

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Concesión de permisos de tabla mediante el método de recursos con nombre
<a name="granting-table-permissions"></a>

Puede usar la consola de Lake Formation o AWS CLI conceder permisos de Lake Formation en las tablas del catálogo de datos. Puede conceder permisos sobre tablas individuales o, con una única operación de concesión, sobre todas las tablas de una base de datos. 

Si concede permisos sobre todas las tablas de una base de datos, estará concediendo implícitamente el permiso `DESCRIBE` sobre la base de datos. A continuación, la base de datos aparece en la página **Bases de datos** de la consola y es devuelta por la operación `GetDatabases` de la API. Esta concesión automática del permiso `DESCRIBE` no se aplica cuando se usa el control de acceso basado en atributos (ABAC). Al conceder permisos en todas las tablas de una base de datos mediante atributos, Lake Formation no concede permisos `DESCRIBE` implícitos a la base de datos.

Cuando elija `SELECT` como permiso para conceder, tendrá la opción de aplicar un filtro de columnas, de filas o de celdas.

------
#### [ Console ]

Los siguientes pasos explican cómo conceder permisos de tabla utilizando el método de recursos con nombre y la página **Conceder permisos de lago de datos** de la consola de Lake Formation. La página está dividida en las estas secciones:
+  **Tipos de entidad principal**: usuarios, roles, cuentas de AWS , organizaciones o unidades organizativas a los que se conceden los permisos. También puede conceder permisos a entidades principales con atributos coincidentes.
+  **Etiquetas LF o recursos del catálogo.** Bases de datos, tablas o enlaces a recursos sobre los que se conceden los permisos.
+  **Permisos.** Los permisos de Lake Formation que se conceden.

**nota**  
Para conceder permisos sobre un enlace de recursos de tabla, consulte [Conceder permisos de enlace de recursos](granting-link-permissions.md).

1. Abra la página Conceder permisos.

   Abra la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)e inicie sesión como administrador del lago de datos, creador de la tabla o usuario al que se le hayan concedido permisos sobre la mesa con la opción de concesión.

   Realice una de las siguientes acciones:
   + En el panel de navegación, en **Permisos**, elija **Permisos de datos**. A continuación, seleccione **Conceder**.
   + En el panel de navegación, elija **Tablas**. A continuación, en la página **Tablas**, elija una y, en el menú **Acciones**, **Permisos**, seleccione **Conceder**.
**nota**  
Puede conceder permisos sobre una tabla a través de su enlace de recursos. Para ello, en la página **Tablas**, elija un enlace de recursos y, en el menú **Acciones**, **Conceder en el destino**. Para obtener más información, consulte [Cómo funcionan los enlaces de recursos en Lake Formation](resource-links-about.md).

1. A continuación, en la sección **Tipos de entidades principales**, especifique entidades principales o entidades principales con atributos coincidentes para conceder permisos.  
**Usuarios y roles de IAM**  
Elija uno o varios usuarios o roles en la lista de **usuarios y roles de IAM**.  
**IAM Identity Center**  
Elija uno o varios usuarios o grupos en la lista de **Usuarios y grupos**.  
**Usuarios y grupos de SAML**  
Para **los usuarios y grupos de SAML y Quick**, introduzca uno o más nombres de recursos de Amazon (ARNs) para los usuarios o grupos federados a través de SAML, o ARNs para los usuarios o grupos de Quick. Pulse Intro después de cada ARN.  
Para obtener información sobre cómo construirlo, consulte. ARNs [Lake Formation otorga y revoca órdenes AWS CLI](lf-permissions-reference.md#perm-command-format)  
La integración de Lake Formation con Quick solo es compatible con Quick Enterprise Edition.  
**Cuentas externas**  
Para **Cuenta de AWS AWS organización** o **director de IAM**, introduzca una o más organizaciones Cuenta de AWS IDs IDs IDs, unidades organizativas o el ARN válidos para el usuario o rol de IAM. Pulse **Intro** después de cada ID.  
El ID de una organización consta de una «o-» seguida de 10 a 32 letras minúsculas o dígitos.  
Un ID de una unidad organizativa comienza por «ou-» seguidos de 4 a 32 letras minúsculas o dígitos (el ID de la raíz que contiene la UO). Esta cadena va seguida de un segundo carácter «-» y de 8 a 32 letras minúsculas o dígitos adicionales.  
Entidades principales por atributos  
Especifique la clave y el valor o los valores del atributo. Si elige más de un valor, está creando una expresión de atributo con un operador O. Esto significa que si alguno de los valores de las etiquetas de atributo asignados a un rol o usuario de IAM coincide, obtendrá permisos de acceso role/user al recurso  
 Elija el alcance del permiso especificando si va a conceder permisos a las entidades principales con atributos coincidentes en la misma cuenta o en otra cuenta diferente. 

