Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración AWS Lake Formation con IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) es un servicio administrado que simplifica la creación y administración de lagos de datos en AWS. Automatiza la recopilación, la catalogación y la seguridad de los datos, y proporciona un repositorio centralizado para almacenar y analizar diversos tipos de datos. Lake Formation ofrece controles de acceso detallados y se integra con varios servicios de AWS análisis, lo que permite a las organizaciones configurar, proteger y obtener información de manera eficiente de sus lagos de datos.
Siga estos pasos para permitir que Lake Formation conceda permisos de datos en función de la identidad del usuario mediante IAM Identity Center y la propagación de identidades de confianza.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
+ [Habilite el IAM Identity Center](enable-identity-center.md). Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
## Pasos para configurar la propagación de identidades de confianza
1. **Integre IAM Identity Center con AWS Lake Formation** siguiendo las instrucciones de [Conexión de Lake Formation con IAM Identity Center](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html).
**importante**
**Si no tiene tablas de AWS Glue Data Catalog **, debe crearlas para poder utilizar AWS Lake Formation a fin de conceder acceso a los usuarios y grupos de IAM Identity Center. Consulte [Creación de objetos en AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) para obtener más información.
1. **Registre las ubicaciones de los lagos de datos**.
[Registre las ubicaciones de S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) donde se almacenan los datos de las tablas de Glue. De este modo, Lake Formation proporcionará acceso temporal a las ubicaciones de S3 requeridas cuando se consulten las tablas, lo que eliminará la necesidad de incluir permisos de S3 en la función de servicio (por ejemplo, la función de servicio de Athena configurada en WorkGroup).
1. Diríjase a las **ubicaciones de los lagos de datos** en la sección **Administración** del panel de navegación de la AWS Lake Formation consola. Seleccione **Registrar ubicación.**
Esto permitirá a Lake Formation proporcionar credenciales de IAM temporales con los permisos necesarios para acceder a las ubicaciones de datos de S3.
![\[Paso 1 Registre la ubicación del lago de datos en la consola de Lake Formation.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Introduzca la ruta de S3 de las ubicaciones de los datos de las tablas de AWS Glue en el campo **Ruta de Amazon S3**.
1. En la sección **Roles de IAM**, no seleccione el rol vinculado al servicio si quiere utilizarlo con una propagación de identidades de confianza. Cree un rol con los siguientes permisos:
Para usar estas políticas, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). La política de permisos debe permitir el acceso a la ubicación de S3 especificada en la ruta:
1. **Política de permisos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relación de confianza**: debe incluir `sts:SectContext`, lo cual es obligatorio para la propagación de identidades de confianza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**nota**
El rol de IAM creado por el asistente es un rol vinculado a un servicio y no incluye `sts:SetContext`.
1. Tras crear el rol de IAM, seleccione **Registrar ubicación.**
## Propagación de identidad confiable con Lake Formation across Cuentas de AWS
AWS Lake Formation admite el uso de [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) para compartir tablas Cuentas de AWS y funciona con la propagación de identidades confiable cuando la cuenta del otorgante y la cuenta del concesionario están en la misma Región de AWS, en la misma instancia de la organización y comparten la misma AWS Organizations instancia organizativa del IAM Identity Center. Para obtener más información, consulte [Cross-account data sharing in Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html).