Añadir creadores de etiquetas LF - AWS Lake Formation
IAMpermisos necesarios para crear etiquetas LFAñadir creadores de etiquetas LF

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añadir creadores de etiquetas LF

De forma predeterminada, los administradores de lagos de datos pueden crear, actualizar y eliminar etiquetas LF, asignar etiquetas a los recursos del Catálogo de datos y conceder permisos de etiquetas a las entidades principales. Si desea delegar las operaciones de creación y administración de etiquetas a entidades principales no administrativa, el administrador del lago de datos puede crear roles de creador de etiquetas LF y conceder permisos Create LF-Tag a Lake Formation para los roles. Con un permiso Create LF-Tag concedible, los creadores de etiquetas LF pueden delegar las tareas de creación y mantenimiento de etiquetas a otras entidades principales no administrativas.

Para que los administradores de lagos de datos puedan asignar etiquetas LF a los recursos del catálogo de datos, deben concederse permisos de asociación a las etiquetas LF que no hayan creado ellos.

nota

Las concesiones de permisos entre cuentas solo pueden incluir permisos Describe y Associate. No puede conceder permisos Create LF-Tag, Drop, Alter ni Grant with LFTag expressions a las entidades principales de una cuenta diferente.

Véase también

IAMpermisos necesarios para crear etiquetas LF

Debe configurar permisos para que una entidad principal de Lake Formation pueda crear LF-tags. Añada la siguiente instrucción a la política de permisos de la entidad principal que necesita ser creadora de etiquetas LF.

nota

Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF, asignar etiquetas LF a los recursos y conceder etiquetas LF a los directores, los administradores de lagos de datos también necesitan los siguientes permisos. IAM

Para obtener más información, consulte Referencia de personas y IAM permisos de Lake Formation.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }

Las entidades principales que asignan etiquetas LF a recursos y conceden etiquetas LF a entidades principales deben tener los mismos permisos, salvo CreateLFTag, UpdateLFTag y DeleteLFTag.

Añadir creadores de etiquetas LF

Un creador de etiquetas LF puede crear una etiqueta LF, actualizar la clave y los valores de las etiquetas, eliminarlas, asociarlas a los recursos del catálogo de datos y conceder permisos sobre los recursos del catálogo de datos a los directores mediante el método LF-. TBAC El creador de la etiqueta LF también puede conceder estos permisos a entidades principales.

Puede crear funciones de creador de etiquetas LF mediante la AWS Lake Formation consola, el o el (). API AWS Command Line Interface AWS CLI

console
Para añadir un creador de etiquetas LF

  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    Inicie sesión como administrador del lago de datos.

  2. En el panel de navegación, en Permisos, elija Etiquetas LF y permisos.

    En la página Permisos y etiquetas LF, seleccione la sección Creadores de etiquetas LF y seleccione Añadir creadores de etiquetas LF.

    LF-Tag creator details form with Usuario de IAM selection and permission options.

  3. En la página Añadir creadores de etiquetas LF, elija un IAM rol o un usuario que tenga los permisos necesarios para crear etiquetas LF.

  4. Marque la casilla de verificación del permiso Create LF-Tag.

  5. (Opcional) Para que las entidades principales seleccionadas puedan conceder permisos Create LF-Tag a las entidades principales, seleccione el permiso concedible Create LF-Tag.

  6. Seleccione Agregar.

AWS CLI
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}

Los siguientes son los permisos disponibles para un rol de creador de etiquetas LF:

Permiso Descripción
Drop Una entidad principal con este permiso en una etiqueta LF puede eliminar una etiqueta LF del lago de datos. La entidad principal obtiene un permiso implícito Describe sobre todos los valores de etiqueta de un recurso de etiqueta LF.
Alter Una entidad principal con este permiso en una etiqueta LF puede añadir o eliminar el valor de una etiqueta LF. La entidad principal obtiene un permiso implícito Alter sobre todos los valores de una etiqueta LF.
Describe Una entidad principal con este permiso en una etiqueta LF puede ver la etiqueta LF y sus valores al asignar etiquetas LF a los recursos o conceder permisos a las etiquetas LF. Puede conceder Describe en todos los valores clave o en valores específicos.
Associate Una entidad principal con este permiso en una etiqueta LF puede asignar esta a un recurso del Catálogo de datos. Al conceder Associate está otorgando Describe de manera implícita.
Grant with LF-Tag expression Una entidad principal con este permiso en una etiqueta LF puede conceder permisos sobre los recursos de un Catálogo de datos utilizando la clave y los valores de la etiqueta LF. Conceder Grant with LF-Tag expression otorga Describe de manera implícita.

Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.