

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Modo de acceso híbrido
<a name="hybrid-access-mode"></a>

AWS Lake Formation el *modo de acceso híbrido* admite dos vías de permiso para los mismos AWS Glue Data Catalog objetos.  En la primera, Lake Formation permite seleccionar entidades principales específicas y concederles permisos de Lake Formation para acceder a catálogos, bases de datos, tablas y vistas mediante inscripción. La segunda vía permite a todos los demás responsables acceder a estos recursos a través de las políticas principales de IAM predeterminadas para Amazon S3 y AWS Glue sus acciones. 

Al registrar una ubicación de Amazon S3 en Lake Formation, tiene la opción de aplicar los permisos de Lake Formation para todos los recursos de esta ubicación o utilizar el modo de acceso híbrido. El modo de acceso híbrido solo aplica los permisos `CREATE_TABLE`, `CREATE_PARTITION` y `UPDATE_TABLE` de forma predeterminada. Cuando una ubicación de Amazon S3 se encuentra en el modo híbrido, puede habilitar los permisos de Lake Formation inscribiendo entidades principales para los objetos del Catálogo de datos de esa ubicación. Esto significa que tanto los permisos de Lake Formation como los permisos de IAM pueden controlar el acceso a esos datos. Esto significa que los directores inscritos necesitarán tanto los permisos de Lake Formation como los permisos de IAM para acceder a los datos, mientras que los non-opted-in directores seguirán accediendo a los datos únicamente con los permisos de IAM.

Así, el modo de acceso híbrido proporciona la flexibilidad necesaria para habilitar de forma selectiva Lake Formation para catálogos, bases de datos y tablas de su Catálogo de datos para un conjunto específico de usuarios sin interrumpir el acceso para otros usuarios o cargas de trabajo existentes.

![\[Cuenta de AWS architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-mode-concept.png)


Para ver las consideraciones y limitaciones, consulte [Consideraciones y limitaciones del modo de acceso híbrido](notes-hybrid.md).Términos y definiciones

 A continuación se detallan las definiciones de los recursos del Catálogo de datos según la configuración de los permisos de acceso: 

Recurso de Lake Formation  
 Un recurso registrado con Lake Formation. Los usuarios necesitan permisos de Lake Formation para acceder al recurso. 

AWS Glue recurso  
Un recurso que no está registrado con Lake Formation. Los usuarios solo necesitan permisos de IAM para acceder al recurso porque tiene permisos de grupo `IAMAllowedPrincipals`. Los permisos de Lake Formation no se aplican.  
Para obtener más información sobre los permisos de grupo de `IAMAllowedPrincipals`, consulte [Permisos de metadatos](metadata-permissions.md).

Recursos híbridos  
Recursos registrados en modo de acceso híbrido. En función de los usuarios que accedan al recurso, este cambia dinámicamente entre ser un recurso de Lake Formation o un recurso de AWS Glue . 

## Casos de uso comunes del modo de acceso híbrido
<a name="hybrid-access-mode-use-cases"></a>

Puede utilizar el modo de acceso híbrido para proporcionar acceso en escenarios de uso compartido de datos de una sola cuenta y entre cuentas:

**Escenarios de una sola cuenta**
+ **Convertir un AWS Glue recurso en un recurso híbrido**: en este escenario, actualmente no está utilizando Lake Formation, pero desea adoptar los permisos de Lake Formation para los objetos del catálogo de datos. Al registrar la ubicación de Amazon S3 en modo de acceso híbrido, puede conceder permisos de Lake Formation a los usuarios que opten por acceder a bases de datos y tablas específicas que apunten a esa ubicación. 
+ **Convertir un recurso de Lake Formation en un recurso híbrido**: actualmente, utiliza los permisos de Lake Formation para controlar el acceso a una base de datos del Catálogo de datos, pero desea proporcionar acceso a nuevas entidades principales mediante los permisos de IAM para Amazon S3 y AWS Glue sin interrumpir los permisos de Lake Formation existentes.

  Al actualizar el registro de una ubicación de datos al modo de acceso híbrido, las nuevas entidades principales pueden acceder a la base de datos del Catálogo de datos que apunta a la ubicación de Amazon S3 mediante las políticas de permisos de IAM sin interrumpir los permisos de Lake Formation de los usuarios existentes.

