Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Concesión de permisos de tabla mediante el método de recursos con nombre
Puede usar la consola de Lake Formation o AWS CLI conceder permisos de Lake Formation en las tablas del catálogo de datos. Puede conceder permisos sobre tablas individuales o, con una única operación de concesión, sobre todas las tablas de una base de datos.
Si concede permisos sobre todas las tablas de una base de datos, estará concediendo implícitamente el permiso DESCRIBE
sobre la base de datos. A continuación, la base de datos aparece en la página Bases de datos de la consola y la GetDatabases
API operación la devuelve.
Cuando elija SELECT
como permiso para conceder, tendrá la opción de aplicar un filtro de columnas, de filas o de celdas.
- Console
-
Los siguientes pasos explican cómo conceder permisos de tabla utilizando el método de recursos con nombre y la página Conceder permisos de lago de datos de la consola de Lake Formation. La página está dividida en las estas secciones:
-
Responsables: los usuarios, funciones, AWS cuentas, organizaciones o unidades organizativas a los que se van a conceder permisos.
-
Etiquetas LF o recursos del catálogo. Bases de datos, tablas o enlaces a recursos sobre los que se conceden los permisos.
-
Permisos. Los permisos de Lake Formation que se conceden.
nota
Para conceder permisos sobre un enlace de recursos de tabla, consulte Conceder permisos de enlace de recursos.
Abra la página Conceder permisos de lagos de datos.
Abre la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/
e inicia sesión como administrador del lago de datos, creador de la tabla o usuario al que se le hayan concedido permisos sobre la mesa con la opción de concesión. Realice una de las siguientes acciones siguientes:
-
En el panel de navegación, elija Permisos de lago de datos en Permisos. A continuación, seleccione Conceder.
-
En el panel de navegación, elija Tablas. A continuación, en la página Tablas, elija una y, en el menú Acciones, Permisos, seleccione Conceder.
nota
Puede conceder permisos sobre una tabla a través de su enlace de recursos. Para ello, en la página Tablas, elija un enlace de recursos y, en el menú Acciones, Conceder en el destino. Para obtener más información, consulte Cómo funcionan los enlaces de recursos en Lake Formation.
-
-
A continuación, en la sección Entidades principales, elija un tipo de entidad principal y especifique las que van a recibir los permisos concedidos.
- IAMusuarios y roles
-
Elija uno o más usuarios o roles de la lista de IAMusuarios y roles.
- IAMCentro de identidades
-
Elija uno o varios usuarios o grupos en la lista de Usuarios y grupos.
- Usuarios y grupos de SAML
-
Para QuickSight los usuarios SAML y grupos de Amazon, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través SAML de Amazon o ARNs para QuickSight los usuarios o grupos de Amazon. Pulse Entrar después de cada unoARN.
Para obtener información acerca de cómo construir elARNs, consulteLake Formation otorga y revoca órdenes AWS CLI.
nota
La integración de Lake Formation con Amazon solo QuickSight es compatible con Amazon QuickSight Enterprise Edition.
- Cuentas externas
-
Para « AWS organización» o «IAMdirector»Cuenta de AWS , introduzca una o más organizaciones Cuenta de AWS IDs IDsIDs, unidades organizativas o el nombre del ARN IAM usuario o rol válidos. Pulse Intro después de cada ID.
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo carácter «-» y de 8 a 32 letras minúsculas o dígitos adicionales.
-
En la sección de Etiquetas LF o recursos del catálogo, seleccione una base de datos. A continuación, seleccione una o más tablas o Todas las tablas.
-
Especifique los permisos sin filtrado de datos
En la sección Permisos, seleccione los permisos de tabla que desee conceder y, opcionalmente, seleccione los permisos que se pueden conceder.
Si concede Seleccionar, la sección Permisos de datos aparece debajo de la sección Permisos de tabla y columna, con la opción Todos los accesos a datos seleccionada por defecto. Acepte los valores predeterminados.
-
Elija Conceder.
-
Especifique el permiso Seleccionar con filtrado de datos
Elija el permiso Seleccionar. No seleccione ningún otro permiso.
La sección de permisos de datos aparece debajo de la sección de permisos de tabla y columna.
-
Realice una de las siguientes acciones siguientes:
-
Aplique solo un filtrado de columnas simple.
-
Elija Acceso simple basado en columnas.
-
Elija si desea incluir o excluir columnas y, a continuación, elija las que desea incluir o excluir.
Solo se permite incluir listas cuando se conceden permisos a una AWS cuenta u organización externa.
-
(Opcional) En Permisos concedibles, active la opción de concesión para el permiso Seleccionar.
Si incluye la opción de concesión, el destinatario de esta podrá conceder permisos solo sobre las columnas que le conceda.
nota
También puede aplicar el filtrado por columnas solo creando un filtro de datos que especifique un filtro de columnas y especifique todas las filas como filtro de filas. Sin embargo, esto requiere más pasos.
-
-
Aplicar filtros de columna, fila o celda.
-
Seleccione Filtros avanzados a nivel de celda.
-
(Opcional) Amplíe Ver los permisos existentes.
-
(Opcional) Seleccione Crear filtro nuevo.
-
(Opcional) Para ver los detalles de los filtros de la lista o para crear filtros nuevos o eliminar los existentes, seleccione Administrar filtros.
La página Filtros de datos se abre en una nueva ventana del navegador.
Cuando haya terminado de acceder a la página Filtros de datos, vuelva a la página Conceder permisos y, si es necesario, actualícela para ver los filtros de datos nuevos que haya creado.
-
Seleccione uno o más filtros de datos para aplicarlos a la concesión.
nota
Si no hay filtros de datos en la lista, significa que no se creó ningún filtro de datos para la tabla seleccionada.
-
-
-
Elija Conceder.
-
- AWS CLI
-
Para conceder permisos de tabla, utilice el método de recursos con nombre y la AWS Command Line Interface (AWS CLI).
Para conceder permisos de tabla mediante el AWS CLI
-
Introduzca un comando
grant-permissions
y especifique una tabla como recurso.
ejemplo . Concesión en una sola tabla, sin filtrado
El siguiente ejemplo concede
SELECT
yALTER
al usuariodatalake_user1
de la AWS cuenta 1111-2222-3333 de la tablainventory
de la base de datos.retail
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
nota
Si concede el permiso
ALTER
en una tabla cuyos datos subyacentes están en una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte Conceder permisos de ubicación de datos.ejemplo – Concesión en todas las tablas con la opción Concesión, sin filtrado
En el siguiente ejemplo, se concede
SELECT
con la opción de concesión en todas las tablas de la base de datosretail
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
ejemplo – Concesión con filtrado simple de columnas
El siguiente ejemplo concede
SELECT
en un subconjunto de columnas de la tablapersons
. Utiliza un filtrado de columnas simple.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
ejemplo – Concesión con filtro de datos
En este ejemplo se concede
SELECT
en la tablaorders
y se aplica el filtro de datosrestrict-pharma
.aws lakeformation grant-permissions --cli-input-json file://grant-params.json
A continuación se muestra el contenido del archivo
grant-params.json
.{ "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"}, "Resource": { "DataCellsFilter": { "TableCatalogId": "111122223333", "DatabaseName": "sales", "TableName": "orders", "Name": "restrict-pharma" } }, "Permissions": ["SELECT"], "PermissionsWithGrantOption": ["SELECT"] }
-