Incorporación y concesión de acceso - AWS Guía prescriptiva
Incorporación de productores de datosIncorporación de consumidores de datosConceda a Select el acceso a una cuenta de consumidor de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Incorporación y concesión de acceso

La arquitectura de referencia del lago de datos de esta guía le ayuda a escalar de forma independiente los productores y consumidores de datos, además de definir y establecer un proceso coherente para incorporar y conceder acceso a esos consumidores de datos.

En las siguientes secciones se describe el proceso de incorporación de los productores y consumidores de datos y cómo conceder el acceso a una cuenta de consumidor de datos. En esta guía, se utiliza el método de recurso designado entre el catálogo centralizado y los consumidores de datos. El proceso del método LF-TBAC es similar pero ligeramente diferente. Le recomendamos que evalúe y configure estos enfoques para que se ajusten a las prácticas y políticas de gobierno de datos de su organización.

Para obtener más información sobre estos dos métodos, consulte la Catálogo centralizado sección de esta guía.

Incorporación de productores de datos

El siguiente diagrama muestra cómo incorporar un nuevo productor de datos a su lago de datos.

El proceso de incorporación de un nuevo productor de datos a un lago de datos.

El diagrama muestra el siguiente proceso de incorporación:

  1. El productor de datos proporciona al catálogo centralizado acceso a sus datos de forma selectiva (por ejemplo, un bucket de Amazon Simple Storage Service (Amazon S3) y). AWS KMS key Se proporciona acceso a las entidades principales del catálogo centralizado AWS Identity and Access Management (IAM) para registrar la ubicación del lago de datos del productor de datos AWS Lake Formation y a las entidades principales del IAM se utilizan para mantener el catálogo del productor de datos.

  2. Registre la ubicación del lago de datos del productor de datos (por ejemplo, un depósito S3) que utiliza Lake Formation del catálogo centralizado.

  3. Cree la base de datos, las tablas y los esquemas de tablas para los nuevos datos del productor de datos en el catálogo de AWS Glue datos.

Incorporación de consumidores de datos

El siguiente diagrama muestra cómo incorporar a un nuevo consumidor de datos a su lago de datos.

El proceso de incorporar un nuevo consumidor de datos a su lago de datos.

El diagrama muestra el siguiente proceso de incorporación:

  1. El consumidor de datos solicita autorización para ver los datos del productor de datos y especifica los datos a los que necesita acceder.

  2. El administrador de datos del productor de datos revisa la solicitud del consumidor de datos y evalúa si:

    • Comparta algunas o todas las tablas de las bases de datos solicitadas. Recomendamos compartir a nivel de base de datos cuando compartir todas las tablas con el consumidor de datos no tenga implicaciones para la seguridad de los datos, lo que ayuda a evitar la sobrecarga de administración que implica compartir tablas a nivel de tabla.

    • Comparta los datos a nivel de organización, unidad organizativa o cuenta del consumidor.

  3. Una vez aprobados por el productor de datos, los recursos del catálogo de datos necesarios se comparten con el consumidor de datos en el catálogo centralizado.

  4. Los enlaces a los recursos se pueden crear en la cuenta del consumidor de datos mediante Lake Formation y, a continuación, apuntar a los recursos del catálogo de datos compartidos en el catálogo centralizado.

Una vez finalizado el proceso de incorporación, el administrador de Lake Formation del consumidor de datos puede ver el recurso del catálogo de base de datos desde el catálogo centralizado y el enlace al recurso. En este momento, ninguna otra persona de la cuenta del consumidor de datos puede acceder a los datos del productor de los datos.

Conceda a Select el acceso a una cuenta de consumidor de datos

El siguiente diagrama muestra el proceso para conceder Selectacceso a los recursos de datos compartidos con una entidad de IAM local en la cuenta del consumidor de datos. El principal de IAM local puede ser el rol de IAM para usuarios individuales o un rol de IAM que utilizan servicios específicos. AWS

nota

Cuando los datos que se comparten son de baja sensibilidad, puede delegar la concesión del acceso al propio consumidor de datos sin necesidad de la aprobación del productor de los datos. Esto se debe a que la confianza y el intercambio ya están establecidos entre ellos.

El proceso para conceder a Select el acceso a una cuenta de consumidor de datos.

El diagrama muestra el proceso siguiente:

  1. La entidad principal de IAM individual de la cuenta del consumidor de datos solicita Select acceso al enlace de recursos a la entidad principal de IAM de la cuenta del consumidor de datos.

  2. El administrador de datos del productor de datos revisa la solicitud del consumidor de datos y la aprueba si se cumplen todos los requisitos.

  3. Selectse concede el acceso y esto permite al director de IAM consumir los datos solicitados.