Concesión de permisos de filtrado de datos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos de filtrado de datos

Puede conceder los permisos SELECT, DESCRIBE y DROP de Lake Formation sobre los filtros de datos a las entidades principales.

Al principio, solo el usuario puede ver los filtros de datos que crea para una tabla. Para que otra entidad principal pueda ver un filtro de datos y conceder permisos del Catálogo de datos con el filtro de datos, debe:

  • Conceder SELECT sobre una tabla a la entidad principal con la opción de concesión, y aplicar el filtro de datos a la concesión.

  • Conceda el permiso DESCRIBE o DROP sobre el filtro de datos a la entidad principal.

Puedes conceder el SELECT permiso a una AWS cuenta externa. Un administrador del lago de datos de esa cuenta puede entonces conceder ese permiso a otras entidades principales de la cuenta. Cuando conceda el permiso a una cuenta externa, debe incluir la opción de concesión para que el administrador de la cuenta externa pueda extender el permiso en cascada a otros usuarios de su cuenta. Al conceder a una entidad principal de su cuenta, la concesión con la opción de concesión es opcional.

Puedes conceder y revocar permisos sobre los filtros de datos mediante la AWS Lake Formation consola, la API o el AWS Command Line Interface (AWS CLI).

Console
  1. Inicie sesión en la consola de Lake Formation AWS Management Console y ábrala en https://console.aws.amazon.com/lakeformation/.

  2. En el panel de navegación, en Permisos, seleccione Permisos de lago de datos.

  3. En la página Permisos, en la sección Permisos de datos, seleccione Conceder.

  4. En la página Conceder permisos de datos, seleccione las entidades principales a las que conceder los permisos.

  5. En la sección de las etiquetas LF o recursos del catálogo, seleccione Recursos del Catálogo de datos con nombre. A continuación, elija la base de datos, la tabla y el filtro de datos para los que desea conceder permisos.

    La imagen es una captura de pantalla de la página Permisos en la consola. Se muestra la sección "Etiquetas LF o recursos del catálogo", con la opción "Recursos del Catálogo de datos con nombre" seleccionada. En Bases de datos, se proporciona un valor: cloudtrail. En Tablas, se proporciona un valor: cloudtrail-logs-aws_logs. En filtros de datos, se proporciona un valor: cloudtrail_lakeformation_filter.
  6. En la sección Permisos del filtro de datos, seleccione los que desea conceder a las entidades principales seleccionadas.

    La imagen es una captura de pantalla de la sección de permisos del filtro de datos de la página de permisos de la consola de Lake Formation. En "Permisos de filtro de datos", el permiso Seleccionar no está seleccionado, y los permisos Describir y Eliminar sí lo están. En “Permisos concedibles”, no está seleccionado ninguno de los permisos (Seleccionar, Describir ni Eliminar).
AWS CLI
  • Introduzca un comando grant-permissions. Especifique DataCellsFilter para el argumento de resource y DESCRIBE o DROP para el argumento de Permissions y, opcionalmente, para el argumento de PermissionsWithGrantOption.

    En el siguiente ejemplo, se concede DESCRIBE con la opción de concesión al usuario datalake_user1 del filtro de datos restrict-pharma, que pertenece a la tabla orders de la base de datos sales de la cuenta AWS 1111-2222-3333.

    aws lakeformation grant-permissions --cli-input-json file://grant-params.json

    A continuación se muestra el contenido del archivo grant-params.json.

    { "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["DESCRIBE"], "PermissionsWithGrantOption": ["DESCRIBE"] }