Gestión de etiquetas LF para el control de acceso a los metadatos - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de etiquetas LF para el control de acceso a los metadatos

Para utilizar el método de control de acceso basado en etiquetas (LF-TBAC) de Lake Formation para proteger los recursos del catálogo de datos (bases de datos, tablas y columnas), debe crear etiquetas LF, asignarlas a los recursos y conceder permisos de etiquetas LF a los directores.

Antes de poder asignar etiquetas LF a los recursos del Catálogo de datos o conceder permisos a las entidades principales, debe definir las etiquetas LF. Solo un administrador del lago de datos o una entidad principal con permisos de creación de etiquetas LF pueden crear etiquetas LF.

Creadores de etiquetas LF

El creador de etiquetas LF es una entidad principal no administradora que tiene permisos para crear y administrar etiquetas LF. Los administradores de lagos de datos pueden añadir creadores de etiquetas LF mediante la consola Lake Formation o. CLI Los creadores de etiquetas LF tienen permisos implícitos de Lake Formation para actualizar y eliminar etiquetas LF, asignar etiquetas LF a recursos y conceder permisos de etiquetas LF y permisos de valores de etiquetas LF a otras entidades principales.

Con los roles de creador de etiquetas LF, los administradores de lagos de datos pueden delegar tareas de administración de etiquetas, como la creación y actualización de claves y valores de etiquetas, a entidades principales que no sean administradoras. Los administradores de los lagos de datos también pueden conceder permisos Create LF-Tag a los creadores de etiquetas LF. Luego, el creador de las etiquetas LF puede conceder el permiso para crear etiquetas LF a otras entidades principales.

Puede conceder dos tipos de permisos a las etiquetas LF:

  • Permisos de etiqueta LF: Create LF-Tag, Alter y Drop. Estos permisos son necesarios para crear, actualizar y eliminar LF-tags.

    Los administradores de los lagos de datos y los creadores de etiquetas LF tienen implícitamente estos permisos en las etiquetas LF que crean y pueden concederlos de forma explícita a las entidades principales para que gestionen las etiquetas del lago de datos.

  • Permisos de par clave-valor de etiqueta LF: Assign, Describe y Grant with LF-Tag expressions. Estos permisos son necesarios para asignar etiquetas LF a las bases de datos, tablas y columnas del Catálogo de datos, y para conceder permisos sobre los recursos a las entidades principales mediante el control de acceso basado en etiquetas de Lake Formation. Los creadores de etiquetas LF reciben implícitamente estos permisos al crear etiquetas LF.

Tras recibir el permiso Create LF-Tag y crear correctamente las etiquetas LF, el creador de las etiquetas LF puede asignarlas a recursos y conceder permisos (Create LF-Tag, Alter y Drop) a otras entidades principales no administrativas para que gestionen las etiquetas en el lago de datos. Puede administrar las etiquetas LF mediante la consola Lake FormationAPI, o AWS Command Line Interface ()AWS CLI.

nota

Los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF, asignar etiquetas LF a los recursos y conceder permisos de etiquetas LF a las entidades principales.

Para conocer las prácticas recomendadas y consideraciones, consulte Prácticas recomendadas y consideraciones sobre el control de acceso basado en etiquetas de Lake Formation

Ciclo de vida de una etiqueta LF

  1. Michael, el creador de la etiqueta LF, crea una etiqueta LF module=Customers.

  2. A continuación, concede la etiqueta LF Associate al ingeniero de datos Eduardo. Al conceder Associate está otorgando Describe de manera implícita.

  3. Michael concede Super sobre la tabla Custs a Eduardo con la opción de concesión, para que Eduardo pueda asignar etiquetas LF a la tabla. Para obtener más información, consulte Asignación de varias etiquetas LF a recursos del Catálogo de datos.

  4. Eduardo asigna la etiqueta LF module=customers a la tabla Custs.

  5. Michael efectúa la siguiente concesión a la ingeniera de datos Sandra (en pseudocódigo).

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
  6. Sandra hace la concesión siguiente a la analista de datos Maria.

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    Ahora María puede ejecutar consultas en la tabla Custs.

