Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Concesión de permisos de datos mediante el método de recurso con nombre
<a name="granting-cat-perms-named-resource"></a>

El método de recurso con nombre del Catálogo de datos es una forma de conceder permisos a los objetos de AWS Glue Data Catalog , como catálogos, bases de datos, tablas, columnas y vistas, utilizando un enfoque centralizado. Le permite definir políticas basadas en recursos que controlan el acceso a recursos específicos del lago de datos.

Al utilizar el método de recurso con nombre para conceder permisos, puede especificar el tipo de recurso y los permisos que desea conceder o revocar para dicho recurso. También puede revocar el permiso más tarde si es necesario, eliminando así los permisos de los recursos asociados. 

Puede conceder permisos mediante la AWS Lake Formation consola o APIs el AWS Command Line Interface (AWS CLI).

**Topics**
+ [Concesión de permisos de catálogo mediante el método de recurso con nombre](granting-multi-catalog-permissions.md)
+ [Concesión de permisos de base de datos mediante el método de recurso con nombre](granting-database-permissions.md)
+ [Concesión de permisos de tabla mediante el método de recursos con nombre](granting-table-permissions.md)
+ [Concesión de permisos para vistas mediante el método de recursos con nombre](granting-view-permissions.md)

# Concesión de permisos de catálogo mediante el método de recurso con nombre
<a name="granting-multi-catalog-permissions"></a>

Los siguientes pasos explican cómo conceder permisos de catálogo utilizando el método de recurso con nombre.

------
#### [ Console ]

Utilice la página **Conceder permisos** en la consola de Lake Formation. La página está dividida en las secciones siguientes:
+ **Tipo de entidad principal**: puede conceder permisos a entidades principales específicas o utilizar etiquetas de atributos.
  +  **Entidades principales** – Los usuarios de IAM, roles, usuarios y grupos de IAM Identity Center, usuarios y grupos de SAML, cuentas AWS , organizaciones u unidades organizativas para conceder permisos.

    **Principal por atributos**: añada pares clave-valor de etiquetas a partir de IAMroles etiquetas de sesión de IAM. Las entidades principales con atributos coincidentes reciben acceso al recurso especificado. 
  +  **Etiquetas LF o recursos del catálogo**: los catálogos, bases de datos, tablas, vistas o enlaces a recursos para los que se conceden permisos.
  +  **Permisos.** Los permisos de Lake Formation que se conceden.

**nota**  
Para conceder permisos en un enlace a un recurso de base de datos, consulte [Conceder permisos de enlace de recursos](granting-link-permissions.md).

1. Abra la página **Conceder permisos**.

   Abre la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicia sesión como administrador del lago de datos, creador del catálogo o usuario de IAM que tenga permisos de **Grantable** en el catálogo.

   Realice una de las siguientes acciones:
   + En el panel de navegación, en **Permisos**, seleccione **Permisos de datos**. A continuación, seleccione **Conceder**.
   + En el panel de navegación, elija **Catálogos** en **Catálogo de datos**. A continuación, en la página **Catálogos**, elija un catálogo y, en el menú **Acciones**, en **Permisos**, seleccione **Conceder**.
**nota**  
Puede conceder permisos en un catálogo a través de su enlace de recursos. Para ello, en la página **Catálogos**, elija un contenedor de enlace de recursos y, en el menú **Acciones**, **Conceder en el destino**. Para obtener más información, consulte [Cómo funcionan los enlaces de recursos en Lake Formation](resource-links-about.md).

1. A continuación, en la sección **Tipo de entidad principal**, elija las entidades principales o especifique los atributos asociados a las entidades principales.  
![\[La sección de tipo de entidad principal contiene dos mosaicos dispuestos en horizontal, cada uno de ellos con un botón de opción y un texto descriptivo. Las opciones son Entidades principales y Entidades principales por atributos. Debajo del título aparecen las entidades principales.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-catalog-principal-type.png)

