Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation

Puede crear, mantener y asignar etiquetas LF para controlar el acceso a las bases de datos, tablas y columnas del catálogo de datos.

Tenga en cuenta las siguientes prácticas recomendadas al usar el control de acceso basado en etiquetas de Lake Formation:

  • Todas las etiquetas LF deben estar predefinidas antes de poder asignarlas a los recursos del Catálogo de datos o concederse a las entidades principales.

    El administrador del lago de datos puede delegar las tareas de administración de etiquetas generando creadores de etiquetas LF con los permisos de IAM necesarios. Los ingenieros y analistas de datos deciden las características y las relaciones de las etiquetas LF. Luego, los creadores de las etiquetas LF crean y mantienen las etiquetas LF en Lake Formation.

  • Puede asignar varias etiquetas LF a los recursos del Catálogo de datos. Solo se puede asignar un valor para una clave en particular a un recurso concreto.

    Por ejemplo, puede asignar module=Orders, region=West, division=Consumer, etc. a una base de datos, tabla o columna. No puede asignar module=Orders,Customers.

  • No puede asignar etiquetas LF a los recursos al crearlos. Solo puede añadir etiquetas LF a los recursos existentes.

  • Puede conceder expresiones de etiquetas LF, no solo etiquetas LF individuales, a una entidad principal.

    Una expresión LF-Tag tiene el aspecto siguiente (en pseudocódigo).

    module=sales AND division=(consumer OR commercial)

    Una entidad principal a la que se le conceda esta expresión de etiqueta LF solo puede acceder a los recursos del Catálogo de datos (bases de datos, tablas y columnas) que tienen asignado module=sales y division=consumer o division=commercial. Si desea que la entidad principal pueda acceder a los recursos que tienen module=sales o division=commercial, no incluya ambos en la misma concesión. Haga dos concesiones, una para module=sales y otra para division=commercial.

    La expresión de etiqueta LF más sencilla consiste en una sola etiqueta LF, como module=sales.

  • Una entidad principal que reciba permisos sobre una etiqueta LF con varios valores puede acceder a los recursos del Catálogo de datos con cualquiera de esos valores. Por ejemplo, si a un usuario se le concede una etiqueta LF con clave= module y valores= orders,customers, el usuario tiene acceso a los recursos que están asignados o bien a module=orders o module=customers.

  • Debe tener permiso Grant with LF-Tag expressions para conceder permisos de datos sobre los recursos del Catálogo de datos mediante el método LF-TBAC. El administrador del lago de datos y el creador de la etiqueta LF reciben este permiso de forma implícita. La entidad principal que tenga el permiso Grant with LFTag expressions puede conceder permisos de datos sobre los recursos mediante:

    • el método de recurso con nombre

    • el método LF-TBAC, pero solo usando la misma expresión de etiqueta LF

      Por ejemplo, supongamos que el administrador del lago de datos hace la siguiente concesión (en pseudocódigo).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      En este caso, el user1 puede conceder SELECT en tablas a otras entidades principales mediante el método LF-TBAC, pero solo con la expresión de etiqueta module=customers, region=west,south LF completa.

  • Si a una entidad principal recibe permisos sobre un recurso con el método LF-TBAC y con el método de recurso con nombre, los permisos que dicha entidad tiene sobre el recurso son la unión de los permisos concedidos por ambos métodos.

  • Lake Formation admite conceder DESCRIBE y ASSOCIATE en etiquetas LF entre cuentas, y conceder permisos sobre los recursos del Catálogo de datos en todas las cuentas mediante el método LF-TBAC. En ambos casos, el principal es un AWS identificador de cuenta.

    nota

    Lake Formation ahora es compatible con la concesión de permisos entre cuentas a organizaciones y unidades organizativas utilizando el método LF-TBAC. Para utilizar esta prestación, debe actualizar la configuración de la versión entre cuentas a la Versión 3.

    Para obtener más información, consulte Compartir datos entre cuentas en Lake Formation.

  • Los recursos del Catálogo de datos creados en una cuenta solo se pueden etiquetar con etiquetas LF creadas en la misma cuenta. Las etiquetas LF creadas en una cuenta no se pueden asociar a los recursos compartidos de otra cuenta.

  • El uso del control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para conceder acceso entre cuentas a los recursos del catálogo de datos requiere adiciones a la política de recursos del catálogo de datos de su cuenta. AWS Para obtener más información, consulte Requisitos previos.

  • Las claves y los valores de las etiquetas LF no pueden superar los 50 caracteres.

  • La cantidad máxima de etiquetas LF que puede asignar a un recurso del Catálogo de datos es 50.

  • Los siguientes límites son flexibles:

    • El número máximo de etiquetas LF que se pueden crear es 1000.

    • El número máximo de valores que se pueden definir para una etiqueta LF es 1000.

  • Las etiquetas, las claves y los valores se convierten en minúsculas cuando se almacenan.

  • Solo se puede asignar un valor para una etiqueta LF a un recurso concreto.

  • Si se conceden varias etiquetas LF a una entidad principal con una sola concesión, la entidad principal solo podrá acceder a los recursos del Catálogo de datos que tengan todas las etiquetas LF.

  • Los trabajos AWS Glue ETL requieren acceso completo a la tabla. Los trabajos fallarán si el rol AWS Glue ETL no tiene acceso a todas las columnas de una tabla. Es posible aplicar etiquetas LF a nivel de columna, pero esto puede provocar que los roles de AWS Glue ETL pierdan el acceso total a la tabla y que se produzcan errores en los trabajos.

  • Si la evaluación de una expresión de etiqueta LF da como resultado el acceso solo a un subconjunto de columnas de la tabla, pero el permiso Lake Formation que se concede cuando hay una coincidencia es uno de los permisos que requiere acceso completo a las columnas, es decir Alter, Drop, Insert o Delete, entonces no se concede ninguno de esos permisos. En su lugar, solo se concede Describe. Si el permiso concedido es All (Super), solo se conceden Select y Describe.

  • Los caracteres comodín no se utilizan con las etiquetas LF. Para asignar una etiqueta LF a todas las columnas de una tabla, debe asignar la etiqueta LF a la tabla y todas las columnas de la tabla heredarán la etiqueta LF. Para asignar una etiqueta LF a todas las tablas de una base de datos, debe asignar la etiqueta LF a la base de datos y todas las tablas de la base de datos heredarán esa etiqueta LF.