Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
De forma predeterminada, los administradores de lagos de datos pueden crear, actualizar y eliminar etiquetas LF, asignar etiquetas a los recursos del Catálogo de datos y conceder permisos de etiquetas a las entidades principales. Si desea delegar las operaciones de creación y administración de etiquetas a entidades principales no administrativa, el administrador del lago de datos puede crear roles de creador de etiquetas LF y conceder permisos Create LF-Tag a Lake Formation para los roles. Con un permiso Create LF-Tag concedible, los creadores de etiquetas LF pueden delegar las tareas de creación y mantenimiento de etiquetas a otras entidades principales no administrativas.
Para que los administradores de lagos de datos asignen etiquetas LF a recursos del Catálogo de datos, deben concederse permisos de asociación en etiquetas LF que no hayan creado ellos mismos.
nota
Las concesiones de permisos entre cuentas solo pueden incluir permisos Describe y Associate. No puede conceder permisos Create LF-Tag, Drop, Alter ni Grant with LFTag expressions a las entidades principales de una cuenta diferente.
Véase también
Permisos de IAM requeridos para crear etiquetas LF
Debe configurar permisos para que una entidad principal de Lake Formation pueda crear LF-tags. Añada la siguiente instrucción a la política de permisos de la entidad principal que necesita ser creadora de etiquetas LF.
nota
Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF, asignar etiquetas LF a los recursos y conceder etiquetas LF a las entidades principales, los administradores de lagos de datos también necesitan los permisos de IAM siguientes.
Para obtener más información, consulte Personas de Lake Formation y referencia de permisos IAM.
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
Las entidades principales que asignan etiquetas LF a recursos y conceden etiquetas LF a entidades principales deben tener los mismos permisos, salvo CreateLFTag, UpdateLFTag y DeleteLFTag.
Añadir creadores de etiquetas LF
Un creador de etiquetas LF puede crear una etiqueta LF, actualizar la clave y los valores de la etiqueta, eliminar etiquetas, asociar etiquetas a los recursos del Catálogo de datos y conceder permisos sobre los recursos del Catálogo de datos a entidades principales mediante el método LF-TBAC. El creador de la etiqueta LF también puede conceder estos permisos a entidades principales.
Puede crear funciones de creador de etiquetas LF mediante la AWS Lake Formation consola, la API o (). AWS Command Line Interface AWS CLI
Para añadir un creador de etiquetas LF
-
Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/
. Inicie sesión como administrador del lago de datos.
-
En el panel de navegación, en Permisos, elija Etiquetas LF y permisos.
En la página Permisos y etiquetas LF, seleccione la sección Creadores de etiquetas LF y seleccione Añadir creadores de etiquetas LF.
-
En la página Añadir creadores de etiquetas LF, seleccione un usuario o un rol de IAM que tenga los permisos necesarios para crear etiquetas LF.
-
Marque la casilla de verificación del permiso
Create LF-Tag. -
(Opcional) Para que las entidades principales seleccionadas puedan conceder permisos
Create LF-Taga las entidades principales, seleccione el permiso concedibleCreate LF-Tag. -
Seleccione Agregar.
Los siguientes son los permisos disponibles para un rol de creador de etiquetas LF:
| Permiso | Descripción |
|---|---|
Drop |
Una entidad principal con este permiso en una etiqueta LF puede eliminar una etiqueta LF del lago de datos. La entidad principal obtiene un permiso implícito Describe sobre todos los valores de etiqueta de un recurso de etiqueta LF. |
Alter |
Una entidad principal con este permiso en una etiqueta LF puede añadir o eliminar el valor de una etiqueta LF. La entidad principal obtiene un permiso implícito Alter sobre todos los valores de una etiqueta LF. |
Describe |
Una entidad principal con este permiso en una etiqueta LF puede ver la etiqueta LF y sus valores al asignar etiquetas LF a los recursos o conceder permisos a las etiquetas LF. Puede conceder Describe en todos los valores clave o en valores específicos. |
Associate |
Una entidad principal con este permiso en una etiqueta LF puede asignar esta a un recurso del Catálogo de datos. Al conceder Associate está otorgando Describe de manera implícita. |
Grant with LF-Tag expression |
Una entidad principal con este permiso en una etiqueta LF puede conceder permisos sobre los recursos de un Catálogo de datos utilizando la clave y los valores de la etiqueta LF. Conceder Grant
with LF-Tag expression otorga Describe de manera implícita. |
Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.
