Concesión de permisos de ubicación de datos (cuenta externa) - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos de ubicación de datos (cuenta externa)

Sigue estos pasos para conceder permisos de ubicación de datos a una AWS cuenta u organización externa.

Puede conceder permisos mediante la consola de Lake Formation, elAPI, o el AWS Command Line Interface (AWS CLI).

Antes de empezar

Asegúrese de que se cumplan todos los requisitos previos de acceso entre cuentas. Para obtener más información, consulte Requisitos previos.

Para conceder permisos de ubicación de datos (cuenta externa, consola)
  1. Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/. Inicie sesión como administrador del lago de datos.

  2. En el panel de navegación, en Permisos, elija Ubicaciones de datos y, a continuación, elija Otorgar.

  3. En el cuadro de diálogo Conceder permisos, elija el mosaico Cuenta externa.

  4. Proporcione la información siguiente:

    • Para el identificador de AWS cuenta o el identificador de AWS organización, introduce números de AWS cuentaIDs, organización o unidad organizativa válidosIDs.

      Pulse Intro después de cada ID.

      El ID de una organización está formado por en "o-" seguida de 10 a 32 letras minúsculas o dígitos.

      Un ID de unidad organizativa consta de "ou-" seguido de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo "-" (guión) y de 8 a 32 letras minúsculas o dígitos adicionales.

    • En las ubicaciones de almacenamiento, elija Examinar y busque una ubicación de almacenamiento de Amazon Simple Storage Service (Amazon S3). La ubicación debe estar registrada en Lake Formation.

    En el cuadro de diálogo Conceder permisos se selecciona el botón de opción Cuenta externa, se especifica una AWS cuenta y se especifica una ubicación de almacenamiento.
  5. Seleccione Concedible.

  6. Elija Conceder.

Para conceder permisos de ubicación de datos (cuenta externa, AWS CLI)
  • Para conceder permisos a una AWS cuenta externa, introduce un comando similar al siguiente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Este comando concede DATA_LOCATION_ACCESS con la opción de concesión a la cuenta 1111-2222-3333 de la ubicación de Amazon S3 s3://retail/transactions/2020q1, propiedad de la cuenta 1234-5678-9012.

    Para conceder permisos a una organización, introduzca un comando similar al siguiente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    Este comando concede DATA_LOCATION_ACCESS con la opción de concesión a organización s3://retail/transactions/2020q1 de la ubicación de Amazon S3 o-abcdefghijkl, propiedad de la cuenta 1234-5678-9012.

    Para conceder permisos a una entidad principal en una AWS cuenta externa, introduce un comando similar al siguiente.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'

    Este comando concede DATA_LOCATION_ACCESS a una entidad principal en la cuenta 1111-2222-3333 en la ubicación de Amazon S3 s3://retail/transactions/2020q1, propiedad de la cuenta 1234-5678-9012.

    En el siguiente ejemplo se conceden permisos de ubicación de datos en s3://retail al grupo ALLIAMPrincipals en una cuenta externa.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'