  Antes de actualizar el registro de ubicación de datos para habilitar el modo de acceso híbrido, primero debe seleccionar las entidades principales que acceden ahora al recurso con permisos de Lake Formation.  Esto tiene como objetivo evitar una posible interrupción del flujo de trabajo actual.  También debe conceder permiso de `Super` sobre las tablas de la base de datos al grupo `IAMAllowedPrincipal`. 

**Escenarios de uso compartido de datos entre cuentas**
+ **Comparta AWS Glue recursos mediante el modo de acceso híbrido**: en este escenario, la cuenta del productor tiene tablas en una base de datos que actualmente se comparten con una cuenta de consumidor mediante políticas de permisos de IAM para Amazon S3 y AWS Glue acciones. La ubicación de los datos de la base de datos no está registrada en Lake Formation.

   Antes de registrar la ubicación de los datos en el modo de acceso híbrido, debe actualizar la **configuración de la versión entre cuentas** a la versión 4. La versión 4 proporciona las nuevas políticas de AWS RAM permisos necesarias para compartir entre cuentas cuando el `IAMAllowedPrincipal` grupo tiene `Super` permiso sobre el recurso. Para los recursos con permisos de grupo `IAMAllowedPrincipal`, puede conceder permisos de Lake Formation a cuentas externas y optar por que utilicen los permisos de Lake Formation. El administrador del lago de datos de la cuenta receptora puede conceder permisos de Lake Formation a entidades principales de la cuenta y optar por ellos para aplicar los permisos de Lake Formation. 
+ **Compartir recursos de Lake Formation utilizando el modo de acceso híbrido**: en la actualidad, la cuenta de productor tiene tablas en una base de datos que se comparten con una cuenta de consumidor que aplica los permisos de Lake Formation. La ubicación de los datos de la base de datos no está registrada en Lake Formation.

  En este caso, puede actualizar el registro de ubicación de Amazon S3 al modo de acceso híbrido y compartir los datos de Amazon S3 y los metadatos del Catálogo de datos mediante las políticas de bucket de Amazon S3 y las políticas de recursos del Catálogo de datos con las entidades principales de la cuenta del consumidor. Debe volver a conceder los permisos existentes de Lake Formation y optar por las entidades principales antes de actualizar el registro de la ubicación de Amazon S3. También debe conceder permiso de `Super` sobre las tablas de la base de datos al grupo `IAMAllowedPrincipals`.

**Topics**
+ [Casos de uso comunes del modo de acceso híbrido](#hybrid-access-mode-use-cases)
+ [Cómo funciona el modo de acceso híbrido](hybrid-access-workflow.md)
+ [Configuración del modo de acceso híbrido: escenarios comunes](hybrid-access-setup.md)
+ [Eliminación de entidades principales y recursos del modo de acceso híbrido](delete-hybrid-access.md)
+ [Eliminación de entidades principales y recursos del modo de acceso híbrido](view-hybrid-access.md)
+ [Recursos adicionales](additional-resources-hybrid.md)

# Cómo funciona el modo de acceso híbrido
<a name="hybrid-access-workflow"></a>

El diagrama siguiente muestra cómo funciona la autorización de Lake Formation en el modo de acceso híbrido al consultar los recursos del Catálogo de datos.

![\[AWS Lake Formation authorization process flowchart for hybrid access mode queries.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-workflow.png)


Antes de acceder a los datos del lago de datos, un administrador de este o un usuario con permisos administrativos configura políticas de usuario individuales de las tablas del Catálogo de datos para permitir o denegar el acceso a las tablas del Catálogo de datos. Luego, una entidad principal con permisos para la operación de `RegisterResource` registra en Lake Formation la ubicación de Amazon S3 de la tabla en modo de acceso híbrido. Si una ubicación de datos no está registrada con Lake Formation, el administrador concede permisos de Lake Formation a usuarios específicos sobre las bases de datos y tablas del Catálogo de datos y los inscribe para utilizar los permisos de Lake Formation para esas bases de datos y tablas en modo de acceso híbrido.

1. **Envía una consulta**: un director envía una consulta o un script de ETL mediante un servicio integrado como Amazon Athena, Amazon EMR o AWS Glue Amazon Redshift Spectrum.

