Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation - AWS Lake Formation
Destinatarios previstosRequisitos previosPaso 1: Aprovisionar recursosPaso 2: Registre la ubicación de sus datos, cree una ontología de etiquetas LF y conceda permisosPaso 3: Crear bases de datos de Lake FormationPaso 4: Conceder permisos de tablaPaso 5: Ejecutar una consulta en Amazon Athena para verificar los permisosPaso 6: Limpiar AWS los recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de un lago de datos mediante el control de acceso basado en etiquetas de Lake Formation

Miles de clientes están creando lagos de datos a escala de petabytes. AWS Muchos de estos clientes los utilizan AWS Lake Formation para crear y compartir fácilmente sus lagos de datos en toda la organización. A medida que aumenta el número de tablas y usuarios, los responsables y administradores de datos buscan formas de gestionar fácilmente los permisos en los lagos de datos a escala. El control de acceso basado en etiquetas (LF-TBAC) de Lake Formation resuelve este problema al permitir que los administradores de datos creen etiquetas LF (en función de su clasificación y ontología de datos) que luego se pueden adjuntar a los recursos.

La LF- TBAC es una estrategia de autorización que define los permisos en función de los atributos. En Lake Formation, estos atributos se denominan etiquetas LF. Puede adjuntar etiquetas LF a los recursos del Catálogo de datos y a las entidades principales de Lake Formation. Los administradores de lagos de datos pueden asignar y revocar permisos en los recursos de Lake Formation mediante etiquetas LF. Para obtener más información, consulte Control de acceso basado en etiquetas de Lake Formation.

Este tutorial muestra cómo crear una política de control de acceso basada en etiquetas de Lake Formation utilizando un conjunto de datos AWS público. Además, muestra cómo consultar tablas, bases de datos y columnas que tienen asociadas políticas de acceso basadas en etiquetas de Lake Formation.

Puede usar LF- TBAC para los siguientes casos de uso:

  • Tiene un gran número de tablas y entidades principales a los que el administrador del lago de datos debe conceder acceso

  • Desea clasificar sus datos en función de una ontología y conceder permisos en función de la clasificación

  • El administrador del lago de datos desea asignar los permisos de forma dinámica, con acoplamiento flexible

Los siguientes son los pasos generales para configurar los permisos mediante LF-TBAC:

  1. El administrador de datos define la ontología de las etiquetas con dos etiquetas LF: Confidential y Sensitive. Los datos Confidential=True tienen controles de acceso más estrictos. Los datos Sensitive=True requieren un análisis específico por parte del analista.

  2. El administrador de datos asigna diferentes niveles de permisos al ingeniero de datos para crear tablas con diferentes etiquetas LF.

  3. El ingeniero de datos crea dos bases de datos: tag_database y col_tag_database. Todas las tablas tag_database están configuradas con Confidential=True. Todas las tablas de col_tag_database están configuradas con Confidential=False. Algunas columnas de la tabla en col_tag_database tienen etiquetas Sensitive=True para necesidades de análisis específicas.

  4. El ingeniero de datos concede permiso de lectura al analista para las tablas con una condición de expresión específica Confidential=True y Confidential=False, Sensitive=True.

  5. Con esta configuración, el analista de datos puede centrarse en hacer el análisis con los datos correctos.

Destinatarios previstos

Este tutorial está dirigido a administradores de datos, ingenieros de datos y analistas de datos. Cuando se trata de gestionar AWS Glue Data Catalog y administrar los permisos en Lake Formation, los administradores de datos de las cuentas productoras tienen una propiedad funcional en función de las funciones que respaldan y pueden conceder acceso a varios consumidores, organizaciones externas y cuentas.

