Conceder permisos en una base de datos o tabla compartida con su cuenta

Después de compartir con su AWS cuenta un recurso del catálogo de datos que pertenece a otra AWS cuenta, como administrador del lago de datos, puede conceder permisos sobre el recurso compartido a otros responsables de su cuenta. Sin embargo, no puede conceder permisos sobre el recurso a otras cuentas AWS u organizaciones.

Puede usar la AWS Lake Formation consolaAPI, el o el AWS Command Line Interface (AWS CLI) para conceder los permisos.

Para conceder permisos en una base de datos compartida (denominado método de recurso, consola)

• Siga las instrucciones en Concesión de permisos de base de datos mediante el método de recurso con nombre. En la lista Bases de datos, bajo Etiquetas LF o recursos del catálogo, asegúrese de seleccionar la base de datos en la cuenta externa y no un enlace a un recurso para la base de datos.

  Si no ve la base de datos en la lista, asegúrese de haber aceptado la invitación de la base de datos para compartir del recurso AWS Resource Access Manager (AWS RAM). Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.

  Además, para los permisos CREATE_TABLE y ALTER, siga las instrucciones de Concesión de permisos de localización de datos (misma cuenta) y asegúrese de introducir el ID de la cuenta propietaria en el campo Ubicación de la cuenta registrada.

Para conceder permisos en una tabla compartida (método de recurso con nombre, consola)

• Siga las instrucciones en Concesión de permisos de tabla mediante el método de recursos con nombre. En la lista Bases de datos, bajo Etiquetas LF o recursos del catálogo, asegúrese de seleccionar la base de datos en la cuenta externa y no un enlace a un recurso para la base de datos.

  Si no ve la tabla en la lista de tablas, compruebe que ha aceptado la invitación para compartir el recurso AWS RAM para la tabla. Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.

  Asimismo, para el permiso de ALTER, siga las instrucciones de Concesión de permisos de localización de datos (misma cuenta) y asegúrese de introducir el ID de la cuenta propietaria en el campo Ubicación de la cuenta registrada.

Para conceder permisos sobre los recursos compartidos (TBACmétodo LF-, consola)

• Siga las instrucciones en Concesión de permisos del catálogo de datos . En la sección LF-Tags o recursos del catálogo, conceda la expresión LF-Tag exacta que la cuenta externa concedió a su cuenta, o un subconjunto de esa expresión.

  Por ejemplo, si una cuenta externa otorgó la expresión LF-tag module=customers AND environment=production a su cuenta con la opción de concesión, como administrador de un lago de datos, puede conceder esa misma expresión, module=customers o environment=production a una entidad principal de su cuenta. Puede conceder solo los mismos permisos o un subconjunto de los permisos de Lake Formation (por ejemplo, SELECT, ALTER, etc.) que se concedieron sobre los recursos mediante la expresión LF-Tag.

Para conceder permisos en una tabla compartida (método de recurso denominado, AWS CLI)

• Introduzca un comando similar al siguiente. En este ejemplo:

  • El ID AWS de tu cuenta es 1111-2222-3333.

  • La cuenta propietaria de la tabla y que ha concedido el permiso a su cuenta es 1234-5678-9012.

  • El permiso SELECT se concede al usuario datalake_user1 en la tabla compartida pageviews. Ese usuario es la entidad principal de su cuenta.

  • La tabla pageviews se encuentra en la base de datos analytics, perteneciente a la cuenta 1234-5678-9012.

  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'

  Tenga en cuenta que la cuenta propietaria debe especificarse en la propiedad CatalogId del argumento resource.