****Especifique los directores****  
**Usuarios y roles de IAM**  
Elija uno o varios usuarios o roles en la lista de **usuarios y roles de IAM**.  
**IAM Identity Center**  
Elija uno o varios usuarios o grupos en la lista de **Usuarios y grupos**. Seleccione **Añadir** para añadir más usuarios o grupos.  
**Usuarios y grupos de SAML**  
Para **los usuarios y grupos de SAML y Quick**, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o para los usuarios o grupos de ARNs Amazon Quick. Pulse Intro después de cada ARN.  
Para obtener información sobre cómo construirlo, consulte. ARNs [Lake Formation otorga y revoca órdenes AWS CLI](lf-permissions-reference.md#perm-command-format)  
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.  
**Cuentas externas**  
Para **Cuenta de AWS AWS la organización** o el **director de IAM**, introduzca una o más AWS cuentas IDs, organizaciones IDs IDs, unidades organizativas o ARN válidos para el usuario o rol de IAM. Pulse **Intro** después de cada ID.  
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.  
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.

****Entidades principales por atributos****  
**Atributos**  
Agregue los pares de clave-valor de etiquetas de IAM desde el rol de IAM.   
**Ámbito de los permisos**  
Especifique si va a conceder permisos a las entidades principales con atributos coincidentes en la misma cuenta o en otra cuenta diferente.

1. En la sección de **etiquetas LF o recursos del catálogo**, seleccione **Recursos del catálogo de datos con nombre**.  
![\[La sección de etiquetas LF o recursos del catálogo contiene dos mosaicos dispuestos en horizontal, cada uno de los cuales contiene un botón de opción y un texto descriptivo. Las opciones son Recursos que coinciden con las etiquetas LF y recursos de Catálogo de datos con nombre. Bajo los mosaicos hay dos listas desplegables, de bases de datos y tablas. La lista desplegable de bases de datos presenta un mosaico debajo con el nombre de la base de datos seleccionada.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-resources-catalog.png)

1. Elija uno o más catálogos de la lista **Catálogos**. **También puede elegir una o más **bases de datos**, **tablas** o filtros de datos. and/or **

1. En la sección **Permisos de catálogo**, seleccione los permisos y los permisos concesibles. En **Permisos de catálogo**, seleccione uno o más permisos para conceder.  
![\[La sección Permisos es el mosaico de permisos del catálogo. Bajo los mosaicos hay un grupo de casillas de verificación para los permisos de catálogo que se deben conceder. Las casillas de verificación son: Superusuario, Crear catálogo, Crear base de datos, Alterar, Soltar, Describir y Super. Debajo de ese grupo hay otro grupo con las mismas casillas de verificación para los permisos concedibles.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)

   Elija **Superusuario** para conceder privilegios administrativos ilimitados para realizar cualquier operación en todos los recursos del catálogo (bases de datos, tablas y vistas).
**nota**  
Después de conceder `Create database` o `Alter` en un catálogo que tenga una propiedad de ubicación que apunte a una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

1. (Opcional) En **Permisos concedibles**, seleccione los permisos que el destinatario de la concesión puede conceder a otras entidades principales de su cuenta AWS . Esta opción no es compatible cuando se conceden permisos a una entidad principal de IAM desde una cuenta externa. 

1. Elija **Conceder**.

   La página **Permisos de datos** muestra los detalles de los permisos. Si ha utilizado la opción **Entidades principales por atributos** para conceder permisos, puede ver los permisos concedidos a `ALLPrincipals` en la lista.

------
#### [ AWS CLI ]

Para conceder permisos de uso al catálogo AWS CLI, consulte[Creación de catálogos federados de Amazon Redshift](create-ns-catalog.md).

------

# Concesión de permisos de base de datos mediante el método de recurso con nombre
<a name="granting-database-permissions"></a>

Los siguientes pasos explican cómo conceder permisos de base de datos utilizando el método de recursos con nombre.

------
#### [ Console ]

Utilice la página **Conceder permisos** en la consola de Lake Formation. La página está dividida en las secciones siguientes:
+  **Tipo de entidad principal**: la sección **Entidades principales** incluye los usuarios de IAM, roles, usuarios y grupos de IAM Identity Center, usuarios y grupos de SAML, cuentas de AWS , organizaciones u unidades organizativas para conceder permisos. En la sección **Entidades principales por atributos**, puede especificar la clave y los valores de los atributos asociados a los roles de IAM. 
+  **Etiquetas LF o recursos del catálogo** – Las bases de datos, tablas, vistas o enlaces a recursos para los que se conceden permisos.
+  **Permisos.** Los permisos de Lake Formation que se conceden.

