Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation
Miles de clientes están creando lagos de datos a escala de petabytes. AWS Muchos de estos clientes los utilizan AWS Lake Formation para crear y compartir fácilmente sus lagos de datos en toda la organización. A medida que aumenta el número de tablas y usuarios, los responsables y administradores de datos buscan formas de gestionar fácilmente los permisos en los lagos de datos a escala. El control de acceso basado en etiquetas de Lake Formation (LF-TBAC) resuelve este problema al permitir que los administradores de datos creen etiquetas LF (en función de su clasificación y ontología de datos) que luego se pueden adjuntar a los recursos.
LF-TBAC es una estrategia de autorización que define permisos basados en atributos. En Lake Formation, estos atributos se denominan etiquetas LF. Puede adjuntar etiquetas LF a los recursos del Catálogo de datos y a las entidades principales de Lake Formation. Los administradores de lagos de datos pueden asignar y revocar permisos en los recursos de Lake Formation mediante etiquetas LF. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.
Este tutorial muestra cómo crear una política de control de acceso basada en etiquetas de Lake Formation utilizando un conjunto de datos AWS público. Además, muestra cómo consultar tablas, bases de datos y columnas que tienen asociadas políticas de acceso basadas en etiquetas de Lake Formation.
Puede utilizar LF-TBAC para los siguientes casos de uso:
Tiene un gran número de tablas y entidades principales a los que el administrador del lago de datos debe conceder acceso
Desea clasificar sus datos en función de una ontología y conceder permisos en función de la clasificación
El administrador del lago de datos desea asignar los permisos de forma dinámica, con acoplamiento flexible
A continuación, se indican los pasos generales para configurar permisos mediante LF-TBAC:
-
El administrador de datos define la ontología de las etiquetas con dos etiquetas LF:
Confidential
ySensitive
. Los datosConfidential=True
tienen controles de acceso más estrictos. Los datosSensitive=True
requieren un análisis específico por parte del analista. -
El administrador de datos asigna diferentes niveles de permisos al ingeniero de datos para crear tablas con diferentes etiquetas LF.
-
El ingeniero de datos crea dos bases de datos:
tag_database
ycol_tag_database
. Todas las tablastag_database
están configuradas conConfidential=True
. Todas las tablas decol_tag_database
están configuradas conConfidential=False
. Algunas columnas de la tabla encol_tag_database
tienen etiquetasSensitive=True
para necesidades de análisis específicas. El ingeniero de datos concede permiso de lectura al analista para las tablas con una condición de expresión específica
Confidential=True
yConfidential=False
,Sensitive=True
.-
Con esta configuración, el analista de datos puede centrarse en hacer el análisis con los datos correctos.
Temas
- Destinatarios previstos
- Requisitos previos
- Paso 1: Aprovisionar recursos
- Paso 2: Registre la ubicación de sus datos, cree una ontología de etiquetas LF y conceda permisos
- Paso 3: Crear bases de datos de Lake Formation
- Paso 4: Conceder permisos de tabla
- Paso 5: Ejecutar una consulta en Amazon Athena para verificar los permisos
- Paso 6: Limpiar los recursos AWS