS AWS la organización o el IAMdirector, introduzca una o más organizaciones Cuenta de AWS IDs IDsIDs, unidades organizativas o ARN para el IAM usuario o rol válidos. Pulse Intro después de cada ID.
El ID de una organización está formado por una "o-" seguida de 10 a 32 letras minúsculas o dígitos.
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.
-
Especifique las etiquetas LF.
Asegúrese de elegir la opción Recursos que coinciden con las etiquetas LF. Seleccione Añadir etiqueta LF.
-
Elija una clave y valores de etiquetas LF.
Si elige más de un valor, está creando una expresión de etiqueta LF con un operador OR
. Esto significa que si alguno de los valores de las etiquetas LF coincide con una etiqueta LF asignada a un recurso del Catálogo de datos, se le conceden permisos sobre el recurso.
-
(Opcional) Seleccione Añadir etiqueta LF de nuevo para especificar otra etiqueta LF.
Si elige más de un valor, está creando una expresión de etiqueta LF con un operador AND
. A la entidad principal se le conceden permisos sobre un recurso del Catálogo de datos solo si al recurso se le asignó una etiqueta LF coincidente para cada etiqueta LF en la expresión de la etiqueta LF.
-
Especifique los permisos.
Especifique los permisos que se conceden a la entidad principal sobre los recursos coincidentes del catálogo de datos. Los recursos coincidentes son aquellos a los que se asignaron etiquetas LF que coinciden con una de las expresiones de etiquetas LF concedidas a la entidad principal.
Puede especificar los permisos que se van a conceder sobre las bases de datos coincidentes, las tablas coincidentes y las vistas coincidentes.
En Permisos de base de datos, seleccione los permisos de base de datos que se concederán a la entidad principal en las bases de datos coincidentes.
En Permisos de tabla, seleccione los que se concederán a la entidad principal en las tablas y vistas coincidentes.
También puede elegir Select
,Describe
y permisos de Drop
en Permisos de tabla y aplicarlos a las vistas.
-
Elija Conceder.
- AWS CLI
-
Puede usar el método AWS Command Line Interface (AWS CLI) y el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para conceder permisos a Lake Formation en las bases de datos, tablas y columnas del catálogo de datos.
Otorgar permisos para lagos de datos mediante el método AWS CLI y el método LF- TBAC