Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation

Miles de clientes están creando lagos de datos a escala de petabytes. AWS Muchos de estos clientes los utilizan AWS Lake Formation para crear y compartir fácilmente sus lagos de datos en toda la organización. A medida que aumenta el número de tablas y usuarios, los responsables y administradores de datos buscan formas de gestionar fácilmente los permisos en los lagos de datos a escala. El control de acceso basado en etiquetas de Lake Formation (LF-TBAC) resuelve este problema al permitir que los administradores de datos creen etiquetas LF (en función de su clasificación y ontología de datos) que luego se pueden adjuntar a los recursos.

LF-TBAC es una estrategia de autorización que define permisos basados en atributos. En Lake Formation, estos atributos se denominan etiquetas LF. Puede adjuntar etiquetas LF a los recursos del Catálogo de datos y a las entidades principales de Lake Formation. Los administradores de lagos de datos pueden asignar y revocar permisos en los recursos de Lake Formation mediante etiquetas LF. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.

Este tutorial muestra cómo crear una política de control de acceso basada en etiquetas de Lake Formation utilizando un conjunto de datos AWS público. Además, muestra cómo consultar tablas, bases de datos y columnas que tienen asociadas políticas de acceso basadas en etiquetas de Lake Formation.

Puede utilizar LF-TBAC para los siguientes casos de uso:

  • Tiene un gran número de tablas y entidades principales a los que el administrador del lago de datos debe conceder acceso

  • Desea clasificar sus datos en función de una ontología y conceder permisos en función de la clasificación

  • El administrador del lago de datos desea asignar los permisos de forma dinámica, con acoplamiento flexible

A continuación, se indican los pasos generales para configurar permisos mediante LF-TBAC:

  1. El administrador de datos define la ontología de las etiquetas con dos etiquetas LF: Confidential y Sensitive. Los datos Confidential=True tienen controles de acceso más estrictos. Los datos Sensitive=True requieren un análisis específico por parte del analista.

  2. El administrador de datos asigna diferentes niveles de permisos al ingeniero de datos para crear tablas con diferentes etiquetas LF.

  3. El ingeniero de datos crea dos bases de datos: tag_database y col_tag_database. Todas las tablas tag_database están configuradas con Confidential=True. Todas las tablas de col_tag_database están configuradas con Confidential=False. Algunas columnas de la tabla en col_tag_database tienen etiquetas Sensitive=True para necesidades de análisis específicas.

  4. El ingeniero de datos concede permiso de lectura al analista para las tablas con una condición de expresión específica Confidential=True y Confidential=False, Sensitive=True.

  5. Con esta configuración, el analista de datos puede centrarse en hacer el análisis con los datos correctos.

Temas