Gestión de etiquetas LF para el control de acceso a los metadatos

Para utilizar el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para proteger los recursos del Catálogo de datos (bases de datos, tablas y columnas), debe crear etiquetas LF, asignarlas a los recursos y conceder permisos de etiquetas LF a las entidades principales.

Antes de poder asignar etiquetas LF a los recursos del Catálogo de datos o conceder permisos a las entidades principales, debe definir las etiquetas LF. Solo un administrador del lago de datos o una entidad principal con permisos de creación de etiquetas LF pueden crear etiquetas LF.

Creadores de etiquetas LF

El creador de etiquetas LF es una entidad principal no administradora que tiene permisos para crear y administrar etiquetas LF. Los administradores de lagos de datos pueden añadir creadores de etiquetas LF mediante la consola Lake Formation o la CLI. Los creadores de etiquetas LF tienen permisos implícitos de Lake Formation para actualizar y eliminar etiquetas LF, asignar etiquetas LF a recursos y conceder permisos de etiquetas LF y permisos de valores de etiquetas LF a otras entidades principales.

Con los roles de creador de etiquetas LF, los administradores de lagos de datos pueden delegar tareas de administración de etiquetas, como la creación y actualización de claves y valores de etiquetas, a entidades principales que no sean administradoras. Los administradores de los lagos de datos también pueden conceder permisos Create LF-Tag a los creadores de etiquetas LF. Luego, el creador de las etiquetas LF puede conceder el permiso para crear etiquetas LF a otras entidades principales.

Puede conceder dos tipos de permisos a las etiquetas LF:

• Permisos de etiqueta LF: Create LF-Tag, Alter y Drop. Estos permisos son necesarios para crear, actualizar y eliminar LF-tags.

  Los administradores de los lagos de datos y los creadores de etiquetas LF tienen implícitamente estos permisos en las etiquetas LF que crean y pueden concederlos de forma explícita a las entidades principales para que gestionen las etiquetas del lago de datos.

• Permisos de par clave-valor de etiqueta LF: Assign, Describe y Grant with LF-Tag expressions. Estos permisos son necesarios para asignar etiquetas LF a las bases de datos, tablas y columnas del Catálogo de datos, y para conceder permisos sobre los recursos a las entidades principales mediante el control de acceso basado en etiquetas de Lake Formation. Los creadores de etiquetas LF reciben implícitamente estos permisos al crear etiquetas LF.

Tras recibir el permiso Create LF-Tag y crear correctamente las etiquetas LF, el creador de las etiquetas LF puede asignarlas a recursos y conceder permisos (Create LF-Tag, Alter y Drop) a otras entidades principales no administrativas para que gestionen las etiquetas en el lago de datos. Puede administrar las etiquetas LF mediante la consola de Lake Formation, la API o AWS Command Line Interface ()AWS CLI.

nota

Los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF, asignar etiquetas LF a los recursos y conceder permisos de etiquetas LF a las entidades principales.

Para conocer las prácticas recomendadas y consideraciones, consulte Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation

Temas

• Añadir creadores de etiquetas LF
• Crear etiquetas LF
• Actualización de las etiquetas LF
• Eliminar etiquetas LF
• Listado de etiquetas
• Asignación de varias etiquetas LF a recursos del Catálogo de datos
• Consulta de las etiquetas LF asignadas a un recurso.
• Consulta de los recursos a los que está asignada una etiqueta LF
• Ciclo de vida de una etiqueta LF
• Comparación del control de acceso basado en etiquetas de Lake Formation con el control de acceso basado en atributos de IAM

Véase también

• Conceder, revocar y enumerar permisos de valores de etiqueta LF

• Conceder permisos de lago de datos mediante el método LF-TBAC

• Control de acceso basado en etiquetas de Lake Formation

Ciclo de vida de una etiqueta LF

1. Michael, el creador de la etiqueta LF, crea una etiqueta LF module=Customers.

2. A continuación, concede la etiqueta LF Associate al ingeniero de datos Eduardo. Al conceder Associate está otorgando Describe de manera implícita.

3. Michael concede Super sobre la tabla Custs a Eduardo con la opción de concesión, para que Eduardo pueda asignar etiquetas LF a la tabla. Para obtener más información, consulte Asignación de varias etiquetas LF a recursos del Catálogo de datos.

4. Eduardo asigna la etiqueta LF module=customers a la tabla Custs.

5. Michael efectúa la siguiente concesión a la ingeniera de datos Sandra (en pseudocódigo).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra hace la concesión siguiente a la analista de datos Maria.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Ahora María puede ejecutar consultas en la tabla Custs.

