Concesión de permisos de base de datos mediante el método de recurso con nombre - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permisos de base de datos mediante el método de recurso con nombre

Los siguientes pasos explican cómo conceder permisos de base de datos utilizando el método de recursos con nombre.

Console

Utilice la página de Conceder permisos de lago de datos en la consola de Lake Formation. La página está dividida en las secciones siguientes:

  • Entidades principales – Los usuarios de IAM, roles, usuarios y grupos de IAM Identity Center, usuarios y grupos de SAML, cuentas AWS , organizaciones u unidades organizativas para conceder permisos.

  • Etiquetas LF o recursos del catálogo – Las bases de datos, tablas, vistas o enlaces a recursos para los que se conceden permisos.

  • Permisos. Los permisos de Lake Formation que se conceden.

nota

Para conceder permisos en un enlace a un recurso de base de datos, consulte Conceder permisos de enlace de recursos.

  1. Abra la página Conceder permisos de lagos de datos.

    Abra la AWS Lake Formation consola en https://console.aws.amazon.com/lakeformation/e inicie sesión como administrador del lago de datos, creador de la base de datos o usuario de IAM que tenga permisos de Grantable en la base de datos.

    Realice una de las siguientes acciones:

    • En el panel de navegación, en Permisos, seleccione Permisos de lago de datos. A continuación, seleccione Conceder.

    • En el panel de navegación, elija Bases de datos en Catálogo de datos. A continuación, en la página Bases de datos, elija una y, en el menú Acciones, en Permisos, seleccione Conceder.

    nota

    Puede conceder permisos en una base de datos desde su enlace de recursos. Para ello, en la página Bases de datos, elija un enlace de recursos y, en el menú Acciones, Conceder en el destino. Para obtener más información, consulte Cómo funcionan los enlaces de recursos en Lake Formation.

  2. A continuación, en la sección Entidades principales, elija un tipo de entidad principal y, a continuación, especifique las que van a recibir los permisos concedidos.

    La sección Entidades principales contiene cuatro iconos con nombre en el texto siguiente. Cada mosaico contiene un botón de opción y un texto. Se selecciona el icono de usuarios y grupos del Centro de identidades de IAM y la lista desplegable de usuarios y grupos se encuentra debajo del texto siguiente.
    Usuarios y roles de IAM

    Elija uno o varios usuarios o roles en la lista de usuarios y roles de IAM.

    IAM Identity Center

    Elija uno o varios usuarios o grupos en la lista de Usuarios y grupos. Seleccione Añadir para añadir más usuarios o grupos.

    Usuarios y grupos de SAML

    Para QuickSight los usuarios y grupos de SAML y Amazon, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o para QuickSight los usuarios o grupos de ARNs Amazon. Pulse Intro después de cada ARN.

    Para obtener información sobre cómo construirlo, consulte. ARNs Lake Formation otorga y revoca órdenes AWS CLI

    nota

    La integración de Lake Formation con Amazon solo QuickSight es compatible con Amazon QuickSight Enterprise Edition.

    Cuentas externas

    Para Cuenta de AWS AWS la organización o el director de IAM, introduzca una o más AWS cuentas IDs, organizaciones IDs IDs, unidades organizativas o ARN válidos para el usuario o rol de IAM. Pulse Intro después de cada ID.

    El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.

    Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.

  3. En la sección de etiquetas LF o recursos del catálogo, seleccione Recursos del catálogo de datos con nombre.

    La sección de etiquetas LF o recursos del catálogo contiene dos mosaicos dispuestos en horizontal, cada uno de los cuales contiene un botón de opción y un texto descriptivo. Las opciones son Recursos que coinciden con las etiquetas LF y recursos de Catálogo de datos con nombre. Bajo los mosaicos hay dos listas desplegables, de bases de datos y tablas. La lista desplegable de bases de datos presenta un mosaico debajo con el nombre de la base de datos seleccionada.