Comparación del control de acceso basado en etiquetas de Lake Formation con el control de acceso basado en IAM atributos

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a IAM los recursos, incluidas IAM las entidades (usuarios o roles) y a AWS los recursos. Puede crear una ABAC política única o un conjunto pequeño de políticas para sus IAM directores. Estas ABAC políticas se pueden diseñar para permitir las operaciones cuando la etiqueta del principal coincide con la etiqueta del recurso. ABACes útil en entornos que crecen rápidamente y ayuda en situaciones en las que la gestión de políticas se vuelve engorrosa.

Los equipos de seguridad y gobierno de la nube utilizan IAM para definir las políticas de acceso y los permisos de seguridad para todos los recursos, incluidos los buckets de Amazon S3, EC2 las instancias de Amazon y cualquier recurso al que pueda hacer referencia con unARN. Las IAM políticas definen permisos amplios (detallados) para los recursos de su lago de datos, por ejemplo, para permitir o denegar el acceso a nivel de bucket o prefijo de Amazon S3 o a nivel de base de datos. Para obtener más información, consulte ¿Para qué IAM ABAC sirve? ABAC AWS en la Guía IAM del usuario.

Por ejemplo, puede crear tres roles con la clave de etiqueta project-access. Establezca el valor de etiqueta del primer rol en Dev, el segundo en Support y el tercero en Marketing. Asigne etiquetas con el valor adecuado a los recursos. A continuación, puede utilizar una única política que permita el acceso cuando el rol y el recurso estén etiquetados con el mismo valor para project-access.

Los equipos de gobierno de datos utilizan Lake Formation para definir permisos específicos para recursos de lagos de datos concretos. Las etiquetas LF se asignan a los recursos del Catálogo de datos (bases de datos, tablas y columnas) y se otorgan a las entidades principales. Una entidad principal con etiquetas LF que coincidan con las etiquetas LF de un recurso puede acceder a ese recurso. Los permisos de Lake Formation son secundarios a IAM los permisos. Por ejemplo, si IAM los permisos no permiten a un usuario acceder a un lago de datos, Lake Formation no concede acceso a ningún recurso de ese lago de datos a ese usuario, incluso si el principal y el recurso tienen etiquetas LF coincidentes.

El control de acceso basado en etiquetas (LF-TBAC) de Lake Formation funciona IAM ABAC para proporcionar niveles adicionales de permisos para sus datos y recursos de Lake Formation.

  • TBACLos permisos de Lake Formation aumentan con la innovación. Ya no es necesario que un administrador actualice las políticas existentes para permitir el acceso a nuevos recursos. Por ejemplo, supongamos que utiliza una IAM ABAC estrategia con la project-access etiqueta para proporcionar acceso a bases de datos específicas de Lake Formation. Al usar LF-TBAC, la etiqueta LF Project=SuperApp se asigna a tablas o columnas específicas, y la misma etiqueta LF se otorga a un desarrollador para ese proyecto. De este IAM modo, el desarrollador puede acceder a la base de datos, y TBAC los permisos LF- permiten al desarrollador acceder aún más a tablas o columnas específicas dentro de las tablas. Si se agrega una tabla nueva al proyecto, el administrador de Lake Formation solo necesita asignar la etiqueta a la nueva tabla para que el desarrollador tenga acceso a la tabla.

  • Lake Formation TBAC requiere menos IAM políticas. Como utiliza IAM políticas para conceder un acceso de alto nivel a los recursos de Lake Formation y Lake Formation TBAC para gestionar un acceso más preciso a los datos, crea menos IAM políticas.

  • Con Lake FormationTBAC, los equipos pueden cambiar y crecer rápidamente. Esto se debe a que los permisos para nuevos recursos se conceden automáticamente de acuerdo con los atributos. Por ejemplo, si un nuevo desarrollador se une al proyecto, es fácil concederle acceso asociando el IAM rol al usuario y, a continuación, asignándole las etiquetas LF necesarias. No es necesario cambiar la IAM política para respaldar un nuevo proyecto o crear nuevas etiquetas LF.

  • Se pueden obtener permisos más detallados utilizando Lake Formation. TBAC IAMlas políticas otorgan acceso a los recursos de nivel superior, como las bases de datos o las tablas del catálogo de datos. Con Lake Formation TBAC, puede conceder acceso a tablas o columnas específicas que contienen valores de datos específicos.

nota

IAMlas etiquetas no son lo mismo que las etiquetas LF. Estas etiquetas no son intercambiables. Las etiquetas LF se utilizan para conceder permisos a Lake Formation y las IAM etiquetas se utilizan para definir IAM políticas.