**nota**  
Para conceder permisos en un enlace a un recurso de base de datos, consulte [Conceder permisos de enlace de recursos](granting-link-permissions.md).

1. Abra la página **Conceder permisos**.

   Abra la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicie sesión como administrador del lago de datos, creador de la base de datos o usuario de IAM que tenga **permisos de Grantable** en la base de datos.

   Realice una de las siguientes acciones:
   + En el panel de navegación, en **Permisos**, seleccione **Permisos de datos**. A continuación, seleccione **Conceder**.
   + En el panel de navegación, elija **Bases de datos** en **Catálogo de datos**. A continuación, en la página **Bases de datos**, elija una y, en el menú **Acciones**, en **Permisos**, seleccione **Conceder**.
**nota**  
Puede conceder permisos en una base de datos desde su enlace de recursos. Para ello, en la página **Bases de datos**, elija un enlace de recursos y, en el menú **Acciones**, **Conceder en el destino**. Para obtener más información, consulte [Cómo funcionan los enlaces de recursos en Lake Formation](resource-links-about.md).

1. En la sección **Tipo de entidad principal**, especifique las entidades principales o conceda permisos a las entidades principales mediante atributos.  
![\[La sección Entidades principales contiene cuatro mosaicos. Cada mosaico contiene un botón de opción y un texto.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**Usuarios y roles de IAM**  
Elija uno o varios usuarios o roles en la lista de **usuarios y roles de IAM**.  
**IAM Identity Center**  
Elija uno o varios usuarios o grupos en la lista de **Usuarios y grupos**. Seleccione **Añadir** para añadir más usuarios o grupos.  
**Usuarios y grupos de SAML**  
Para **los usuarios y grupos de SAML y Quick**, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o para los usuarios o grupos de ARNs Amazon Quick. Pulse Intro después de cada ARN.  
Para obtener información sobre cómo construirlo, consulte. ARNs [Lake Formation otorga y revoca órdenes AWS CLI](lf-permissions-reference.md#perm-command-format)  
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.  
**Cuentas externas**  
Para **Cuenta de AWS AWS la organización** o el **director de IAM**, introduzca una o más AWS cuentas IDs, organizaciones IDs IDs, unidades organizativas o ARN válidos para el usuario o rol de IAM. Pulse **Intro** después de cada ID.  
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.  
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.  
Entidades principales por atributos  
Especifique la clave y el valor o los valores del atributo. Si elige más de un valor, está creando una expresión de atributo con un operador O. Esto significa que si alguno de los valores de las etiquetas de atributo asignados a un rol o usuario de IAM coincide, obtendrá permisos de role/user acceso al recurso.  
 Elija el alcance del permiso especificando si va a conceder permisos a las entidades principales con atributos coincidentes en la misma cuenta o en otra cuenta diferente. 

1. En la sección de **etiquetas LF o recursos del catálogo**, seleccione **Recursos del catálogo de datos con nombre**.  
![\[La sección de etiquetas LF o recursos del catálogo contiene dos mosaicos dispuestos en horizontal, cada uno de los cuales contiene un botón de opción y un texto descriptivo. Las opciones son Recursos que coinciden con las etiquetas LF y recursos de Catálogo de datos con nombre. Bajo los mosaicos hay dos listas desplegables, de bases de datos y tablas. La lista desplegable de bases de datos presenta un mosaico debajo con el nombre de la base de datos seleccionada.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-resources-section-2.png)

1. Elija una o más bases de datos de la lista **Bases de datos**. También puede elegir uno o más **filtros de and/or datos de** **tablas**.