1. En la sección de **Etiquetas LF o recursos del catálogo**, seleccione una base de datos. A continuación, seleccione una o más tablas o **Todas las tablas**.  
![\[La sección de etiquetas LF o recursos del catálogo contiene dos mosaicos dispuestos en horizontal, cada uno de los cuales contiene un botón de opción y un texto descriptivo. Es posible elegir entre recursos que coinciden con etiquetas LF y recursos con nombre del Catálogo de datos. Se seleccionan los recursos con nombre del Catálogo de datos. Bajo los mosaicos hay dos listas desplegables, de bases de datos y tablas. La lista desplegable de bases de datos presenta un mosaico debajo con el nombre de la base de datos seleccionada. La lista desplegable de tablas presenta un mosaico debajo con el nombre de la tabla seleccionada.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)

1. 

**Especifique los permisos sin filtrado de datos.**

   En la sección **Permisos**, seleccione los permisos de tabla que desee conceder y, opcionalmente, seleccione los permisos que se pueden conceder.  
![\[La sección de permisos de tabla y columna tiene dos subsecciones: permisos de tabla y permisos concedibles. Cada subsección tiene una casilla de verificación para cada posible permiso de Lake Formation, como alterar, insertar, eliminar, borrar, seleccionar, describir y super. El permiso super está a la derecha de los demás permisos, y tiene una descripción: "Este permiso permite a la entidad principal conceder cualquiera de los permisos situados a la izquierda, y sustituye a los permisos concedibles".\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)

   Si concede **Seleccionar**, la sección **Permisos de datos** aparece debajo de la sección **Permisos de tabla y columna**, con la opción **Todos los accesos a datos** seleccionada de manera predeterminada. Acepte los valores predeterminados.  
![\[La sección contiene tres fichas, dispuestas en horizontal, cada una con un botón de opción y una descripción. Los botones opcionales son: Acceso a todos los datos (seleccionado), Acceso simple basado en columnas y Filtros avanzados a nivel de celda.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-select-all-data-access.png)

1. Elija **Conceder**.

1. 

**Especifique el permiso **Seleccionar** con filtrado de datos**

   Elija el permiso **Seleccionar**. No seleccione ningún otro permiso.

   La sección **de permisos de datos** aparece debajo de la sección de **permisos de tabla y columna**.

1. Realice una de las siguientes acciones:
   + Aplique solo un filtrado de columnas simple.

     1. Elija **Acceso simple basado en columnas**.  
![\[La sección superior es la de permisos de tabla y columna. Se describe en la captura de pantalla anterior. Contiene casillas de verificación para los permisos de tabla y los permisos concedibles. La sección inferior, Permisos de datos, tiene tres mosaicos dispuestos en horizontal, donde cada uno de ellos tiene un botón de opción y una descripción. Las opciones son Acceso a todos los datos, Acceso simple basado en columnas y Filtros avanzados a nivel de celda. Está seleccionada la opción Acceso simple basado en columnas. Debajo de los mosaicos hay un grupo de botones de opción con la etiqueta Elegir filtro de permisos. Las opciones son Incluir columnas y Excluir columnas. Debajo del grupo de opciones hay una lista desplegable Seleccionar columnas y, debajo, una subsección Permisos concedibles, con una única casilla etiquetada Seleccionar.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)

     1. Elija si desea incluir o excluir columnas y, a continuación, elija las que desea incluir o excluir.

        Solo se permite incluir listas cuando se conceden permisos a una AWS cuenta u organización externa.

     1. (Opcional) En **Permisos concedibles**, active la opción de concesión para el permiso Seleccionar.