1. **Solicita datos**: el motor analítico integrado identifica la tabla solicitada y envía la solicitud de metadatos al Catálogo de datos (`GetTable`, `GetDatabase`)

1. **Comprueba los permisos**: el Catálogo de datos verifica los permisos de acceso de la entidad principal que hace la consulta con Lake Formation.

   1. Si la tabla no tiene permisos de grupo `IAMAllowedPrincipals` adjuntos, se aplican los permisos de Lake Formation.

   1. Si la entidad principal ha optado por utilizar los permisos de Lake Formation en el modo de acceso híbrido y la tabla tiene adjuntos permisos de grupo `IAMAllowedPrincipals`, se aplicarán los permisos de Lake Formation. El motor de consulta aplica los filtros que recibió de Lake Formation y devuelve los datos al usuario.

   1. Si la ubicación de la tabla no está registrada en Lake Formation y la entidad principal no ha optado por utilizar los permisos de Lake Formation en el modo de acceso híbrido, el Catálogo de datos comprueba si la tabla tiene permisos de grupo `IAMAllowedPrincipals` adjuntos. Si existe este permiso sobre la tabla, todas las entidades principales de la cuenta obtienen los permisos `Super` o `All` sobre la tabla. 

      La venta de credenciales de Lake Formation no está disponible, incluso si se han inscrito, a menos que la ubicación de los datos esté registrada en Lake Formation.

1. **Obtener credenciales**: el Catálogo de datos comprueba y permite al motor saber si la ubicación de la tabla está registrada en Lake Formation o no. Si los datos subyacentes están registrados en Lake Formation, el motor analítico solicita a Lake Formation credenciales temporales para acceder a los datos del bucket de Amazon S3. 

1. **Obtener datos**: si la entidad principal está autorizada para acceder a los datos de la tabla, Lake Formation proporciona acceso temporal al motor analítico integrado. Mediante el acceso temporal, el motor analítico obtiene los datos de Amazon S3 y aplica el filtrado necesario, como el de columnas, filas o celdas. Cuando el motor termina de ejecutar el trabajo, devuelve los resultados al usuario. Este proceso se denomina “expedición de credenciales”. Para obtener más información, consulte [Integración de servicios de terceros con Lake Formation](Integrating-with-LakeFormation.md).

1.  Si la ubicación de los datos de la tabla no está registrada en Lake Formation, la segunda llamada desde el motor analítico se hace directamente a Amazon S3. Para el acceso a los datos se evalúan la política de buckets de Amazon S3 y la política de usuarios de IAM correspondientes. Siempre que utilice políticas de IAM, compruebe que sigue las mejores prácticas IAM. Para obtener más información, consulte la sección [Prácticas recomendadas de IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

# Configuración del modo de acceso híbrido: escenarios comunes
<a name="hybrid-access-setup"></a>

Al igual que con los permisos de Lake Formation, generalmente hay dos tipos de escenarios en los que puede usar el modo de acceso híbrido para administrar el acceso a los datos: proporcionar acceso a los directores dentro de uno Cuenta de AWS y proporcionar acceso a uno externo Cuenta de AWS o principal.

 En esta sección se proporcionan instrucciones para configurar el modo de acceso híbrido en los escenarios siguientes: 

**Administre los permisos en el modo de acceso híbrido desde un solo lugar Cuenta de AWS**
+ [Convertir un AWS Glue recurso en un recurso híbrido](hybrid-access-mode-new.md)— Actualmente proporciona acceso a las tablas de una base de datos a todos los directores de su cuenta mediante permisos de IAM para Amazon S3, AWS Glue pero desea adoptar Lake Formation para administrar los permisos de forma incremental. 
+ [Convertir un recurso de Lake Formation en un recurso híbrido](hybrid-access-mode-update.md): actualmente utiliza Lake Formation para administrar el acceso a las tablas de una base de datos para todas las entidades principales de su cuenta, pero desea utilizar Lake Formation solo para determinadas entidades principales. Desea proporcionar acceso a los nuevos directores mediante el uso de permisos de IAM para AWS Glue Amazon S3 en la misma base de datos y tablas.