1. En la sección **Permisos**, seleccione los permisos y los permisos concedibles. En **Permisos de base de datos**, seleccione uno o más permisos para conceder.  
![\[La sección Permisos contiene dos mosaicos, dispuestos en horizontal. Cada mosaico contiene un botón de opción y un texto. Aparece seleccionado el mosaico de permisos de la base de datos. El otro mosaico, Permisos basados en columnas, está desactivado, porque está relacionado con los permisos de las tablas. Bajo los mosaicos hay un grupo de casillas de verificación para los permisos de base de datos que se deben conceder. Las casillas de verificación son: Crear tabla, Alterar, Soltar, Describir y Super. Debajo de ese grupo hay otro grupo con las mismas casillas de verificación para los permisos concedibles.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**nota**  
Después de conceder `Create Table` o `Alter` en una base de datos que tenga una propiedad de ubicación que apunte a una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

1. (Opcional) En **Permisos concedibles**, seleccione los permisos que el destinatario de la concesión puede conceder a otras entidades principales de su cuenta AWS . Esta opción no es compatible cuando se conceden permisos a una entidad principal de IAM desde una cuenta externa. 

1. Elija **Conceder**.

------
#### [ AWS CLI ]

Para conceder permisos a la base de datos, utilice el método de recursos con nombre y la AWS Command Line Interface (AWS CLI).

**Para conceder permisos a la base de datos mediante el AWS CLI**
+ Ejecute un comando `grant-permissions` y especifique como recurso una base de datos o el Catálogo de datos, en función del permiso que se conceda.

  En los ejemplos siguientes, *<account-id>* sustitúyalo por un identificador de AWS cuenta válido.  
**Example — Concesión para crear una base de datos**  

  En este ejemplo se concede `CREATE_DATABASE` al usuario `datalake_user1`. Dado que el recurso sobre el que se concede este permiso es el Catálogo de datos, la orden especifica una estructura `CatalogResource` vacía como parámetro `resource`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
  ```  
**Example — Concesión para crear tablas en una base de datos designada**  

  En el siguiente ejemplo, se concede `CREATE_TABLE` sobre la base de datos `retail` al usuario `datalake_user1`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example — Concesión a una AWS cuenta externa con la opción de concesión**  

  El siguiente ejemplo concede `CREATE_TABLE` con la opción de concesión de la base de datos `retail` a la cuenta externa 1111-2222-3333.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
  ```  
**Example — Concesión a una organización**  

  En el siguiente ejemplo se concede `ALTER` con la opción de concesión en la base de datos `issues` a la organización `o-abcdefghijkl`.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
  ```  
**Example — Concesión de `ALLIAMPrincipals` en la misma cuenta**  

  En el siguiente ejemplo se concede permiso de `CREATE_TABLE` sobre la base de datos `retail` a todas las entidades principales de la misma cuenta. Esta opción permite a todas las entidades principales de la cuenta crear una tabla en la base de datos y crear un enlace de recursos de tabla que permita a los motores de consulta integrados acceder a las bases de datos y tablas compartidas. Esta opción es especialmente útil cuando una entidad principal recibe una concesión entre cuentas y no tiene permiso para crear enlaces de recursos. En este escenario, el administrador del lago de datos puede crear una base de datos de marcadores de posición y conceder permiso `CREATE_TABLE` al grupo `ALLIAMPrincipal`, lo que permitirá a todas las entidades principales de IAM de la cuenta crear enlaces de recursos en la base de datos de marcadores de posición. 

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}' 
  ```  
**Example — Concesión a `ALLIAMPrincipals` en una cuenta externa**  

