Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso basado en etiquetas de Lake Formation
El control de acceso basado en etiquetas (LF-TBAC) de Lake Formation es una estrategia de autorización que define los permisos en función de los atributos. En Lake Formation, estos atributos se denominan etiquetas LF. Puede adjuntar etiquetas LF a los recursos del catálogo de datos y conceder permisos a los directores de Lake Formation sobre esos recursos mediante estas etiquetas LF. Lake Formation permite realizar operaciones en esos recursos cuando el valor de la etiqueta del principal coincide con el valor de la etiqueta del recurso. LF- TBAC es útil en entornos que crecen rápidamente y ayuda en situaciones en las que la gestión de políticas se vuelve engorrosa.
LF- TBAC es el método recomendado para conceder permisos a Lake Formation cuando hay una gran cantidad de recursos del catálogo de datos. LF- TBAC es más escalable que el método de recurso indicado y requiere menos sobrecarga de administración de permisos.
nota
IAMlas etiquetas no son lo mismo que las etiquetas LF. Estas etiquetas no son intercambiables. Las etiquetas LF se utilizan para conceder permisos a Lake Formation y las IAM etiquetas se utilizan para definir IAM políticas.
Cómo funciona el control de acceso basado en etiquetas de Lake Formation
Cada etiqueta LF es un par clave-valor, como o department=sales
o classification=restricted
. Una clave puede tener varios valores definidos, como department=sales,marketing,engineering,finance
.
Para utilizar el TBAC método LF-, los administradores de lagos de datos y los ingenieros de datos realizan las siguientes tareas.
Tarea | Detalles de la tarea |
---|---|
1. Definir las propiedades y las relaciones de las etiquetas LF. |
- |
2. Generar los creadores de etiquetas LF en Lake Formation. |
Añadir creadores de etiquetas LF |
3. Generar la etiqueta LF en Lake Formation. |
Crear etiquetas LF |
4. Asignar etiquetas LF a recursos del Catálogo de datos. |
Asignación de varias etiquetas LF a recursos del Catálogo de datos |
5. Conceder permisos a otras entidades principales para asignar etiquetas LF a los recursos, de forma opcional con la opción de concesión. |
Administrar los permisos de valores de etiquetas LF |
6. Conceder expresiones de etiquetas LF a entidades principales, de forma opcional con la opción de concesión. |
Otorgar permisos de lago de datos mediante el TBAC método LF- |
7. (Recomendado) Tras comprobar que los directores tienen acceso a los recursos correctos mediante el TBAC método LF-, revoque los permisos concedidos mediante el método de recurso indicado. |
- |
Imagine un caso en el que debe conceder permisos a tres entidades principales sobre tres bases de datos y siete tablas.
Para conseguir los permisos indicados en el diagrama anterior utilizando el método de recursos con nombre, tendría que efectuar 17 concesiones, como se indica a continuación (en pseudocódigo).
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1 GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1 GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1 GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1 ... GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2 GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2 ... GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
Ahora considere cómo concedería los permisos mediante LF-. TBAC El siguiente diagrama indica que ha asignado etiquetas LF a bases de datos y tablas, y ha concedido permisos sobre las etiquetas LF a las entidades principales.
En este ejemplo, las etiquetas LF representan áreas del lago de datos que contienen análisis para diferentes módulos de un conjunto de aplicaciones de planificación de recursos empresariales (ERP). Puede controlar el acceso a los datos analíticos de los distintos módulos. Todas las etiquetas LF tienen la clave module
y los posibles valores Sales
, Orders
, y Customers
. Un ejemplo de URL sería:
module=Sales
El diagrama muestra solo los valores de las etiquetas LF.
Asignación de etiquetas a los recursos del Catálogo de datos y herencia
Las tablas heredan las etiquetas LF de las bases de datos y las columnas heredan las etiquetas LF de las tablas. Los valores heredados pueden anularse. En el diagrama anterior, las etiquetas LF atenuadas se heredan.
Debido a la herencia, el administrador del lago de datos solo necesita hacer las cinco asignaciones de etiquetas LF siguientes a los recursos (en pseudocódigo).
ASSIGN TAGS module=Sales TO database A ASSIGN TAGS module=Orders TO table A.2 ASSIGN TAGS module=Orders TO database B ASSIGN TAGS module=Customers TO table B.2 ASSIGN TAGS module=Customers TO database C
Etiquetar las concesiones a las entidades principales
Tras asignar las etiquetas LF a las bases de datos y tablas, el administrador del lago de datos debe efectuar solo cuatro concesiones de etiquetas LF a las entidades principales, como se indica a continuación (en pseudocódigo).
GRANT TAGS module=Sales TO Principal 1 GRANT TAGS module=Customers TO Principal 1 GRANT TAGS module=Orders TO Principal 2 GRANT TAGS module=Customers TO Principal 3
Ahora, una entidad principal con la etiqueta LF module=Sales
puede acceder a los recursos del Catálogo de datos con la etiqueta LF module=Sales
(por ejemplo, la base de datos A), una entidad principal con la etiqueta LF module=Customers
puede acceder a los recursos con la etiqueta LF module=Customers
, y así sucesivamente.
Los comandos de concesión anteriores están incompletos. Esto se debe a que, aunque indican mediante etiquetas LF los recursos del Catálogo de datos sobre los que las entidades principales tienen permisos, no indican exactamente qué permisos de Lake Formation (como SELECT
, ALTER
) tienen las entidades principales sobre esos recursos. Por lo tanto, los siguientes comandos de pseudocódigo son una representación más exacta de cómo se conceden los permisos de Lake Formation sobre los recursos del Catálogo de datos a través de las etiquetas LF.
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1 GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Sales TO Principal 1 GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1 GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 1 GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2 GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Orders TO Principal 2 GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3 GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 3
Recopilación. Permisos resultantes sobre los recursos
Dadas las etiquetas LF asignadas a las bases de datos y las tablas en el diagrama anterior, y las etiquetas LF concedidas a las entidades principales en el diagrama, la siguiente tabla enumera los permisos de Lake Formation que las entidades principales tienen sobre las bases de datos y las tablas.
Entidad principal | Permisos otorgados mediante etiquetas LF |
---|---|
Entidad principal 1 |
|
Entidad principal 2 |
|
Entidad principal 3 |
|
Conclusión
En este sencillo ejemplo, el administrador del lago de datos ha podido especificar 17 permisos mediante cinco operaciones de asignación y ocho de concesión. Cuando hay decenas de bases de datos y cientos de tablas, queda clara la ventaja del TBAC método LF- sobre el método de recurso designado. En el caso hipotético de la necesidad de conceder a cada entidad principal acceso a cada recurso, y donde n(P)
es el número de entidades principales y n(R)
es el número de recursos:
-
Con el método de recurso con nombre, la cantidad de concesiones requeridas es
n(P)
✕n(R)
. -
Con el TBAC método LF-, que utiliza una sola etiqueta LF, el número total de subvenciones a directores y asignaciones a recursos es +.
n(P)
n(R)