La tabla siguiente enumera los roles que se utilizan en este tutorial:

Rol Descripción
Administrador de datos El usuario lf-data-steward tiene el acceso siguiente:

  • Acceso de lectura a todos los recursos en el Catálogo de datos

  • Puede crear etiquetas LF y asociarlas al rol de ingeniero de datos para conceder permisos a otras entidades principales
Ingeniero de datos

El usuario lf-data-engineer tiene el acceso siguiente:

  • Acceso completo de lectura, escritura y actualización a todos los recursos del Catálogo de datos

  • Permisos de localización de datos en el lago de datos

  • Puede asociar etiquetas LF y vincularlas al Catálogo de datos

  • Puede adjuntar etiquetas LF a los recursos, lo que proporciona acceso a las entidades principales de acuerdo con cualquier política creada por los administradores de datos
Analista de datos El usuario lf-data-analyst tiene el siguiente acceso:

  • Acceso específico a los recursos compartidos por las políticas de acceso basadas en etiquetas de Lake Formation

Requisitos previos

Antes de comenzar este tutorial, debe tener una Cuenta de AWS que pueda usar para iniciar sesión como usuario administrativo con los permisos correctos. Para obtener más información, consulte Complete las tareas AWS de configuración iniciales.

En el tutorial se da por sentado que ya está familiarizadoIAM. Para obtener información al respectoIAM, consulte la Guía IAM del usuario.

Paso 1: Aprovisionar recursos

Este tutorial incluye una AWS CloudFormation plantilla para una configuración rápida. Puede revisarla y personalizarla para adaptarla a sus necesidades. La plantilla crea tres funciones diferentes (enumeradas enDestinatarios previstos) para realizar este ejercicio y copia el nyc-taxi-data conjunto de datos en su bucket local de Amazon S3.

  • Un bucket de Amazon S3.

  • Los escenarios apropiados de Lake Formation

  • Los EC2 recursos de Amazon adecuados

  • Tres IAM funciones con credenciales

Crear recursos

  1. Inicie sesión en la AWS CloudFormation consola en https://console.aws.amazon.com/cloudformation en la región EE.UU. Este (Norte de Virginia).

  2. Seleccione Lanzar pila.

  3. Elija Next (Siguiente).

  4. En la sección Configuración de usuario, introduzca la contraseña para tres roles: DataStewardUserPassword, DataEngineerUserPassword y DataAnalystUserPassword.

  5. Revisa los detalles en la última página y selecciona Sé que AWS CloudFormation podría crear IAM recursos.

  6. Seleccione Crear.

    La creación de la pila puede tardar hasta cinco minutos.

nota

Después de completar el tutorial, es posible que desee eliminar la pila AWS CloudFormation para evitar seguir incurriendo en cargos. Compruebe que los recursos se hayan eliminado correctamente en el estado de evento de la pila.

Paso 2: Registre la ubicación de sus datos, cree una ontología de etiquetas LF y conceda permisos

En este paso, el usuario administrador de datos define la ontología de etiquetas con dos etiquetas LF Confidential y da a los IAM directores específicos la posibilidad de Sensitive adjuntar etiquetas L recién creadas a los recursos.

Registre una ubicación de datos y defina la ontología de etiquetas LF

  1. Siga el primer paso como usuario administrador de datos (lf-data-steward) para verificar los datos en Amazon S3 y el Catálogo de datos en Lake Formation.

    1. Inicie sesión en la consola de Lake Formation lf-data-steward con la contraseña utilizada al implementar la AWS CloudFormation pila. https://console.aws.amazon.com/lakeformation/

    2. En el panel de navegación, en Permisos, elija Roles y tareas administrativas.

    3. Elija Agregar en la sección de administradores de Data Lake.

    4. En la página Agregar administrador, para IAMlos usuarios y roles, elija el usuariolf-data-steward.

    5. Seleccione Guardar para añadir lf-data-steward como administrador de Lake Formation.

  2. A continuación, actualice la configuración del catálogo de datos para usar el permiso de Lake Formation para controlar los recursos del catálogo en lugar del control de acceso IAM basado.

    1. En el panel de navegación, Administración, seleccione Configuración del Catálogo de datos.

    2. Desactive Usar solo el control de IAM acceso para bases de datos nuevas.

    3. Desactive Usar solo el control de IAM acceso para las tablas nuevas de las bases de datos nuevas.

    4. Haga clic en Guardar.

  3. A continuación, registre la ubicación de los datos para el lago de datos.

    1. En el panel de navegación, bajo Administración, seleccione Ubicaciones de los lagos de datos.

    2. Seleccione Registrar ubicación.

    3. En la página Registrar ubicación, para la ruta de Amazon S3, introduzcas3://lf-tagbased-demo-Account-ID.

    4. Para el IAMrol, deje el valor predeterminado AWSServiceRoleForLakeFormationDataAccess tal como está.

    5. Elija Lake Formation como modo de permiso.

    6. Elija Registrar ubicación.

  4. A continuación, cree la ontología definiendo una etiqueta LF.

    1. En Permisos, en el panel de navegación, elija etiquetas L y permisos. .

    2. Seleccione Añadir etiqueta LF.

    3. En Clave, escriba Confidential.

    4. En Valores, añada True y False.

    5. Elija Añadir etiquetas LF.

    6. Repita los pasos para crear la etiqueta LF Sensitive con el valor. True

    Ha creado todas las etiquetas L necesarias para este ejercicio.