  4. Elija una o más bases de datos de la lista Bases de datos. También puede elegir una o más tablas o filtros de datos.

  5. En la sección Permisos, seleccione los permisos y los permisos concedibles. En Permisos de base de datos, seleccione uno o más permisos para conceder.

    La sección Permisos contiene dos mosaicos, dispuestos en horizontal. Cada mosaico contiene un botón de opción y un texto. Aparece seleccionado el mosaico de permisos de la base de datos. El otro mosaico, Permisos basados en columnas, está desactivado, porque está relacionado con los permisos de las tablas. Bajo los mosaicos hay un grupo de casillas de verificación para los permisos de base de datos que se deben conceder. Las casillas de verificación son: Crear tabla, Alterar, Soltar, Describir y Super. Debajo de ese grupo hay otro grupo con las mismas casillas de verificación para los permisos concedibles.
    nota

    Después de conceder Create Table o Alter en una base de datos que tenga una propiedad de ubicación que apunte a una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte Conceder permisos de ubicación de datos.

  6. (Opcional) En Permisos concedibles, seleccione los permisos que el destinatario de la concesión puede conceder a otras entidades principales de su cuenta AWS . Esta opción no es compatible cuando se conceden permisos a una entidad principal de IAM desde una cuenta externa.

  7. Elija Conceder.

AWS CLI

Para conceder permisos a la base de datos, utilice el método de recursos con nombre y la AWS Command Line Interface (AWS CLI).

Para conceder permisos a la base de datos mediante el AWS CLI

  • Ejecute un comando grant-permissions y especifique como recurso una base de datos o el Catálogo de datos, en función del permiso que se conceda.

    En los ejemplos siguientes, <account-id> sustitúyalo por un identificador de AWS cuenta válido.

    ejemplo — Concesión para crear una base de datos

    En este ejemplo se concede CREATE_DATABASE al usuario datalake_user1. Dado que el recurso sobre el que se concede este permiso es el Catálogo de datos, la orden especifica una estructura CatalogResource vacía como parámetro resource.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
    ejemplo — Concesión para crear tablas en una base de datos designada

    En el siguiente ejemplo, se concede CREATE_TABLE sobre la base de datos retail al usuario datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    ejemplo — Concesión a una AWS cuenta externa con la opción de concesión

    El siguiente ejemplo concede CREATE_TABLE con la opción de concesión de la base de datos retail a la cuenta externa 1111-2222-3333.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    ejemplo — Concesión a una organización

    En el siguiente ejemplo se concede ALTER con la opción de concesión en la base de datos issues a la organización o-abcdefghijkl.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
    ejemplo — Concesión de ALLIAMPrincipals en la misma cuenta

    En el siguiente ejemplo se concede permiso de CREATE_TABLE sobre la base de datos retail a todas las entidades principales de la misma cuenta. Esta opción permite a todas las entidades principales de la cuenta crear una tabla en la base de datos y crear un enlace de recursos de tabla que permita a los motores de consulta integrados acceder a las bases de datos y tablas compartidas. Esta opción es especialmente útil cuando una entidad principal recibe una concesión entre cuentas y no tiene permiso para crear enlaces de recursos. En este escenario, el administrador del lago de datos puede crear una base de datos de marcadores de posición y conceder permiso CREATE_TABLE al grupo ALLIAMPrincipal, lo que permitirá a todas las entidades principales de IAM de la cuenta crear enlaces de recursos en la base de datos de marcadores de posición. 

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
    ejemplo — Concesión a ALLIAMPrincipals en una cuenta externa

    En el siguiente ejemplo se concede CREATE_TABLE sobre la base de datos retail a todas las entidades principales de la misma cuenta. Esta opción permite a cada entidad principal de la cuenta crear una tabla en la base de datos.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
nota

Después de conceder CREATE_TABLE o ALTER en una base de datos que tenga una propiedad de ubicación que apunte a una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte Conceder permisos de ubicación de datos.

Véase también