Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Convertir un AWS Glue recurso en un recurso híbrido
Siga estos pasos para registrar una ubicación de Amazon S3 en modo de acceso híbrido e incorporar nuevos usuarios de Lake Formation sin interrumpir el acceso a los datos de los usuarios actuales del Catálogo de datos.
Descripción del escenario: la ubicación de los datos no está registrada en Lake Formation y el acceso de los usuarios a la base de datos y las tablas del Catálogo de datos se determina mediante las políticas de permisos de IAM para acciones de AWS Glue y Amazon S3.
De forma predeterminada, el grupo `IAMAllowedPrincipals` tiene permisos de `Super` en todas las tablas de la base de datos.
**Para habilitar el modo de acceso híbrido para una ubicación de datos no registrada en Lake Formation**
1.
**Registre una ubicación de Amazon S3 que habilite el modo de acceso híbrido.**
------
#### [ Console ]
1. Inicie sesión en la [consola de Lake Formation](https://console.aws.amazon.com/lakeformation/) como administrador del lago de datos.
1. En **Administración** del panel de navegación, seleccione las **Ubicaciones de los lagos de datos**.
1. Seleccione **Registrar ubicación**.
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-register-s3.png)
1. En la ventana **Registrar ubicación**, elija la ruta de **Amazon S3** que desee registrar en Lake Formation.
1. Para el **rol de IAM**, elija el rol vinculado al servicio `AWSServiceRoleForLakeFormationDataAccess` (valor predeterminado) o un rol de IAM personalizado que cumpla los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md).
1. Elija el **modo de acceso híbrido** para aplicar políticas específicas de control de acceso de Lake Formation a las entidades principales y a las bases de datos y tablas del Catálogo de datos que apuntan a la ubicación registrada.
Seleccione Lake Formation para permitir que Lake Formation autorice las solicitudes de acceso a la ubicación registrada.
1. Seleccione **Registrar ubicación**.
------
#### [ AWS CLI ]
El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro `HybridAccessEnabled` es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.
```
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>:role/",
"HybridAccessEnabled": true
}
```
------
1.
**Conceda permisos y seleccione entidades principales para utilizar los permisos de Lake Formation para los recursos en modo de acceso híbrido.**
Antes de inscribir entidades principales y recursos en el modo de acceso híbrido, verifique que la concesión de los permisos `Super` o `All` al grupo `IAMAllowedPrincipals` existe en las bases de datos y tablas que tienen la ubicación registrada con Lake Formation en el modo de acceso híbrido.
**nota**
No puede conceder al grupo `IAMAllowedPrincipals` permiso sobre `All tables` dentro de una base de datos. Debe seleccionar cada tabla por separado en el menú desplegable y conceder los permisos. Además, al crear nuevas tablas en la base de datos, puede optar por usar `Use only IAM access control for new tables in new databases` en la **configuración del Catálogo de datos**. Esta opción concede el permiso de `Super` al grupo `IAMAllowedPrincipals` automáticamente al crear nuevas tablas en la base de datos.
------
#### [ Console ]
1. En la consola de Lake Formation, en **Catálogo de datos**, elija **Catálogos**, **Bases de datos** o **Tablas**.
1. Seleccione un catálogo, base de datos o tabla de la lista y elija **Conceder** en el menú **Acciones**.
1. Elija entidades principales a las que conceder permisos sobre la base de datos, las tablas y las columnas utilizando el método de recursos con nombre o las etiquetas LF.
Como alternativa, elija **Permisos de datos**, seleccione las entidades principales a las que conceder permisos de la lista y elija **Conceder**.
Para obtener más información sobre la concesión de permisos de datos, consulte [Concesión de permisos sobre los recursos del Catálogo de datos](granting-catalog-permissions.md).
**nota**
Si concede a una entidad principal el permiso para crear una tablas, también deberá concederle permisos de ubicación de datos (`DATA_LOCATION_ACCESS`). Este permiso no es necesario para actualizar las tablas.
Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).
1. Si utiliza el **método de recurso con nombre** para conceder permisos, la opción de incluir entidades principales y recursos está disponible en la sección inferior de la página de **concesión de permisos de datos**.
Seleccione **Hacer efectivos inmediatamente los permisos de Lake Formation** para habilitar los permisos de Lake Formation para las entidades principales y los recursos.
![\[Opción para elegir un modo de acceso híbrido para el recurso del Catálogo de datos\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-grant-option.png)
1. Elija **Conceder**.
Al optar por la entidad principal A en la tabla A que apunta a una ubicación de datos, permite que la entidad principal A tenga acceso a la ubicación de esta tabla utilizando los permisos de Lake Formation si la ubicación de datos está registrada en modo híbrido.
------
#### [ AWS CLI ]
A continuación se muestra un ejemplo para optar por una entidad principal y una tabla en modo de acceso híbrido. Sustituya el nombre del rol, el id de la cuenta de AWS , el nombre de la base de datos y el nombre de la tabla por valores aceptables.
```
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>",
"DatabaseName": "",
"Name": ""
}
}
}
```
------
1. Si elige las etiquetas LF para la concesión de permisos, puede optar por que las entidades principales utilicen los permisos de Lake Formation en un paso aparte. Para ello, elija el **modo de acceso Híbrido** en **Permisos** de la barra de navegación izquierda.
1. En la sección inferior de la página **Modo de acceso híbrido**, seleccione **Añadir** para añadir recursos y entidades principales al modo de acceso híbrido.
1. En la página **Agregar recursos y entidades principales**, elija los catálogos, bases de datos y tablas registrados en el modo de acceso híbrido.
Puede elegir `All tables` bajo una base de datos a la que conceder acceso.
![\[Interfaz para agregar catálogos, bases de datos y tablas en modo de acceso híbrido\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-opt-in.png)
1. Elija la inscripción de entidades principales para utilizar los permisos de Lake Formation en el modo de acceso híbrido.
+ **Entidades principales**: puede elegir los usuarios y roles de IAM en la misma cuenta o en otra cuenta. También puede elegir usuarios y grupos de SAML.
+ **Atributos**: seleccione los atributos para conceder permisos en función de los atributos.
![\[Interfaz para agregar entidades principales y recursos con una expresión de atributo\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/abac-hybrid-access.png)
+ Especifique el par clave-valor para crear una concesión basada en atributos. Revise la expresión de política de Cedar resultante en la consola. Para obtener más información acerca de Cedar, consulte [¿Qué es Cedar? \$1 Referencia del lenguaje de políticas de Cedar GuideLink](https://docs.cedarpolicy.com/).
+ Elija **Añadir**.
Se concede acceso a todos los IAM roles/users con atributos coincidentes.
1. Elija **Añadir**.