Conceda permisos a los usuarios IAM

  1. A continuación, dé a IAM los directores específicos la posibilidad de adjuntar etiquetas L recién creadas a los recursos.

    1. En Permisos, en el panel de navegación, selecciona etiquetas L y permisos.

    2. En la sección de permisos con etiquetas LF, selecciona Otorgar permisos.

    3. En el tipo de permiso, selecciona permisos de par clave-valor con etiqueta LF.

    4. Seleccione IAM los usuarios y los roles.

    5. Para IAMlos usuarios y los roles, busque y elija el lf-data-engineer rol.

    6. En la sección de etiquetas LF, añada la clave Confidential con valores True y y False la clave key Sensitive con valor. True

    7. En Permisos, selecciona Describir y asociar para ver los permisos y los permisos concedibles.

    8. Elija Conceder.

  2. A continuación, conceda permisos lf-data-engineer para crear bases de datos en nuestro catálogo de datos y en el bucket de Amazon S3 subyacente creado por AWS CloudFormation.

    1. En Administración, en el panel de navegación, selecciona Funciones y tareas administrativas.

    2. En la sección Creadores de bases de datos, elija Conceder.

    3. Para IAMlos usuarios y los roles, elija el lf-data-engineer rol.

    4. En Permisos del catálogo, seleccione Crear base de datos.

    5. Elija Conceder.

  3. A continuación, conceda permisos en el bucket (s3://lf-tagbased-demo-Account-ID) de Amazon S3 al usuario lf-data-engineer.

    1. En el panel de navegación, bajo Permisos, seleccione Ubicaciones de datos.

    2. Elija Conceder.

    3. Seleccione Mi cuenta.

    4. Para IAMlos usuarios y los roles, elija el lf-data-engineer rol.

    5. Para las ubicaciones de almacenamiento, introduzca el depósito de Amazon S3 creado por la AWS CloudFormation plantilla(s3://lf-tagbased-demo-Account-ID).

    6. Elija Conceder.

  4. A continuación, conceda permisos lf-data-engineer concedibles sobre los recursos asociados a la expresión de etiqueta LF. Confidential=True

    1. En el panel de navegación, en Permisos, seleccione Permisos de lago de datos.

    2. Elija Conceder.

    3. Seleccione IAM los usuarios y los roles.

    4. Elija el rol lf-data-engineer.

    5. En la sección de etiquetas LF o recursos del catálogo, seleccione Recursos que coincidan con etiquetas LF.

    6. Selecciona Añadir par clave-valor de etiqueta LF.

    7. Añada la clave Confidential con los valores True.

    8. En la sección Permisos de base de datos, seleccione Describir en Permisos de bases de datos y Permisos concedibles.

    9. En la sección Permisos de tabla, selecciona Describir, Seleccionar y Modificar tanto para los permisos de tabla como para los permisos concedibles.

    10. Elija Conceder.

  5. A continuación, conceda permisos lf-data-engineer concedibles sobre los recursos asociados a la expresión de etiqueta LF. Confidential=False

    1. En el panel de navegación, en Permisos, seleccione Permisos de lago de datos.

    2. Elija Conceder.

    3. Seleccione IAM los usuarios y los roles.

    4. Elija el rol lf-data-engineer.

    5. Seleccione Recursos que coincidan con las etiquetas LF.

    6. Elija Añadir etiquetas LF.

    7. Añada la clave Confidential con los valores False.

    8. En la sección Permisos de base de datos, seleccione Describir en Permisos de bases de datos y Permisos concedibles.

    9. En la sección Permisos de tabla y columna, no selecciones nada.

    10. Elija Conceder.

  6. A continuación, concedemos permisos lf-data-engineer concedibles sobre los recursos asociados a los pares clave-valor de la etiqueta LF y. Confidential=False Sensitive=True

