Uso de Redshift Spectrum con AWS Lake Formation
Puede usar AWS Lake Formation para definir y aplicar de forma centralizada políticas de acceso en el nivel de columnas, bases de datos y tablas en los datos almacenados en Amazon S3. Después de que sus datos se registren en un AWS Glue Data Catalog habilitado para Lake Formation, puede consultarlos por medio de diversos servicios, incluido Redshift Spectrum.
Lake Formation proporciona la seguridad y la gobernanza del catálogo de datos. En Lake Formation, puede otorgar y revocar permisos a los objetos del catálogo de datos, como las bases de datos, las tablas, las columnas y el almacenamiento subyacente de Amazon S3.
importante
Solo se puede utilizar Redshift Spectrum con un catálogo de datos habilitado para Lake Formation en aquellas regiones de AWS en las que esté disponible Lake Formation. Para obtener una lista de las regiones disponibles, consulte Puntos de conexión y cuotas de AWS Lake Formation en la Referencia general de AWS.
Mediante el uso de Redshift Spectrum con Lake Formation, puede hacer lo siguiente:
Utilice Lake Formation como lugar centralizado en donde conceda y revoque permisos y políticas de control del acceso sobre todos sus datos en el lago de datos. Lake Formation proporciona una jerarquía de permisos que controlan el acceso a las bases de datos y a las tablas de un catálogo de datos. Para obtener más información, consulte Descripción general de permisos de Lake Formation en la Guía para desarrolladores de AWS Lake Formation.
Cree tablas externas y realice búsquedas en los datos del lago de datos. Antes de que los usuarios en su cuenta puedan ejecutar consultas, un administrador de cuenta del lago de datos registra sus rutas existentes de Amazon S3 que contienen datos de la fuente con Lake Formation. El administrador también crea tablas y otorga permisos a sus usuarios. Se puede otorgar el acceso en bases de datos, tablas o columnas. El administrador puede usar filtros de datos en Lake Formation para garantizar un control de acceso granular sobre los datos confidenciales almacenados en Amazon S3. Para obtener más información, consulte Uso de filtros de datos para seguridad en el nivel de fila y de celda.
Una vez registrados los datos en el catálogo de datos, cada vez que los usuarios intentan ejecutar consultas, Lake Formation verifica el acceso a la tabla para esa entidad principal específica. Lake Formation provee credenciales temporales a Redshift Spectrum, y se ejecuta la consulta.
-
Ejecute consultas de Redshift Spectrum en función de un AWS Glue Data Catalog montado automáticamente mediante las credenciales de IAM obtenidas con
GetCredentialsoGetClusterCredentialsy gestione los permisos de Lake Formation por usuario de la base de datos (IAMR:Username o IAM:Username).
Cuando utilice Redshift Spectrum con un catálogo de datos habilitado para Lake Formation, deberá cumplir uno de los siguientes requisitos:
Un rol de IAM asociado al clúster que tiene permiso en el catálogo de datos.
Una identidad de IAM federada configurada para administrar el acceso a recursos externos. Para obtener más información, consulte Uso de una identidad federada para administrar el acceso de Amazon Redshift a los recursos locales y a las tablas externas de Amazon Redshift.
importante
No es posible encadenar los roles de IAM mientras se utiliza Redshift Spectrum con un catálogo de datos habilitado para Lake Formation.
Para obtener más información acerca de los pasos necesarios para configurar AWS Lake Formation y así poder utilizarlo con Redshift Spectrum, consulte Tutorial: Creación de un lago de datos a partir de un origen JDBC en Lake Formation en la Guía para desarrolladores de AWS Lake Formation. Para obtener más información sobre la integración con Redshift Spectrum, consulte Consulte los datos del lago de datos mediante Amazon Redshift Spectrum. Los datos y los recursos de AWS utilizados en este tema dependen de los pasos realizados con anterioridad en el tutorial.
Uso de filtros de datos para seguridad en el nivel de fila y de celda
Puede definir filtros de datos en AWS Lake Formation para controlar el acceso a nivel de filas y celdas de sus consultas de Redshift Spectrum a los datos definidos en su catálogo de datos. Para configurarlo, realice las tareas siguientes:
Cree un filtro de datos en Lake Formation con la siguiente información:
Especificación de columna con una lista de columnas para incluir o excluir de los resultados de la consulta.
Expresión de filtro de filas que especifica las filas que se van a incluir en los resultados de la consulta.
Para obtener más información acerca de cómo crear un filtro de datos, consulte Filtros de datos en Lake Formation en la Guía para desarrolladores de AWS Lake Formation.
Cree una tabla externa en Amazon Redshift que haga referencia a una tabla del catálogo de datos habilitado para Lake Formation. Para obtener más información sobre cómo consultar una tabla de Lake Formation con Redshift Spectrum, consulte Consulte los datos del lago de datos mediante Amazon Redshift Spectrum en la Guía para desarrolladores de AWS Lake Formation.
Una vez definida la tabla en Amazon Redshift, puede consultar la tabla Lake Formation y acceder únicamente a las filas y columnas permitidas por el filtro de datos.
Para obtener una guía detallada sobre cómo configurar la seguridad a nivel de fila y de celda en Lake Formation y, a continuación, consultar con Redshift Spectrum, consulte Use Amazon Redshift Spectrum with row-level and cell-level security policies defined in AWS Lake Formation
