Concesión de permisos de localización de datos (misma cuenta) - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos de localización de datos (misma cuenta)

Siga estos pasos para conceder permisos de ubicación de datos a las entidades principales de su cuenta AWS . Puede conceder permisos mediante la consola de Lake Formation, elAPI, o el AWS Command Line Interface (AWS CLI).

Para conceder permisos de ubicación de datos (misma cuenta, consola)
  1. Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/. Inicie sesión como administrador del lago de datos o como una entidad principal que dispone de permisos de concesión en la ubicación de datos deseada.

  2. En el panel de navegación, bajo Permisos, seleccione Ubicaciones de datos.

  3. Elija Conceder.

  4. En el cuadro de diálogo Conceder permisos, asegúrese de que el icono Mi cuenta esté seleccionado. A continuación, facilite la siguiente información:

    • Para IAMlos usuarios y los roles, elija uno o más directores.

    • Para QuickSight los usuarios SAML y grupos de Amazon, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML o ARNs para QuickSight los usuarios o grupos de Amazon.

      ARNIntrodúzcalos de uno en uno y pulsa Entrar después de cada unoARN. Para obtener información acerca de cómo construir elARNs, consulteLake Formation otorga y revoca órdenes AWS CLI.

    • Para las ubicaciones de almacenamiento, elija Examinar y busque una ubicación de Amazon Simple Storage Service (Amazon S3). La ubicación debe estar registrada en Lake Formation. Vuelva a seleccionar Examinar para añadir otra ubicación. También puede escribir la ubicación, pero asegúrese de anteponerle s3://.

    • En Ubicación de la cuenta registrada, introduzca el ID de la AWS cuenta en la que está registrada la ubicación. De forma predeterminada, es su ID de cuenta. En un escenario entre cuentas, los administradores del lago de datos de una cuenta destinataria pueden especificar aquí la cuenta propietaria al conceder el permiso de ubicación de datos a otras entidades principales de la cuenta destinataria.

    • (Opcional) Para permitir que las entidades principales seleccionadas concedan permisos de ubicación de datos en la ubicación seleccionada, seleccione Concedible.

    En el cuadro de diálogo para conceder permisos, están seleccionados el usuario datalake_user y la ubicación de almacenamiento s3://retail/transactions/q119.
  5. Elija Conceder.

Para conceder permisos de ubicación de datos (en la misma cuenta, AWS CLI)
  • Ejecute un comando grant-permissions y conceda DATA_LOCATION_ACCESS a la entidad principal, especificando la ruta de Amazon S3 como recurso.

    En el siguiente ejemplo se conceden permisos de ubicación de datos en s3://retail al usuario datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'

    En el siguiente ejemplo se conceden permisos de ubicación de datos en s3://retail al grupo ALLIAMPrincipals.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'