    1. En el panel de navegación, en Permisos, seleccione Permisos de datos.

    2. Elija Conceder.

    3. Seleccione los usuarios y los roles. IAM

    4. Elija el rol lf-data-engineer.

    5. En la sección Etiquetas LF o recursos del catálogo, selecciona Recursos que coincidan con las etiquetas LF.

    6. Seleccione Añadir etiqueta LF.

    7. Añada la clave Confidential con los valores False.

    8. Selecciona Añadir par clave-valor de etiqueta LF.

    9. Añada la clave Sensitive con los valores True.

    10. En la sección Permisos de base de datos, seleccione Describir en Permisos de bases de datos y Permisos concedibles.

    11. En la sección Permisos de tabla, selecciona Describir, Seleccionar y Modificar tanto para los permisos de tabla como para los permisos concedibles.

    12. Elija Conceder.

Paso 3: Crear bases de datos de Lake Formation

En este paso, creará dos bases de datos y adjuntará etiquetas LF a las bases de datos y columnas específicas con fines de prueba.

Cree sus bases de datos y su tabla para el acceso a nivel de base de datos

  1. En primer lugar, cree la base de datostag_database, la tabla source_data y adjunte las etiquetas LF adecuadas.

    1. En la consola de Lake Formation (https://console.aws.amazon.com/lakeformation/), en Catálogo de datos, elija Bases de datos.

    2. Elija Crear base de datos.

    3. En Nombre, ingrese tag_database.

    4. En Ubicación, introduzca la ubicación de Amazon S3 creada por la AWS CloudFormation plantilla(s3://lf-tagbased-demo-Account-ID/tag_database/).

    5. Deseleccione Usar solo el control de IAM acceso para las tablas nuevas de esta base de datos.

    6. Elija Crear base de datos.

  2. A continuación, cree una nueva tabla dentro de tag_database.

    1. En la página Bases de datos, seleccione la base de datos tag_database.

    2. Seleccione Ver tablas y haga clic en Crear tabla.

    3. En Nombre, escriba source_data.

    4. En Base de datos elija la base de datos tag_database.

    5. En Formato de tabla, elija AWS Glue Tabla estándar.

    6. En Los datos se encuentran en, elija Ruta especificada en otra cuenta.

    7. En Incluir ruta, introduzca la ruta que tag_database ha creado la AWS CloudFormation plantilla(s3://lf-tagbased-demoAccount-ID/tag_database/).

    8. En Formato de datos, seleccione CSV.

    9. En Esquema de carga, introduzca la siguiente JSON matriz de estructura de columnas para crear un esquema:

       [
               {
                    "Name": "vendorid",
                    "Type": "string"
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"  
              
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"                                
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"                   
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"                   
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"                    
                    
               }
 ]

    10. Seleccione Cargar. Tras cargar el esquema, el esquema de la tabla será similar a la siguiente captura de pantalla:

      Table schema with 18 columns showing column names and data types, all set to string.

    11. Elija Enviar.

  3. A continuación, adjunte etiquetas LF a nivel de base de datos.

    1. En la página Bases de datos, busque y seleccione tag_database.

    2. En el menú Acciones, seleccione Editar etiquetas LF.

    3. Seleccione Asignar una nueva etiqueta LF.

    4. En Llaves asignadas, elige la Confidential etiqueta LF que creaste anteriormente.

    5. En Valores, elija True.

    6. Seleccione Guardar.

    Esto completa la asignación de la etiqueta LF a la base de datos tag_database.

Cree su base de datos y su tabla para el acceso a nivel de base de datos

Repita los pasos siguientes para crear la base de datos y la tablasource_data_col_lvl, col_tag_database y adjunte las etiquetas LF a nivel de columna.

  1. En la página Bases de datos, seleccione Crear base de datos.

  2. En Nombre, escriba col_tag_database.

  3. En Ubicación, introduzca la ubicación de Amazon S3 creada por la AWS CloudFormation plantilla(s3://lf-tagbased-demo-Account-ID/col_tag_database/).