  En el siguiente ejemplo se concede `CREATE_TABLE` sobre la base de datos `retail` a todas las entidades principales de la misma cuenta. Esta opción permite a cada entidad principal de la cuenta crear una tabla en la base de datos.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
  ```

**nota**  
Después de conceder `CREATE_TABLE` o `ALTER` en una base de datos que tenga una propiedad de ubicación que apunte a una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

------

**Véase también**  
 [Referencia de permisos de Lake Formation](lf-permissions-reference.md) 
 [Conceder permisos en una base de datos o tabla compartida con su cuenta](regranting-shared-resources.md) 
 [Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos](viewing-shared-resources.md) 

# Concesión de permisos de tabla mediante el método de recursos con nombre
<a name="granting-table-permissions"></a>

Puede usar la consola de Lake Formation o AWS CLI conceder permisos de Lake Formation en las tablas del catálogo de datos. Puede conceder permisos sobre tablas individuales o, con una única operación de concesión, sobre todas las tablas de una base de datos. 

Si concede permisos sobre todas las tablas de una base de datos, estará concediendo implícitamente el permiso `DESCRIBE` sobre la base de datos. A continuación, la base de datos aparece en la página **Bases de datos** de la consola y es devuelta por la operación `GetDatabases` de la API. Esta concesión automática del permiso `DESCRIBE` no se aplica cuando se usa el control de acceso basado en atributos (ABAC). Al conceder permisos en todas las tablas de una base de datos mediante atributos, Lake Formation no concede permisos `DESCRIBE` implícitos a la base de datos.

Cuando elija `SELECT` como permiso para conceder, tendrá la opción de aplicar un filtro de columnas, de filas o de celdas.

------
#### [ Console ]

Los siguientes pasos explican cómo conceder permisos de tabla utilizando el método de recursos con nombre y la página **Conceder permisos de lago de datos** de la consola de Lake Formation. La página está dividida en las estas secciones:
+  **Tipos de entidad principal**: usuarios, roles, cuentas de AWS , organizaciones o unidades organizativas a los que se conceden los permisos. También puede conceder permisos a entidades principales con atributos coincidentes.
+  **Etiquetas LF o recursos del catálogo.** Bases de datos, tablas o enlaces a recursos sobre los que se conceden los permisos.
+  **Permisos.** Los permisos de Lake Formation que se conceden.

**nota**  
Para conceder permisos sobre un enlace de recursos de tabla, consulte [Conceder permisos de enlace de recursos](granting-link-permissions.md).

1. Abra la página Conceder permisos.

   Abra la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicie sesión como administrador del lago de datos, creador de la tabla o usuario al que se le hayan concedido permisos sobre la mesa con la opción de concesión.

   Realice una de las siguientes acciones:
   + En el panel de navegación, en **Permisos**, elija **Permisos de datos**. A continuación, seleccione **Conceder**.
   + En el panel de navegación, elija **Tablas**. A continuación, en la página **Tablas**, elija una y, en el menú **Acciones**, **Permisos**, seleccione **Conceder**.
**nota**  
Puede conceder permisos sobre una tabla a través de su enlace de recursos. Para ello, en la página **Tablas**, elija un enlace de recursos y, en el menú **Acciones**, **Conceder en el destino**. Para obtener más información, consulte [Cómo funcionan los enlaces de recursos en Lake Formation](resource-links-about.md).

1. A continuación, en la sección **Tipos de entidades principales**, especifique entidades principales o entidades principales con atributos coincidentes para conceder permisos.  
**Usuarios y roles de IAM**  
Elija uno o varios usuarios o roles en la lista de **usuarios y roles de IAM**.  
**IAM Identity Center**  
Elija uno o varios usuarios o grupos en la lista de **Usuarios y grupos**.  