         Si incluye la opción de concesión, el destinatario de esta podrá conceder permisos solo sobre las columnas que le conceda.
**nota**  
También puede aplicar el filtrado por columnas solo creando un filtro de datos que especifique un filtro de columnas y especifique todas las filas como filtro de filas. Sin embargo, esto requiere más pasos.
   + Aplicar filtros de columna, fila o celda.

     1. Seleccione **Filtros avanzados a nivel de celda**.  
![\[Esta sección, titulada Permisos de datos, se encuentra debajo de la sección Permisos de tabla. Tiene tres mosaicos dispuestos en horizontal, donde cada uno de ellos tiene un botón de opción y una descripción. Las opciones son Acceso a todos los datos, Acceso simple basado en columnas y Filtros avanzados a nivel de celda. Está seleccionada la opción de filtros avanzados a nivel de celda. Bajo de los mosaicos aparece la etiqueta Ver los permisos existentes con un triángulo de exposición a la izquierda. Los permisos existentes no están expuestos. Debajo hay una sección para los filtros de datos que se deben conceder. A la derecha del título hay tres botones: Actualizar, Administrar filtros y Crear nuevo filtro. Debajo del título y los botones hay un campo de texto con el texto marcador “Buscar filtro”. Debajo hay una tabla con los filtros existentes. Cada fila tiene una casilla de verificación a la izquierda. Los encabezados de las columnas son el nombre del filtro, la tabla, la base de datos y el identificador del catálogo de tablas. Hay dos filas. El nombre del filtro de la primera fila es restrict-pharma. El nombre de la segunda fila es no-pharma.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)

     1. (Opcional) Amplíe **Ver los permisos existentes**.

     1. (Opcional) Seleccione **Crear filtro nuevo**.

     1. (Opcional) Para ver los detalles de los filtros de la lista o para crear filtros nuevos o eliminar los existentes, seleccione **Administrar filtros**.

        La página **Filtros de datos** se abre en una nueva ventana del navegador.

        Cuando haya terminado de acceder a la página **Filtros de datos**, vuelva a la página **Conceder permisos** y, si es necesario, actualícela para ver los filtros de datos nuevos que haya creado.

     1. Seleccione uno o más filtros de datos para aplicarlos a la concesión.
**nota**  
Si no hay filtros de datos en la lista, significa que no se creó ningún filtro de datos para la tabla seleccionada.

1. Elija **Conceder**.

------
#### [ AWS CLI ]

Para conceder permisos de tabla, utilice el método de recursos con nombre y la AWS Command Line Interface (AWS CLI).

**Para conceder permisos de tabla mediante el AWS CLI**
+ Introduzca un comando `grant-permissions` y especifique una tabla como recurso.

**Example . Concesión en una sola tabla, sin filtrado**  
El siguiente ejemplo concede `SELECT` y `ALTER` al usuario `datalake_user1` de la AWS cuenta 1111-2222-3333 de la tabla `inventory` de la base de datos. `retail`  

```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Si concede el permiso `ALTER` en una tabla cuyos datos subyacentes están en una ubicación registrada, asegúrese de conceder también permisos de ubicación de datos en la ubicación a las entidades principales. Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

**Example – Concesión en todas las tablas con la opción Concesión, sin filtrado**  
En el siguiente ejemplo, se concede `SELECT` con la opción de concesión en todas las tablas de la base de datos `retail`.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```<a name="simple-column-filter-example"></a>

**Example – Concesión con filtrado simple de columnas**  
El siguiente ejemplo concede `SELECT` en un subconjunto de columnas de la tabla `persons`. Utiliza un filtrado de columnas simple.  

```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```

**Example – Concesión con filtro de datos**  
En este ejemplo se concede `SELECT` en la tabla `orders` y se aplica el filtro de datos `restrict-pharma`.  

```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
A continuación se muestra el contenido del archivo `grant-params.json`.  

```
{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"],
    "PermissionsWithGrantOption": ["SELECT"]
}
```

------

**Véase también**  
[Descripción general de los permisos de Lake Formation](lf-permissions-overview.md)
[Filtrado de datos y seguridad de celda en Lake Formation](data-filtering.md)
[Personas de Lake Formation y referencia de permisos IAM](permissions-reference.md)
 [Conceder permisos de enlace de recursos](granting-link-permissions.md)
 [Acceso y visualización de tablas y bases de datos compartidas del Catálogo de datos](viewing-shared-resources.md)