**Administre los permisos en modo de acceso híbrido en s Cuenta de AWS**
+ [Compartir un AWS Glue recurso mediante el modo de acceso híbrido](hybrid-access-mode-cross-account.md): actualmente no utiliza Lake Formation para gestionar los permisos de una tabla, pero desea aplicar los permisos de Lake Formation para proporcionar acceso a las entidades principales de otra cuenta.
+ [Compartir un recurso de Lake Formation mediante el modo de acceso híbrido](hybrid-access-mode-cross-account-IAM.md)— Utiliza Lake Formation para administrar el acceso a una tabla, pero desea proporcionar acceso a los directores de otra cuenta mediante permisos de IAM para Amazon S3 AWS Glue y en la misma base de datos y tablas. 

**Configuración del modo de acceso híbrido: pasos generales**

1. Registre la ubicación de datos de Amazon S3 en Lake Formation seleccionando el **modo de acceso híbrido**. 

1. Las entidades principales deben tener permisos de `DATA_LOCATION` en una ubicación de lago de datos para crear tablas o bases de datos del Catálogo de datos que apunten a esa ubicación. 

1.  Establezca la **configuración de la versión entre cuentas** en la Versión 4. 

1. Conceda permisos específicos a roles o usuarios de IAM concretos en bases de datos y tablas. Al mismo tiempo, asegúrese de establecer permisos de `Super` o `All` para el grupo `IAMAllowedPrincipals` de la base de datos y para todas las tablas de la base de datos o para algunas de ellas.

1. Elija las entidades principales y los recursos. Los demás responsables de la cuenta pueden seguir accediendo a las bases de datos y tablas mediante las políticas de permisos de IAM AWS Glue y las acciones de Amazon S3.

1. También puede limpie las políticas de permisos de IAM para Amazon S3 para las entidades principales que hayan optado por usar los permisos de Lake Formation.

# Requisitos previos para configurar el modo de acceso híbrido
<a name="hybrid-access-prerequisites"></a>

A continuación se detallan los requisitos previos para configurar el modo de acceso híbrido: 

**nota**  
 Recomendamos que un administrador de Lake Formation registre la ubicación de Amazon S3 en modo de acceso híbrido y opte por entidades principales y recursos. 

1. Otorgue el permiso de ubicación de datos (`DATA_LOCATION_ACCESS`) para crear recursos del Catálogo de datos que apunten a las ubicaciones de Amazon S3. Los permisos de ubicación de datos controlan la capacidad de crear catálogos, bases de datos y tablas del Catálogo de datos que apuntan a ubicaciones concretas de Amazon S3. 

1. Para compartir los recursos del catálogo de datos con otra cuenta en modo de acceso híbrido (sin eliminar los permisos de `IAMAllowedPrincipals` grupo del recurso), debe actualizar la **configuración de la versión multicuenta** a la versión 4 o superior. Para actualizar la versión mediante la consola Lake Formation, elija la **versión 4** o la **versión 5** en la **configuración de la versión entre cuentas** en la página de **configuración del catálogo de datos**. 

   También puede usar el `put-data-lake-settings` AWS CLI comando para establecer el `CROSS_ACCOUNT_VERSION` parámetro en la versión 4 o 5:

   ```
   aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
   {
   "DataLakeAdmins": [
           {
   "DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/<user-name>"
           }
       ],
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "Parameters": {
   "CROSS_ACCOUNT_VERSION": "5"
       }
   }
   ```

1.  Para conceder permisos entre cuentas en el modo de acceso híbrido, el otorgante debe tener los permisos de IAM y los servicios necesarios. AWS Glue AWS RAM La política AWS gestionada `AWSLakeFormationCrossAccountManager` concede los permisos necesarios.  Para permitir el intercambio de datos entre cuentas en el modo de acceso híbrido, hemos actualizado la política administrada `AWSLakeFormationCrossAccountManager` añadiendo dos nuevos permisos de IAM:
   + RAM: ListResourceSharePermissions
   + RAM: AssociateResourceSharePermission
**nota**  
Si no utilizas la política AWS gestionada para el rol de otorgante, añade las políticas anteriores a tus políticas personalizadas.

## Ubicación del bucket de Amazon S3 y acceso de los usuarios
<a name="w2aac11c34c21c15b9"></a>

Al crear un catálogo, una base de datos o una tabla en AWS Glue Data Catalog, puede especificar la ubicación del depósito de Amazon S3 de los datos subyacentes y registrarlos en Lake Formation. En las tablas siguientes se describe cómo funcionan los permisos para AWS Glue los usuarios (principales) de Lake Formation en función de la ubicación de datos de Amazon S3 de la tabla o base de datos. 