  4. Deseleccione Usar solo el control de IAM acceso para las tablas nuevas de esta base de datos.

  5. Elija Crear base de datos.

  6. En la página Bases de datos, seleccione la nueva base de datos (col_tag_database).

  7. Seleccione Ver tablas y haga clic en Crear tabla.

  8. En Nombre, escriba source_data_col_lvl.

  9. En Base de datos, elija su nueva base de datos (col_tag_database).

  10. En Formato de tabla, elija AWS Glue Tabla estándar.

  11. En Los datos se encuentran en, elija Ruta especificada en otra cuenta.

  12. Introduzca la ruta de Amazon S3 para col_tag_database (s3://lf-tagbased-demo-Account-ID/col_tag_database/).

  13. En Formato de datos, seleccione CSV.

  14. EnUpload schema, introduzca el siguiente esquemaJSON: 

    [
               {
                    "Name": "vendorid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_pickup_datetime",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "lpep_dropoff_datetime",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "store_and_fwd_flag",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "ratecodeid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "pulocationid",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "dolocationid",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "passenger_count",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "trip_distance",
                    "Type": "string"
                    
                    
               }, 
                  {
                    "Name": "fare_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "extra",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "mta_tax",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "tip_amount",
                    "Type": "string"
                    
                    
               },
                  {
                    "Name": "tolls_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "ehail_fee",
                    "Type": "string"
                    
                    
               }, 
               {
                    "Name": "improvement_surcharge",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "total_amount",
                    "Type": "string"
                    
                    
               },
               {
                    "Name": "payment_type",
                    "Type": "string"
                    
                    
               }
]

  15. Elija Upload. Tras cargar el esquema, el esquema de la tabla será similar a la siguiente captura de pantalla:

    Table schema with 18 columns showing column names and data types, all set to string.

  16. Seleccione Enviar para completar la creación de la tabla.

  17. Ahora, asocie la Sensitive=True etiqueta LF a las columnas vendorid y. fare_amount

    1. En la página Tablas, seleccione la tabla que ha creado (source_data_col_lvl).

    2. En el menú Acciones, selecciona Esquema.

    3. Seleccione la columna vendorid y elija Editar etiquetas LF.

    4. En Teclas asignadas, seleccione Sensible.

    5. En Valores, elija Verdadero.

    6. Seleccione Guardar.

  18. A continuación, asocie la etiqueta Confidential=False LF a. col_tag_database Esto es necesario lf-data-analyst para poder describir la base de datos col_tag_database cuando se inicia sesión desde. Amazon Athena

    1. En la página Bases de datos, busque y seleccione col_tag_database.

    2. En el menú Acciones, seleccione Editar etiquetas LF.

    3. Seleccione Asignar una nueva etiqueta LF.

    4. En Llaves asignadas, elige la Confidential etiqueta LF que creaste anteriormente.

    5. En Valores, elija False.

    6. Seleccione Guardar.

Paso 4: Conceder permisos de tabla

Conceda permisos a los analistas de datos para el uso de las bases de datos tag_database y la tabla col_tag_database utilizando etiquetas LF Confidential y Sensitive.

  1. Siga estos pasos para conceder permisos al lf-data-analyst usuario sobre los objetos asociados a la etiqueta LF Confidential=True (Database:TAG_Database) para tener la base de datos y permisos sobre las tablas. Describe Select

    1. Inicie sesión en la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. En Permisos, selecciona Permisos de Data Lake.

    3. Elija Conceder.

    4. En Directores, selecciona IAMusuarios y roles.

    5. Para IAMlos usuarios y los roles, elijalf-data-analyst.

    6. En Etiquetas LF o recursos del catálogo, selecciona Recursos que coincidan con etiquetas LF.

    7. Elija Añadir etiquetas LF.

    8. En Clave, elija Confidential.

    9. En Valores, elija True.

    10. En Permisos de base de datos, seleccione Describe.

    11. En Permisos de tabla, elija Seleccionar y Describir.

    12. Elija Conceder.

  2. A continuación, repita los pasos para conceder permisos a los analistas de datos para la expresión de etiquetas LF. Confidential=False Esta Etiqueta LF se utiliza para describir la tabla col_tag_database y la tabla source_data_col_lvl cuando se inicia sesión como lf-data-analyst desde Amazon Athena.

    1. Inicie sesión en la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. En la página Bases de datos, seleccione la base de datos col_tag_database.

