Conceder permisos en una base de datos o tabla compartida con su cuenta
Después de que un recurso del Catálogo de datos perteneciente a otra cuenta AWS se comparta con su cuenta AWS, como administrador del lago de datos, puede conceder permisos sobre el recurso compartido a otras entidades principales de su cuenta. Sin embargo, no puede conceder permisos sobre el recurso a otras cuentas AWS u organizaciones.
Puede usar la consola de AWS Lake Formation, la API o AWS Command Line Interface (AWS CLI) para conceder los permisos.
Para conceder permisos en una base de datos compartida (denominado método de recurso, consola)
-
Siga las instrucciones en Concesión de permisos de base de datos mediante el método de recurso con nombre. En la lista Bases de datos, bajo Etiquetas LF o recursos del catálogo, asegúrese de seleccionar la base de datos en la cuenta externa y no un enlace a un recurso para la base de datos.
Si no ve la base de datos en la lista, asegúrese de haber aceptado la invitación de la base de datos para compartir del recurso AWS Resource Access Manager (AWS RAM). Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.
Además, para los permisos
CREATE_TABLEyALTER, siga las instrucciones de Concesión de permisos de localización de datos (misma cuenta) y asegúrese de introducir el ID de la cuenta propietaria en el campo Ubicación de la cuenta registrada.
Para conceder permisos en una tabla compartida (método de recurso con nombre, consola)
-
Siga las instrucciones en Concesión de permisos de tabla mediante el método de recursos con nombre. En la lista Bases de datos, bajo Etiquetas LF o recursos del catálogo, asegúrese de seleccionar la base de datos en la cuenta externa y no un enlace a un recurso para la base de datos.
Si no ve la tabla en la lista de tablas, compruebe que ha aceptado la invitación para compartir el recurso AWS RAM para la tabla. Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.
Asimismo, para el permiso de
ALTER, siga las instrucciones de Concesión de permisos de localización de datos (misma cuenta) y asegúrese de introducir el ID de la cuenta propietaria en el campo Ubicación de la cuenta registrada.
Para conceder permisos sobre recursos compartidos (método LF-TBAC, consola)
-
Siga las instrucciones en Concesión de permisos del catálogo de datos . En la sección LF-Tags o recursos del catálogo, conceda la expresión LF-Tag exacta que la cuenta externa concedió a su cuenta, o un subconjunto de esa expresión.
Por ejemplo, si una cuenta externa otorgó la expresión LF-tag
module=customers AND environment=productiona su cuenta con la opción de concesión, como administrador de un lago de datos, puede conceder esa misma expresión,module=customersoenvironment=productiona una entidad principal de su cuenta. Puede conceder solo los mismos permisos o un subconjunto de los permisos de Lake Formation (por ejemplo,SELECT,ALTER, etc.) que se concedieron sobre los recursos mediante la expresión LF-Tag.
Para conceder permisos en una tabla compartida (método de recurso con nombre, AWS CLI)
-
Introduzca un comando similar al siguiente. En este ejemplo:
-
El ID de su cuenta AWS es 1111-2222-3333.
-
La cuenta propietaria de la tabla y que ha concedido el permiso a su cuenta es 1234-5678-9012.
-
El permiso
SELECTse concede al usuariodatalake_user1en la tabla compartidapageviews. Ese usuario es la entidad principal de su cuenta. -
La tabla
pageviewsse encuentra en la base de datosanalytics, perteneciente a la cuenta 1234-5678-9012.
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'Tenga en cuenta que la cuenta propietaria debe especificarse en la propiedad
CatalogIddel argumentoresource. -