**Ubicación de Amazon S3 registrada con Lake Formation**  

| Ubicación de Amazon S3 de una base de datos | AWS Glue usuarios | Usuarios de Lake Formation | 
| --- | --- | --- | 
|  Registro en Lake Formation (en modo de acceso híbrido o en modo Lake Formation)  |  Tenga read/write acceso a la ubicación de datos de Amazon S3 heredando los permisos del grupo IAMAllowed Principals (superacceso).  | Herede permisos para crear tablas a partir del permiso CREATE TABLE concedido. | 
| Ninguna ubicación de Amazon S3 asociada |  Se requiere un permiso DATA LOCATION explícito para ejecutar las instrucciones CREATE TABLE e INSERT TABLE.  |  Se requiere un permiso DATA LOCATION explícito para ejecutar las instrucciones CREATE TABLE e INSERT TABLE.  | 

****IsRegisteredWithLakeFormation**propiedad de la tabla**  
La propiedad `IsRegisteredWithLakeFormation` de una tabla indica si la ubicación de los datos de la tabla está registrada en Lake Formation para el solicitante. Si el modo de permiso de la ubicación está registrado como Lake Formation, la propiedad `IsRegisteredWithLakeFormation` es `true` para todos los usuarios que accedan a la ubicación de datos, ya que se considera que todos los usuarios han optado por participar en esa tabla. Si la ubicación está registrada en modo de acceso híbrido, el valor se establece en `true` solo para los usuarios que hayan optado por esa tabla. 


**Cómo funciona `IsRegisteredWithLakeFormation`**  

| Modo de permisos | Usuarios/roles |  `IsRegisteredWithLakeFormation`  | Description (Descripción) | 
| --- | --- | --- | --- | 
|  Lake Formation  | Todos | True |  Cuando se registre una ubicación en Lake Formation, la propiedad `IsRegisteredWithLakeFormation` se establecerá como verdadera para todos los usuarios. Esto significa que los permisos definidos en Lake Formation se aplican a la ubicación registrada. Lake Formation se encargará de la dispensación de credenciales.  | 
| Modo de acceso híbrido | Inscrito | True |  En el caso de los usuarios que se hayan inscrito para usar Lake Formation para el acceso a los datos y la gobernanza de una tabla, la propiedad `IsRegisteredWithLakeFormation` se establecerá en `true` para dicha tabla. Están sujetos a las políticas de permisos definidas en Lake Formation para la ubicación registrada.  | 
| Modo de acceso híbrido | No inscrito | False |  En el caso de los usuarios que no se hayan inscrito para utilizar los permisos de Lake Formation, la propiedad `IsRegisteredWithLakeFormation` se establece en `false`. No están sujetos a las políticas de permisos definidas en Lake Formation para la ubicación registrada. En su lugar, los usuarios seguirán las políticas de permisos de Amazon S3.  | 

# Convertir un AWS Glue recurso en un recurso híbrido
<a name="hybrid-access-mode-new"></a>

Siga estos pasos para registrar una ubicación de Amazon S3 en modo de acceso híbrido e incorporar nuevos usuarios de Lake Formation sin interrumpir el acceso a los datos de los usuarios actuales del Catálogo de datos. 

Descripción del escenario: la ubicación de los datos no está registrada en Lake Formation y el acceso de los usuarios a la base de datos y las tablas del Catálogo de datos se determina mediante las políticas de permisos de IAM para acciones de AWS Glue y Amazon S3.  De forma predeterminada, el grupo `IAMAllowedPrincipals` tiene permisos de `Super` en todas las tablas de la base de datos. 

**Para habilitar el modo de acceso híbrido para una ubicación de datos no registrada en Lake Formation**

1. 

**Registre una ubicación de Amazon S3 que habilite el modo de acceso híbrido.**

------
#### [ Console ]

   1. Inicie sesión en la [consola de Lake Formation](https://console.aws.amazon.com/lakeformation/) como administrador del lago de datos. 

   1. En **Administración** del panel de navegación, seleccione las **Ubicaciones de los lagos de datos**.

   1. Seleccione **Registrar ubicación**.  
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. En la ventana **Registrar ubicación**, elija la ruta de **Amazon S3** que desee registrar en Lake Formation. 