**Usuarios y grupos de SAML**  
Para **los usuarios y grupos de SAML y Quick**, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o ARNs para los usuarios o grupos de Quick. Pulse Intro después de cada ARN.  
Para obtener información sobre cómo construirlo, consulte. ARNs [Lake Formation otorga y revoca órdenes AWS CLI](lf-permissions-reference.md#perm-command-format)  
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.  
**Cuentas externas**  
Para **Cuenta de AWS AWS organización** o **director de IAM**, introduzca una o más organizaciones Cuenta de AWS IDs IDs IDs, unidades organizativas o el ARN válidos para el usuario o rol de IAM. Pulse **Intro** después de cada ID.  
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.  
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo carácter «-» y de 8 a 32 letras minúsculas o dígitos adicionales.  
Entidades principales por atributos  
Especifique la clave y el valor o los valores del atributo. Si elige más de un valor, está creando una expresión de atributo con un operador O. Esto significa que si alguno de los valores de las etiquetas de atributo asignados a un rol o usuario de IAM coincide, obtendrá permisos de acceso role/user al recurso  
 Elija el alcance del permiso especificando si va a conceder permisos a las entidades principales con atributos coincidentes en la misma cuenta o en otra cuenta diferente. 

1. En la sección de **Etiquetas LF o recursos del catálogo**, seleccione una base de datos. A continuación, seleccione una o más tablas o **Todas las tablas**.  
![\[La sección de etiquetas LF o recursos del catálogo contiene dos mosaicos dispuestos en horizontal, cada uno de los cuales contiene un botón de opción y un texto descriptivo. Es posible elegir entre recursos que coinciden con etiquetas LF y recursos con nombre del Catálogo de datos. Se seleccionan los recursos con nombre del Catálogo de datos. Bajo los mosaicos hay dos listas desplegables, de bases de datos y tablas. La lista desplegable de bases de datos presenta un mosaico debajo con el nombre de la base de datos seleccionada. La lista desplegable de tablas presenta un mosaico debajo con el nombre de la tabla seleccionada.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)

1. 

**Especifique los permisos sin filtrado de datos.**

   En la sección **Permisos**, seleccione los permisos de tabla que desee conceder y, opcionalmente, seleccione los permisos que se pueden conceder.  
![\[La sección de permisos de tabla y columna tiene dos subsecciones: permisos de tabla y permisos concedibles. Cada subsección tiene una casilla de verificación para cada posible permiso de Lake Formation, como alterar, insertar, eliminar, borrar, seleccionar, describir y super. El permiso super está a la derecha de los demás permisos, y tiene una descripción: "Este permiso permite a la entidad principal conceder cualquiera de los permisos situados a la izquierda, y sustituye a los permisos concedibles".\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)

   Si concede **Seleccionar**, la sección **Permisos de datos** aparece debajo de la sección **Permisos de tabla y columna**, con la opción **Todos los accesos a datos** seleccionada de manera predeterminada. Acepte los valores predeterminados.  
![\[La sección contiene tres fichas, dispuestas en horizontal, cada una con un botón de opción y una descripción. Los botones opcionales son: Acceso a todos los datos (seleccionado), Acceso simple basado en columnas y Filtros avanzados a nivel de celda.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-select-all-data-access.png)

1. Elija **Conceder**.

1. 

**Especifique el permiso **Seleccionar** con filtrado de datos**

   Elija el permiso **Seleccionar**. No seleccione ningún otro permiso.

   La sección **de permisos de datos** aparece debajo de la sección de **permisos de tabla y columna**.

1. Realice una de las siguientes acciones:
   + Aplique solo un filtrado de columnas simple.

     1. Elija **Acceso simple basado en columnas**.  
