Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Concesión de permisos de filtrado de datos
Puede conceder los permisos SELECT
, DESCRIBE
y DROP
de Lake Formation sobre los filtros de datos a las entidades principales.
Al principio, solo el usuario puede ver los filtros de datos que crea para una tabla. Para que otra entidad principal pueda ver un filtro de datos y conceder permisos del Catálogo de datos con el filtro de datos, debe:
-
Conceder SELECT
sobre una tabla a la entidad principal con la opción de concesión, y aplicar el filtro de datos a la concesión.
-
Conceda el permiso DESCRIBE
o DROP
sobre el filtro de datos a la entidad principal.
Puedes conceder el SELECT
permiso a una AWS cuenta externa. Un administrador del lago de datos de esa cuenta puede entonces conceder ese permiso a otras entidades principales de la cuenta. Cuando conceda el permiso a una cuenta externa, debe incluir la opción de concesión para que el administrador de la cuenta externa pueda extender el permiso en cascada a otros usuarios de su cuenta. Al conceder a una entidad principal de su cuenta, la concesión con la opción de concesión es opcional.
Puedes conceder y revocar permisos sobre los filtros de datos mediante la AWS Lake Formation consola, la API o el AWS Command Line Interface (AWS CLI).
- Console
-
Inicie sesión en la consola de Lake Formation AWS Management Console y ábrala en https://console.aws.amazon.com/lakeformation/.
-
En el panel de navegación, en Permisos, seleccione Permisos de lago de datos.
-
En la página Permisos, en la sección Permisos de datos, seleccione Conceder.
-
En la página Conceder permisos de datos, seleccione las entidades principales a las que conceder los permisos.
-
En la sección de las etiquetas LF o recursos del catálogo, seleccione Recursos del Catálogo de datos con nombre. A continuación, elija la base de datos, la tabla y el filtro de datos para los que desea conceder permisos.
-
En la sección Permisos del filtro de datos, seleccione los que desea conceder a las entidades principales seleccionadas.
- AWS CLI
-
-
Introduzca un comando grant-permissions
. Especifique DataCellsFilter
para el argumento de resource
y DESCRIBE
o DROP
para el argumento de Permissions
y, opcionalmente, para el argumento de PermissionsWithGrantOption
.
En el siguiente ejemplo, se concede DESCRIBE
con la opción de concesión al usuario datalake_user1
del filtro de datos restrict-pharma
, que pertenece a la tabla orders
de la base de datos sales
de la cuenta AWS 1111-2222-3333.
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
A continuación se muestra el contenido del archivo grant-params.json
.
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["DESCRIBE"],
"PermissionsWithGrantOption": ["DESCRIBE"]
}