   1. Para el **rol de IAM**, elija el rol vinculado al servicio `AWSServiceRoleForLakeFormationDataAccess` (valor predeterminado) o un rol de IAM personalizado que cumpla los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). 

   1. Elija el **modo de acceso híbrido** para aplicar políticas específicas de control de acceso de Lake Formation a las entidades principales y a las bases de datos y tablas del Catálogo de datos que apuntan a la ubicación registrada. 

      Seleccione Lake Formation para permitir que Lake Formation autorice las solicitudes de acceso a la ubicación registrada. 

   1. Seleccione **Registrar ubicación**.

------
#### [ AWS CLI ]

   El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro `HybridAccessEnabled` es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.

   ```
   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**Conceda permisos y seleccione entidades principales para utilizar los permisos de Lake Formation para los recursos en modo de acceso híbrido.**

   Antes de inscribir entidades principales y recursos en el modo de acceso híbrido, verifique que la concesión de los permisos `Super` o `All` al grupo `IAMAllowedPrincipals` existe en las bases de datos y tablas que tienen la ubicación registrada con Lake Formation en el modo de acceso híbrido.
**nota**  
No puede conceder al grupo `IAMAllowedPrincipals` permiso sobre `All tables` dentro de una base de datos. Debe seleccionar cada tabla por separado en el menú desplegable y conceder los permisos. Además, al crear nuevas tablas en la base de datos, puede optar por usar `Use only IAM access control for new tables in new databases` en la **configuración del Catálogo de datos**. Esta opción concede el permiso de `Super` al grupo `IAMAllowedPrincipals` automáticamente al crear nuevas tablas en la base de datos. 

------
#### [ Console ]

   1. En la consola de Lake Formation, en **Catálogo de datos**, elija **Catálogos**, **Bases de datos** o **Tablas**.

   1. Seleccione un catálogo, base de datos o tabla de la lista y elija **Conceder** en el menú **Acciones**.

   1. Elija entidades principales a las que conceder permisos sobre la base de datos, las tablas y las columnas utilizando el método de recursos con nombre o las etiquetas LF.

      Como alternativa, elija **Permisos de datos**, seleccione las entidades principales a las que conceder permisos de la lista y elija **Conceder**.

      Para obtener más información sobre la concesión de permisos de datos, consulte [Concesión de permisos sobre los recursos del Catálogo de datos](granting-catalog-permissions.md).
**nota**  
Si concede a una entidad principal el permiso para crear una tablas, también deberá concederle permisos de ubicación de datos (`DATA_LOCATION_ACCESS`). Este permiso no es necesario para actualizar las tablas.  
Para obtener más información, consulte [Conceder permisos de ubicación de datos](granting-location-permissions.md).

   1. Si utiliza el **método de recurso con nombre** para conceder permisos, la opción de incluir entidades principales y recursos está disponible en la sección inferior de la página de **concesión de permisos de datos**. 

      Seleccione **Hacer efectivos inmediatamente los permisos de Lake Formation** para habilitar los permisos de Lake Formation para las entidades principales y los recursos.  
![\[Opción para elegir un modo de acceso híbrido para el recurso del Catálogo de datos\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. Elija **Conceder**.

       Al optar por la entidad principal A en la tabla A que apunta a una ubicación de datos, permite que la entidad principal A tenga acceso a la ubicación de esta tabla utilizando los permisos de Lake Formation si la ubicación de datos está registrada en modo híbrido. 

------
#### [ AWS CLI ]

   A continuación se muestra un ejemplo para optar por una entidad principal y una tabla en modo de acceso híbrido. Sustituya el nombre del rol, el id de la cuenta de AWS , el nombre de la base de datos y el nombre de la tabla por valores aceptables.

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }
   ```

------

   1. Si elige las etiquetas LF para la concesión de permisos, puede optar por que las entidades principales utilicen los permisos de Lake Formation en un paso aparte. Para ello, elija el **modo de acceso Híbrido** en **Permisos** de la barra de navegación izquierda.

   1.  En la sección inferior de la página **Modo de acceso híbrido**, seleccione **Añadir** para añadir recursos y entidades principales al modo de acceso híbrido. 

