Recursos compartidos de datos administrados por AWS Lake Formation - Amazon Redshift
Consideraciones y limitaciones sobre el uso de AWS Lake Formation con Amazon Redshift

Recursos compartidos de datos administrados por AWS Lake Formation

Con Amazon Redshift, puede acceder a los datos en directo entre cuentas de AWS y clústeres de Amazon Redshift y compartirlos mediante recursos compartidos de datos administrados por AWS Lake Formation. Los recursos compartidos de datos de AWS Lake Formation permiten a los proveedores de datos compartir de forma segura los datos en directo del lago de datos de Amazon S3 con cualquier consumidor, incluidas otras cuentas de AWS y clústeres de Amazon Redshift.

Con AWS Lake Formation, puede definir y aplicar de forma centralizada los permisos de acceso a nivel de base de datos, tabla, columna y fila de los recursos compartidos de datos de Amazon Redshift y restringir el acceso de los usuarios a los objetos dentro de un recurso compartido de datos. Al compartir datos a través de Lake Formation, puede definir los permisos en Lake Formation y aplicarlos a cualquier recurso compartido de datos y sus objetos. Por ejemplo, si tiene una tabla que contiene información de los empleados, puede usar los filtros de nivel de columna de Lake Formation para evitar que los empleados que no trabajan en el departamento de Recursos Humanos vean información de identificación personal (PII), por ejemplo, un número de la seguridad social. Para obtener más información sobre los filtros de datos, consulte Filtrado de datos y seguridad en el nivel de celdas en Lake Formation en la Guía para desarrolladores de AWS Lake Formation.

También puede utilizar etiquetas en Lake Formation para configurar los permisos en los recursos de Lake Formation. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.

Actualmente, Amazon Redshift admite el uso de recursos compartidos de datos a través de Lake Formation cuando se comparten en la misma cuenta o entre varias cuentas. No se admite el uso compartido entre varias regiones.

A continuación, se brinda información general sobre cómo utilizar Lake Formation para controlar los permisos de los recursos compartidos de datos:

  1. En Amazon Redshift, el administrador del clúster o grupo de trabajo del productor crea un recurso compartido de datos en el clúster o grupo de trabajo del productor y concede el uso a una cuenta de Lake Formation.

  2. El administrador del clúster o grupo de trabajo del productor autoriza a la cuenta de Lake Formation a acceder al recurso compartido de datos.

  3. El administrador de Lake Formation descubre y registra los recursos compartidos de datos. También debe descubrir los ARN de AWS Glue a los que tiene acceso y asociar los datos compartidos a un ARN de AWS Glue Data Catalog. Si utiliza la AWS CLI, puede descubrir y aceptar recursos compartidos de datos con las operaciones describe-data-shares y associate-data-share-consumer de la CLI de Redshift. Para registrar un recurso compartido de datos, utilice la operación register-resource de la CLI de Lake Formation.

  4. El administrador de Lake Formation crea una base de datos federada en AWS Glue Data Catalog y configura los permisos de Lake Formation para controlar el acceso de los usuarios a los objetos del recurso compartido de datos. Para obtener más información sobre las bases de datos federadas en AWS Glue, consulte Administración de permisos para datos en un recurso compartido de datos de Amazon Redshift.

  5. El administrador de Lake Formation descubre las bases de datos de AWS Glue a las que tiene acceso y asocia el recurso compartido de datos a un ARN de AWS Glue Data Catalog.

  6. El administrador de Redshift descubre los ARN de la base de datos de AWS Glue a los que tiene acceso, crea una base de datos externa en el clúster consumidor de Amazon Redshift mediante un ARN de base de datos de AWS Glue y concede el uso a los usuarios de base de datos autenticados con credenciales de IAM para empezar a consultar la base de datos de Amazon Redshift.

  7. Los usuarios de la base de datos pueden usar las vistas SVV_EXTERNAL_TABLES y SVV_EXTERNAL_COLUMNS para buscar todas las tablas o columnas de la base de datos de AWS Glue a las que tienen acceso y, a continuación, consultar las tablas de la base de datos de AWS Glue.

  8. Cuando el administrador del clúster o grupo de trabajo de productor decide dejar de compartir los datos con el clúster de consumidor, el administrador de productores puede revocar el uso, desautorizar o eliminar el recurso compartido de datos de Redshift. Los permisos y los objetos asociados en Lake Formation no se eliminan automáticamente.

Para obtener más información sobre cómo compartir un recurso compartido de datos con AWS Lake Formation como administrador del clúster o grupo de trabajo del productor, consulte Uso de recursos compartidos de datos administrados por Lake Formation como productor. Para consumir los datos compartidos del clúster o grupo de trabajo del productor, consulte Uso de recursos compartidos de datos administrados por Lake Formation como consumidor.

Consideraciones y limitaciones sobre el uso de AWS Lake Formation con Amazon Redshift

A continuación, se indican las consideraciones y las limitaciones para compartir datos de Amazon Redshift mediante Lake Formation. Para obtener información sobre las consideraciones y limitaciones del uso compartido de datos, consulte Consideraciones sobre el uso compartido de datos en Amazon Redshift. Para obtener información sobre las limitaciones de Lake Formation, consulte Notas sobre cómo trabajar con los recursos compartidos de datos de Amazon Redshift en Lake Formation.

  • Actualmente, no se permite compartir un recurso compartido de datos con Lake Formation entre varias regiones.

  • Si se definen filtros a nivel de columna para un usuario en una relación compartida, la ejecución de una operación SELECT * devuelve solo las columnas a las que el usuario tiene acceso.

  • No se admiten los filtros de nivel de celda de Lake Formation.

  • Si creó y compartió una vista y sus tablas con Lake Formation, puede configurar filtros para administrar el acceso de las tablas. Amazon Redshift aplica las políticas definidas por Lake Formation cuando los usuarios del clúster consumidor acceden a los objetos compartidos. Cuando un usuario accede a una vista compartida con Lake Formation, Redshift aplica solo las políticas de Lake Formation definidas en la vista y no las tablas que contiene. Sin embargo, cuando los usuarios acceden directamente a la tabla, Redshift aplica las políticas de Lake Formation definidas en la tabla.

  • No puede crear vistas materializadas sobre el consumidor en función de una tabla compartida si esta tiene configurados filtros de Lake Formation.

  • El administrador de Lake Formation debe tener permisos de administrador del lago de datos y los permisos necesarios para aceptar un recurso compartido de datos.

  • El clúster consumidor del productor debe ser un clúster RA3 con la última versión del clúster de Amazon Redshift o un grupo de trabajo sin servidor para compartir los recursos compartidos de datos a través de Lake Formation.

  • Tanto el clúster productor como el consumidor deben estar cifrados.

  • Las políticas de control de acceso en el nivel de fila y columna de Redshift implementadas en el clúster o grupo de trabajo del productor se ignoran cuando el recurso compartido de datos se comparte con Lake Formation. El administrador de Lake Formation debe configurar estas políticas en Lake Formation. El administrador del clúster o grupo de trabajo del productor puede desactivar RLS de una tabla mediante el comando ALTER TABLE.

  • Compartir los recursos compartidos de datos a través de Lake Formation solo está disponible para los usuarios que tienen acceso a Redshift y Lake Formation.