Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configurar permisos en recursos compartidos de datos de Amazon Redshift
En este tema se describen los pasos que debe seguir para aceptar una invitación a compartir datos, crear una base de datos federada y conceder permisos. Puede utilizar la consola de Lake Formation o AWS Command Line Interface (AWS CLI). Los ejemplos de este tema muestran el clúster de productores, el Catálogo de datos y el consumidor de datos en la misma cuenta.
Para obtener más información sobre las capacidades entre cuentas de Lake Formation, consulte Compartir datos entre cuentas en Lake Formation.
Para configurar los permisos de un recurso compartido de datos
Revise una invitación al recurso compartido de datos y acéptela.
- Console
-
-
Inicie sesión en la consola de Lake Formation como administrador de un lago de datos en https://console.aws.amazon.com/lakeformation/. Acceda a la página Intercambio de datos.
-
Revise los datos compartidos a los que está autorizado a acceder. La columna Estado indica su estado de participación actual en el recurso compartido de datos. El estado Pendiente indica que se le ha agregado a un recurso compartido de datos, pero que aún no lo ha aceptado o ha rechazado la invitación.
-
Para responder a una invitación a compartir datos, seleccione el nombre del recurso compartido de datos y elija Revisar la invitación. En Aceptar o rechazar el intercambio de datos, revise los detalles de la invitación. Seleccione Aceptar para aceptar la invitación o Rechazar para rechazarla. Si rechazas la invitación, no tendrás acceso al recurso compartido de datos.
- AWS CLI
-
En los ejemplos siguientes se muestra cómo ver, aceptar y registrar la invitación. Sustituya el Cuenta de AWS ID por un ID válido Cuenta de AWS . Sustituya el data-share-arn
nombre del recurso de Amazon real (ARN) por el que se hace referencia al recurso compartido de datos.
-
Ver una invitación pendiente.
aws redshift describe-data-shares \
--data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \
-
Acepte un recurso compartido de datos.
aws redshift associate-data-share-consumer \
--data-share-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds' \
--consumer-arn 'arn:aws:glue:us-east-1:111122223333:catalog
-
Registre el recurso compartido de datos en la cuenta de Lake Formation. Utilice la RegisterResourceAPIoperación para registrar el intercambio de datos en Lake Formation. DataShareArn
es el parámetro de entrada de. ResourceArn
Este es un paso obligatorio.
aws lakeformation register-resource \
--resource-arn 'arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds'
-
Cree una base de datos.
Tras aceptar una invitación para un recurso compartido de datos, debe crear una base de datos que apunte a la base de datos de Amazon Redshift asociada al recurso compartido de datos. Debe ser administrador de un lago de datos para crear una base de datos.
- Console
-
-
Seleccione el recurso compartido de datos en el panel Invitaciones y elija Establecer los detalles de la base de datos.
-
En Establecer los detalles de la base de datos, introduzca un nombre e identificador únicos para el recurso compartido de datos. Este identificador se utiliza para mapear el recurso compartido de datos internamente en la jerarquía de metadatos (dbName.schema.table).
-
Seleccione Siguiente para conceder permisos a otros usuarios en la base de datos y las tablas compartidas.
- AWS CLI
-
Utilice el siguiente código de ejemplo para crear una base de datos que apunte a la base de datos de Amazon Redshift compartida con Lake Formation mediante. AWS CLI
aws glue create-database --cli-input-json \
'{
"CatalogId": "111122223333",
"DatabaseInput": {
"Name": "tahoedb",
"FederatedDatabase": {
"Identifier": "arn:aws:redshift:us-east-1:111122223333:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/federatedds",
"ConnectionName": "aws:redshift"
}
}
}'
-
Concesión de permisos.
Una vez creada la base de datos, puede conceder permisos a los usuarios de su cuenta o a organizaciones Cuentas de AWS y usuarios externos. No podrá conceder permisos de escritura de datos (insertar, eliminar) ni permisos de metadatos (modificar, eliminar, crear) en la base de datos federada que esté mapeada a un datashare de Amazon Redshift. Para obtener más información sobre cómo conceder permisos, consulte Administrar los permisos de Lake Formation.
Como administrador de un lago de datos, solo puede ver las tablas de las bases de datos federadas. Para realizar cualquier otra acción, debe concederse más permisos en esas tablas.
- Console
-
-
En la pantalla Conceder permisos, seleccione los usuarios a los que va a conceder los permisos.
-
Elija Conceder.
- AWS CLI
-
Utilice los siguientes ejemplos para conceder permisos de bases de datos y tablas mediante AWS CLI:
aws lakeformation grant-permissions --input-cli-json file://input.json
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
},
"Resource": {
"Database": {
"CatalogId": "111122223333",
"Name": "tahoedb"
}
},
"Permissions": [
"DESCRIBE"
],
"PermissionsWithGrantOption": [
]
}
aws lakeformation grant-permissions --input-cli-json file://input.json
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/non-admin"
},
"Resource": {
"Table": {
"CatalogId": "111122223333",
"DatabaseName": "tahoedb",
"Name": "public.customer"
}
},
"Permissions": [
"SELECT"
],
"PermissionsWithGrantOption": [
"SELECT"
]
}