![\[La sección superior es la de permisos de tabla y columna. Se describe en la captura de pantalla anterior. Contiene casillas de verificación para los permisos de tabla y los permisos concedibles. La sección inferior, Permisos de datos, tiene tres mosaicos dispuestos en horizontal, donde cada uno de ellos tiene un botón de opción y una descripción. Las opciones son Acceso a todos los datos, Acceso simple basado en columnas y Filtros avanzados a nivel de celda. Está seleccionada la opción Acceso simple basado en columnas. Debajo de los mosaicos hay un grupo de botones de opción con la etiqueta Elegir filtro de permisos. Las opciones son Incluir columnas y Excluir columnas. Debajo del grupo de opciones hay una lista desplegable Seleccionar columnas y, debajo, una subsección Permisos concedibles, con una única casilla etiquetada Seleccionar.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)

     1. Elija si desea incluir o excluir columnas y, a continuación, elija las que desea incluir o excluir.

        Solo se permite incluir listas cuando se conceden permisos a una AWS cuenta u organización externa.

     1. (Opcional) En **Permisos concedibles**, active la opción de concesión para el permiso Seleccionar.

         Si incluye la opción de concesión, el destinatario de esta podrá conceder permisos solo sobre las columnas que le conceda.
**nota**  
También puede aplicar el filtrado por columnas solo creando un filtro de datos que especifique un filtro de columnas y especifique todas las filas como filtro de filas. Sin embargo, esto requiere más pasos.
   + Aplicar filtros de columna, fila o celda.

     1. Seleccione **Filtros avanzados a nivel de celda**.  
![\[Esta sección, titulada Permisos de datos, se encuentra debajo de la sección Permisos de tabla. Tiene tres mosaicos dispuestos en horizontal, donde cada uno de ellos tiene un botón de opción y una descripción. Las opciones son Acceso a todos los datos, Acceso simple basado en columnas y Filtros avanzados a nivel de celda. Está seleccionada la opción de filtros avanzados a nivel de celda. Bajo de los mosaicos aparece la etiqueta Ver los permisos existentes con un triángulo de exposición a la izquierda. Los permisos existentes no están expuestos. Debajo hay una sección para los filtros de datos que se deben conceder. A la derecha del título hay tres botones: Actualizar, Administrar filtros y Crear nuevo filtro. Debajo del título y los botones hay un campo de texto con el texto marcador “Buscar filtro”. Debajo hay una tabla con los filtros existentes. Cada fila tiene una casilla de verificación a la izquierda. Los encabezados de las columnas son el nombre del filtro, la tabla, la base de datos y el identificador del catálogo de tablas. Hay dos filas. El nombre del filtro de la primera fila es restrict-pharma. El nombre de la segunda fila es no-pharma.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)

     1. (Opcional) Amplíe **Ver los permisos existentes**.

     1. (Opcional) Seleccione **Crear filtro nuevo**.

     1. (Opcional) Para ver los detalles de los filtros de la lista o para crear filtros nuevos o eliminar los existentes, seleccione **Administrar filtros**.

        La página **Filtros de datos** se abre en una nueva ventana del navegador.

        Cuando haya terminado de acceder a la página **Filtros de datos**, vuelva a la página **Conceder permisos** y, si es necesario, actualícela para ver los filtros de datos nuevos que haya creado.

     1. Seleccione uno o más filtros de datos para aplicarlos a la concesión.
**nota**  
Si no hay filtros de datos en la lista, significa que no se creó ningún filtro de datos para la tabla seleccionada.

1. Elija **Conceder**.

------
#### [ AWS CLI ]

Para conceder permisos de tabla, utilice el método de recursos con nombre y la AWS Command Line Interface (AWS CLI).

**Para conceder permisos de tabla mediante el AWS CLI**
+ Introduzca un comando `grant-permissions` y especifique una tabla como recurso.

**Example . Concesión en una sola tabla, sin filtrado**  
El siguiente ejemplo concede `SELECT` y `ALTER` al usuario `datalake_user1` de la AWS cuenta 1111-2222-3333 de la tabla `inventory` de la base de datos. `retail`  

