Descripción general de los permisos de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de los permisos de Lake Formation

Hay dos tipos principales de permisos en AWS Lake Formation:

  • Acceso a los metadatos. Permisos sobre los recursos del Catálogo de datos (Permisos sobre el Catálogo de datos).

    Con estos permisos las entidades principales pueden crear, leer, actualizar y eliminar bases de datos de metadatos y tablas del Catálogo de datos.

  • Acceso a los datos subyacentes: permisos en ubicaciones en Amazon Simple Storage Service (Amazon S3) (permisos de acceso a datos y permisos de ubicación de datos).

    • Los permisos del lago de datos permiten a las entidades principales leer y escribir datos en las ubicaciones subyacentes de Amazon S3, datos a los que apuntan los recursos del Catálogo de datos.

    • Los permisos de ubicación de datos permiten a las entidades principales crear y modificar bases de datos y tablas de metadatos que apunten a ubicaciones específicas de Amazon S3.

Para ambas áreas, Lake Formation usa una combinación de permisos de Lake Formation y permisos AWS Identity and Access Management (IAM). El modelo de permisos IAM se compone de políticas de IAM. El modelo de permisos de Lake Formation se implementa como comandos CONCEDER/REVOCAR de estilo DBMS, como Grant SELECT on tableName to userName.

Cuando una entidad principal efectúa una solicitud para acceder a los recursos del Catálogo de datos o a los datos subyacentes, para que la solicitud tenga éxito, debe pasar las comprobaciones de permisos tanto de IAM como de Lake Formation.

La solicitud de un solicitante debe pasar por dos "puertas" para llegar a los recursos: permisos de Lake Formation y permisos de IAM.

Los permisos de Lake Formation controlan el acceso a los recursos del Catálogo de datos, a las ubicaciones de Amazon S3 y a los datos subyacentes en dichas ubicaciones. Los permisos de IAM controlan el acceso a la Lake Formation y a los recursos y las API de AWS Glue. Así, aunque tenga el permiso Lake Formation para crear una tabla de metadatos en el Catálogo de datos (CREATE_TABLE), su operación fallará si no tiene el permiso IAM en la API glue:CreateTable. (¿Por qué un permiso glue:? porque Lake Formation usa el Catálogo de datos AWS Glue).

nota

Los permisos de Lake Formation se aplican solo en la Región en la que fueron concedidos.

AWS Lake Formation requiere que cada director (usuario o rol) esté autorizado a realizar acciones en los recursos gestionados por la Formación de Lagos. El administrador del lago de datos u otra entidad principal con permisos para conceder permisos de Lake Formation concede a la entidad principal las autorizaciones necesarias.

Cuando concede un permiso de Lake Formation a una entidad principal, puede conceder de forma opcional la capacidad de pasar ese permiso a otra entidad principal.

Puede usar la API de Lake Formation, la AWS Command Line Interface (AWS CLI) o las páginas de permisos de datos y ubicaciones de datos de la consola de Lake Formation para conceder y revocar los permisos de Lake Formation.