Véase también

• Control de acceso a los metadatos

Comparación del control de acceso basado en etiquetas de Lake Formation con el control de acceso basado en atributos de IAM

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a los recursos de IAM, incluidas las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política ABAC o un conjunto pequeño de políticas para sus entidades principales de IAM. Estas políticas ABAC se pueden diseñar para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.

Los equipos de seguridad y gobernanza de la nube utilizan IAM para definir las políticas de acceso y los permisos de seguridad para todos los recursos, incluidos los buckets de Amazon S3, las instancias de Amazon EC2 y cualquier recurso al que pueda hacer referencia con un ARN. Las políticas de IAM definen permisos amplios (específicos) para los recursos de su lago de datos, por ejemplo, para permitir o denegar el acceso a nivel de bucket, prefijo o base de datos de Amazon S3. Para obtener más información sobre IAM ABAC, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

Por ejemplo, puede crear tres roles con la clave de etiqueta project-access. Establezca el valor de etiqueta del primer rol en Dev, el segundo en Support y el tercero en Marketing. Asigne etiquetas con el valor adecuado a los recursos. A continuación, puede utilizar una única política que permita el acceso cuando el rol y el recurso estén etiquetados con el mismo valor para project-access.

Los equipos de gobierno de datos utilizan Lake Formation para definir permisos específicos para recursos de lagos de datos concretos. Las etiquetas LF se asignan a los recursos del Catálogo de datos (bases de datos, tablas y columnas) y se otorgan a las entidades principales. Una entidad principal con etiquetas LF que coincidan con las etiquetas LF de un recurso puede acceder a ese recurso. Los permisos de Lake Formation son secundarios a los permisos de IAM. Por ejemplo, si los permisos de IAM no permiten a un usuario acceder a un lago de datos, Lake Formation no concede acceso a ningún recurso de ese lago de datos a ese usuario, aunque coincidan las etiquetas LF de la entidad principal y el recurso.

El control de acceso basado en etiquetas de Lake Formation (LF-TBAC) funciona con IAM ABAC para proporcionar niveles adicionales de permisos para sus datos y recursos de Lake Formation.

• Los permisos del TBAC de Lake Formation se escalan con innovación. Ya no es necesario que un administrador actualice las políticas existentes para permitir el acceso a nuevos recursos. Por ejemplo, supongamos que utiliza una estrategia ABAC de IAM con la etiqueta project-access para proporcionar acceso a bases de datos específicas de Lake Formation. Con LF-TBAC, la etiqueta LF Project=SuperApp se asigna a tablas o columnas específicas, y la misma etiqueta LF se otorga a un desarrollador para ese proyecto. A través de la IAM, el desarrollador puede acceder a la base de datos, y los permisos LF-TBAC conceden al desarrollador un mayor acceso a tablas o columnas específicas dentro de las tablas. Si se agrega una tabla nueva al proyecto, el administrador de Lake Formation solo necesita asignar la etiqueta a la nueva tabla para que el desarrollador tenga acceso a la tabla.

• TBAC de Lake Formation requiere menos políticas de IAM. Al utilizar las políticas de IAM para conceder un acceso de alto nivel a los recursos de Lake Formation y TBAC de Lake Formation para gestionar un acceso más preciso a los datos, crea menos políticas de IAM.

• Con el TBAC de Lake Formation, los equipos pueden cambiar y crecer rápidamente. Esto se debe a que los permisos para nuevos recursos se conceden automáticamente de acuerdo con los atributos. Por ejemplo, si un nuevo desarrollador se une al proyecto, es fácil concederle acceso asociando el rol de IAM al usuario y, a continuación, asignándole las etiquetas LF necesarias. No es necesario cambiar la política de IAM para respaldar un nuevo proyecto o para crear nuevas etiquetas LF.

• Se pueden obtener permisos más específicos con TBAC de Lake Formation. Las políticas de IAM otorgan acceso a los recursos de nivel superior, como las bases de datos o las tablas del Catálogo de datos. Con TBAC de Lake Formation, puede conceder acceso a tablas o columnas específicas que contienen valores de datos específicos.

nota

Las etiquetas IAM no son lo mismo que las etiquetas LF. Estas etiquetas no son intercambiables. Las etiquetas LF se utilizan para conceder permisos de Lake Formation y las etiquetas de IAM se utilizan para definir las políticas de IAM.