```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Si concede el permiso `ALTER` en una tabla cuyos datos subyacentes están en una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

**Example – Concesión en todas las tablas con la opción Concesión, sin filtrado**  
En el siguiente ejemplo, se concede `SELECT` con la opción de concesión en todas las tablas de la base de datos `retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```<a name="simple-column-filter-example"></a>

**Example – Concesión con filtrado simple de columnas**  
El siguiente ejemplo concede `SELECT` en un subconjunto de columnas de la tabla `persons`. Utiliza un filtrado de columnas simple.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```

**Example – Concesión con filtro de datos**  
En este ejemplo se concede `SELECT` en la tabla `orders` y se aplica el filtro de datos `restrict-pharma`.  

```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
A continuación se muestra el contenido del archivo `grant-params.json`.  

```
{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"],
    "PermissionsWithGrantOption": ["SELECT"]
}
```

------

**Véase también**  
[Descripción general de los permisos de Lake Formation](lf-permissions-overview.md)
[Filtrado de datos y seguridad de celda en Lake Formation](data-filtering.md)
[Personas de Lake Formation y referencia de permisos IAM](permissions-reference.md)
 [Conceder permisos de enlace de recursos](granting-link-permissions.md)
 [Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos](viewing-shared-resources.md) 

# Concesión de permisos para vistas mediante el método de recursos con nombre
<a name="granting-view-permissions"></a>

Los siguientes pasos explican cómo conceder permisos para vistas utilizando el método de recurso con nombre y la página **Conceder permisos**. La página está dividida en las secciones siguientes:
+  **Tipos principales**: los usuarios de IAM, los roles, los usuarios y grupos del Centro de Identidad de IAM Cuentas de AWS, las organizaciones o las unidades organizativas que conceden permisos. También puede conceder permisos a entidades principales con atributos coincidentes.
+  **Etiquetas LF o recursos del catálogo** – Las bases de datos, tablas, vistas o enlaces a recursos para los que se conceden permisos.
+  **Permisos** – Los permisos de lagos de datos que se conceden.

## Abra la página **Conceder permisos**.
<a name="view-start-grant"></a>

1. Abre la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicia sesión como administrador del lago de datos, creador de la base de datos o usuario de IAM que tenga permisos de **Grantable** en la base de datos.

1. Realice una de las siguientes acciones:
   + En el panel de navegación, en **Permisos**, seleccione **Permisos de datos**. A continuación, seleccione **Conceder**.
   + En el panel de navegación, en **Catálogo de datos**, elija **Vistas**. A continuación, en la página **Vistas**, elija una y, en el menú **Acciones**, **Permisos**, seleccione **Conceder**.
**nota**  
Puede conceder permisos sobre una vista a través de su enlace de recursos. Para ello, en la página **Vistas**, elija un enlace de recursos y, en el menú **Acciones**, elija **Conceder en el destino**. Para obtener más información, consulte [Cómo funcionan los enlaces de recursos en Lake Formation](resource-links-about.md).

## Especifique los tipos de entidades principales.
<a name="views-specify-principals"></a>

 En la sección **Tipos de entidades principales**, elija Entidades principales o Entidades principales por atributos. Si elige Entidades principales, estarán disponibles las siguientes opciones:

**Usuarios y roles de IAM**  
Elija uno o varios usuarios o roles en la lista de **usuarios y roles de IAM**.

**IAM Identity Center **  
Elija uno o varios usuarios o grupos en la lista de **Usuarios y grupos**.

**Usuarios y grupos de SAML**  
Para **los usuarios y grupos de SAML y Quick**, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o para los usuarios o grupos de ARNs Amazon Quick. Pulse Intro después de cada ARN.  
Para obtener información sobre cómo construirlo, consulte. ARNs [Lake Formation otorga y revoca órdenes AWS CLI](lf-permissions-reference.md#perm-command-format)  
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.

**Cuentas externas**  
Para **Cuenta de AWS AWS la organización** o el **director de IAM**, introduzca una o más AWS cuentas IDs, organizaciones IDs IDs, unidades organizativas o ARN válidos para el usuario o rol de IAM. Pulse **Intro** después de cada ID.  
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.  
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo guion «-» y de 8 a 32 letras minúsculas o dígitos adicionales.  
**Véase también**  
+  [Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos](viewing-shared-resources.md) 

**Entidades principales por atributos**  
Especifique la clave y el valor o los valores del atributo. Si elige más de un valor, está creando una expresión de atributo con un operador O. Esto significa que si alguno de los valores de las etiquetas de atributo asignados a un rol o usuario de IAM coincide, obtendrá permisos de acceso role/user al recurso  
 Elija el alcance del permiso especificando si va a conceder permisos a las entidades principales con atributos coincidentes en la misma cuenta o en otra cuenta diferente. 

## Especifique las vistas
<a name="view-specify-resources"></a>

En la sección de **etiquetas LF o recursos del catálogo**, elija una o más vistas para las que conceder permisos.

1. Seleccione un **recurso de Catálogo de datos con nombre**.

1. Elija una o más vistas de la lista **Vistas**. También puede elegir uno o más catálogos, bases de datos, tablas y filtros de and/or datos.

   Al conceder permisos de lago de datos a `All tables` dentro de una base de datos, el beneficiario tendrá permisos en todas las tablas y vistas de la base de datos.

## Especificar los permisos
<a name="view-specify-permissions"></a>

En la sección **Permisos**, seleccione los permisos y los permisos concedibles.

![\[La sección de permisos tiene un grupo de casillas de verificación para ver los permisos que se van a conceder. Las casillas de verificación incluyen Seleccionar, Describir, Borrar y Super. Debajo de ese grupo hay otro grupo con las mismas casillas de verificación para los permisos concedibles.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/view-permissions.png)


1. En **Ver de permisos**, seleccione uno o más permisos para conceder.

1. (Opcional) En **Permisos concedibles**, seleccione los permisos que el destinatario de la concesión puede conceder a otras entidades principales de su cuenta Cuenta de AWS. Esta opción no es compatible cuando se conceden permisos a una entidad principal de IAM desde una cuenta externa. 

1. Elija **Conceder**.

**Véase también**  
 [Referencia de permisos de Lake Formation](lf-permissions-reference.md) 
 [Conceder permisos en una base de datos o tabla compartida con su cuenta](regranting-shared-resources.md)