Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilite la integración de Lake Formation con S3 Tables con Data Catalog
<a name="change-access-iam-to-lf"></a>

En esta sección se describe el flujo de trabajo para migrar el control de acceso de los privilegios de IAM a IAM con AWS Lake Formation concesiones para las tablas de Amazon S3 integradas en. AWS Glue Data Catalog

**importante**  
Al habilitar el control de AWS Lake Formation acceso, se revocarán todos los accesos existentes basados en IAM a sus recursos de S3 Tables. Tras completar el paso 1, los usuarios y roles que anteriormente accedían a los datos mediante permisos de IAM perderán el acceso de forma inmediata. Debe conceder los permisos de Lake Formation en el paso 2 para que los usuarios puedan volver a consultar los datos. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.

## Requisitos previos
<a name="w2aac13c29b7b7"></a>

Para read/write acceder a S3 Tables, además de los permisos de Lake Formation, los directores también necesitan el permiso de `lakeformation:GetDataAccess` IAM. Con este permiso, Lake Formation concede la solicitud de credenciales temporales para acceder a los datos.

## Usando AWS CLI
<a name="w2aac13c29b7b9"></a>

1. **Paso 1: Registrar un depósito en Lake Formation mediante el rol de IAM**

   Registre el recurso S3 Tables en Lake Formation.
**nota**  
Si ya tiene un rol, asegúrese de que el acceso híbrido sea falso.

   ```
   aws lakeformation register-resource \
     --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
     --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
     --with-federation
   ```

1. **Paso 2: Actualizar el AWS Glue catálogo para habilitar el control de acceso a Lake Formation**

   Actualice el catálogo con los valores vacíos `CreateDatabaseDefaultPermissions` y `CreateTableDefaultPermissions` (configurados en`[]`) y `OverwriteChildResourcePermissionsWithDefault` configurados en`Accept`. Esto elimina el acceso basado en IAM de todos los recursos secundarios existentes y permite gestionar el catálogo y sus objetos mediante las subvenciones de Lake Formation.

   ```
   aws glue update-catalog \
     --catalog-id "s3tablescatalog" \
     --catalog-input '{
       "FederatedCatalog": {
           "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
           "ConnectionName": "aws:s3tables"
       },
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "OverwriteChildResourcePermissionsWithDefault": "Accept",
       "AllowFullTableExternalDataAccess": "True"
     }'
   ```

1. **Paso 3: Otorgue permisos de Lake Formation a su equipo de datos**

   Otorgue permisos a Lake Formation a los directores (roles, usuarios o grupos) que necesiten acceso. Por ejemplo, para conceder acceso de lectura a una tabla completa a un rol:

   ```
   aws lakeformation grant-permissions \
     --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
     --resource '{
       "Table": {
           "CatalogId": "AWSAccountID",
           "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
           "TableWildcard": {}
       }
     }' \
     --permissions "SELECT" "DESCRIBE"
   ```

   Repita el procedimiento para cada combinación principal y de recursos según sea necesario.