    3. Elija Acciones y Conceder.

    4. En Directores, seleccione IAMusuarios y roles.

    5. Para IAMlos usuarios y los roles, elijalf-data-analyst.

    6. Seleccione los recursos que coincidan con las etiquetas LF.

    7. Seleccione Añadir etiqueta LF.

    8. En Clave, elija Confidential.

    9. En Valores, elija False.

    10. En Permisos de base de datos, seleccione Describe.

    11. En Permisos de tabla, no seleccione nada.

    12. Elija Conceder.

  3. A continuación, repita los pasos para conceder permisos a los analistas de datos para la expresión de etiquetas LF para y. Confidential=False Sensitive=True Esta Etiqueta LF se utiliza para describir la tabla col_tag_database y la tabla source_data_col_lvl (nivel de columna) cuando se inicia sesión como lf-data-analyst desde Amazon Athena.

    1. Inicie sesión en la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/aslf-data-engineer.

    2. En la página Bases de datos, seleccione la base de datos col_tag_database.

    3. Elija Acciones y Conceder.

    4. En Directores, selecciona IAMusuarios y roles.

    5. Para IAMlos usuarios y los roles, elijalf-data-analyst.

    6. Seleccione los recursos que coincidan con las etiquetas LF.

    7. Elija Añadir etiquetas LF.

    8. En Clave, elija Confidential.

    9. En Valores, elija False.

    10. Elija Añadir etiquetas LF.

    11. En Clave, elija Sensitive.

    12. En Valores, elija True.

    13. En Permisos de base de datos, seleccione Describe.

    14. En Permisos de tabla, seleccione Select y Describe.

    15. Elija Conceder.

Paso 5: Ejecutar una consulta en Amazon Athena para verificar los permisos

En este paso, utilice Amazon Athena para ejecutar consultas SELECT en las dos tablas (source_data and source_data_col_lvl). Utilice la ruta de Amazon S3 como ubicación de los resultados de la consulta (s3://lf-tagbased-demo-Account-ID/athena-results/).

  1. Inicie sesión en la consola de Athena en https://console.aws.amazon.com/athena/as. lf-data-analyst

  2. En el editor de consultas de Athena, selecciona tag_database en el panel izquierdo.

  3. Seleccione el icono de opciones de menú adicionales (tres puntos verticales) situado junto a source_data y elija Vista previa de la tabla.

  4. Elija Ejecutar consulta.

    La consulta tardará unos minutos en ejecutarse. La consulta muestra todas las columnas de la salida porque la etiqueta LF está asociada a nivel de base de datos y la tabla source_data heredó automáticamente la LF-tag de la base de datos tag_database.

  5. Ejecute otra consulta con col_tag_database y source_data_col_lvl.

    La segunda consulta devuelve las dos columnas que estaban etiquetadas como Non-Confidential y Sensitive.

  6. También puede comprobar el comportamiento de la política de acceso basada en etiquetas de Lake Formation en las columnas para las que no tiene concesiones de política. Cuando se selecciona una columna sin etiquetar de la tabla source_data_col_lvl, Athena devuelve un error. Por ejemplo, puede ejecutar la siguiente consulta para elegir columnas geolocationid sin etiquetar:

    SELECT geolocationid FROM "col_tag_database"."source_data_col_lvl" limit 10;

Paso 6: Limpiar AWS los recursos

Para evitar que se le cobren cargos no deseados Cuenta de AWS, puede eliminar los AWS recursos que utilizó para este tutorial.

  1. Inicie sesión en la consola de Lake Formation como lf-data-engineer y borre las bases de datos tag_database y col_tag_database.

  2. Luego, inicie sesión como lf-data-steward y borre todos los Permisos de etiqueta L, los Permisos de datos y los Permisos de ubicación de datos concedidos antes lf-data-engineer y lf-data-analyst..

  3. Inicie sesión en la consola de Amazon S3 como propietario de la cuenta con las IAM credenciales que utilizó para implementar la AWS CloudFormation pila.

  4. Elimine los buckets siguientes:

    • lf-tagbased-demo-accesslogs-acct-id

    • lf-tagbased-demo-acct-id

  5. Inicie sesión en AWS CloudFormation la consola en https://console.aws.amazon.com/cloudformation y elimine la pila que creó. Espera a que el estado de la pila cambie a. DELETE_COMPLETE