Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Cambiar la configuración predeterminada de su lago de datos

Modo de enfoque
Cambiar la configuración predeterminada de su lago de datos - AWS Lake Formation

Para mantener la compatibilidad con versiones anteriores de AWS Glue, AWS Lake Formation tiene la siguiente configuración de seguridad inicial:

  • El permiso Super se concede al grupo IAMAllowedPrincipals sobre todos los recursos existentes del Catálogo de datos de AWS Glue.

  • La configuración "Usar solo control de acceso de IAM" está activada para los nuevos recursos del Catálogo de datos.

Estos ajustes hacen que el acceso a los recursos del Catálogo de datos y a las ubicaciones de Amazon S3 esté controlado únicamente por las políticas de AWS Identity and Access Management (IAM). Los permisos individuales de Lake Formation no están en vigor.

El grupo IAMAllowedPrincipals incluye a todos los usuarios y roles de IAM a los que sus políticas de IAM permiten el acceso a los recursos de su Catálogo de datos. El permiso Super permite a una entidad principal efectuar todas las operaciones compatibles con Lake Formation en la base de datos o tabla sobre la que se ha concedido.

Para cambiar la configuración de seguridad de modo que el acceso a los recursos del Catálogo de datos (bases de datos y tablas) sea administrado por los permisos de Lake Formation, haga lo siguiente:

  1. Cambie la configuración de seguridad predeterminada para los nuevos recursos. Para obtener instrucciones, consulte Cambio del modelo de permisos predeterminado o uso del modo de acceso híbrido.

  2. Cambiar la configuración de los recursos existentes del Catálogo de datos. Para obtener instrucciones, consulte Actualización de los permisos de datos AWS Glue al modelo AWS Lake Formation.

Cambiar la configuración de seguridad predeterminada mediante la operación de la API PutDataLakeSettings de Lake Formation

También puede cambiar la configuración de seguridad predeterminada mediante la operación de la API PutDataLakeSettings de Lake Formation. Esta acción toma como argumentos un ID de catálogo opcional y una estructura DataLakeSettings.

Para imponer el control de acceso a los metadatos y a los datos subyacentes por parte de Lake Formation en las nuevas bases de datos y tablas, codifique la estructura DataLakeSettings de la manera siguiente.

nota

Sustituya <AccountID> por un ID de cuenta AWS válido y <Username> por un nombre de usuario de IAM válido. Puede especificar más de un usuario como administrador del lago de datos.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [], "CreateTableDefaultPermissions": [] } }

También puede codificar la estructura de la siguiente manera. Omitir el parámetro CreateDatabaseDefaultPermissions o CreateTableDefaultPermissions equivale a pasar una lista vacía.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ] } }

Esta acción revoca efectivamente todos los permisos de Lake Formation del grupo IAMAllowedPrincipals en las nuevas bases de datos y tablas. Cuando cree una base de datos, puede anular esta configuración.

Para imponer el control de acceso a los metadatos y a los datos subyacentes solo mediante IAM en las nuevas bases de datos y tablas, codifique la estructura de DataLakeSettings de la manera siguiente.

{ "DataLakeSettings": { "DataLakeAdmins": [ { "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>" } ], "CreateDatabaseDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ], "CreateTableDefaultPermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS" }, "Permissions": [ "ALL" ] } ] } }

Esto concede al grupo IAMAllowedPrincipals el permiso Super de Lake Formation sobre nuevas bases de datos y tablas. Cuando cree una base de datos, puede anular esta configuración.

nota

En la estructura DataLakeSettings anterior, el único valor permitido para DataLakePrincipalIdentifier es IAM_ALLOWED_PRINCIPALS, y el único valor permitido para Permissions es ALL.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.