   1.  En la página **Agregar recursos y entidades principales**, elija los catálogos, bases de datos y tablas registrados en el modo de acceso híbrido. 

      Puede elegir `All tables` bajo una base de datos a la que conceder acceso.  
![\[Interfaz para agregar catálogos, bases de datos y tablas en modo de acceso híbrido\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. Elija la inscripción de entidades principales para utilizar los permisos de Lake Formation en el modo de acceso híbrido.
      +  **Entidades principales**: puede elegir los usuarios y roles de IAM en la misma cuenta o en otra cuenta. También puede elegir usuarios y grupos de SAML.
      + **Atributos**: seleccione los atributos para conceder permisos en función de los atributos.  
![\[Interfaz para agregar entidades principales y recursos con una expresión de atributo\]](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + Especifique el par clave-valor para crear una concesión basada en atributos. Revise la expresión de política de Cedar resultante en la consola. Para obtener más información acerca de Cedar, consulte [¿Qué es Cedar? \$1 Referencia del lenguaje de políticas de Cedar GuideLink](https://docs.cedarpolicy.com/).
      + Elija **Añadir**.

        Se concede acceso a todos los IAM roles/users con atributos coincidentes.

   1. Elija **Añadir**.

# Convertir un recurso de Lake Formation en un recurso híbrido
<a name="hybrid-access-mode-update"></a>

En los casos en los que esté utilizando permisos de Lake Formation para sus bases de datos y tablas del Catálogo de datos, puede editar las propiedades de registro de la ubicación para activar el modo de acceso híbrido. Esto le permite proporcionar a los nuevos directores acceso a los mismos recursos mediante las políticas de permisos y AWS Glue acciones de IAM para Amazon S3 sin interrumpir los permisos existentes de Lake Formation.

 Descripción del escenario: en los siguientes pasos se asume que tiene una ubicación de datos registrada en Lake Formation y que ha configurado permisos para entidades principales en bases de datos, tablas o columnas que apuntan a esa ubicación. Si la ubicación se registró con un rol vinculado a un servicio, no podrá actualizar los parámetros de ubicación ni habilitar el modo de acceso híbrido. De forma predeterminada, el grupo `IAMAllowedPrincipals` tiene permisos Super sobre la base de datos y todas sus tablas. 

**importante**  
No actualice un registro de ubicación al modo híbrido sin inscribirse en las entidades principales que acceden a los datos de esta ubicación.

**Activación del modo de acceso híbrido para una ubicación de datos registrada en Lake Formation**

1. 
**aviso**  
No recomendamos convertir una ubicación de datos administrada de Lake Formation en un modo de acceso híbrido para evitar interrumpir las políticas de permisos de otros usuarios o cargas de trabajo existentes.

   Opte por las entidades principales existentes que tengan permisos de Lake Formation.

   1. Recopile y revise los permisos que ha concedido a las entidades principales sobre los catálogos, bases de datos y tablas. Para obtener más información, consulte [Consulta de los permisos de bases de datos y tablas en Lake Formation](viewing-permissions.md). 

   1. Elija el **modo de acceso Híbrido** en **Permisos** de la barra de navegación izquierda y seleccione **Añadir**. 

   1. En la página **Agregar entidades principales y recursos**, elija los catálogos, bases de datos y tablas de la ubicación de datos de Amazon S3 que desee utilizar en el modo de acceso híbrido. Elija las entidades principales que ya tienen permisos de Lake Formation. 

   1.  Elija **Añadir** para optar a que las entidades principales utilicen los permisos de Lake Formation en el modo de acceso híbrido.

1.  Actualice el bucket/prefix registro de Amazon S3 seleccionando la opción de **modo de acceso híbrido**. 

------
#### [ Console ]

   1. Inicie sesión en la consola de Lake Formation como administrador del lago de datos.

   1.  En el panel de navegación, vaya a **Registrar e ingerir** y seleccione las **ubicaciones de los lagos de datos**.

   1. Seleccione una ubicación y, en el menú **Acciones**, seleccione **Editar**.

   1. Elija **Modo de acceso híbrido**. 

   1. Seleccione **Save**. 

   1. En el Catálogo de datos, seleccione la base de datos o tabla y conceda permisos `Super` o `All` al grupo virtual denominado `IAMAllowedPrincipals`. 

   1.  Compruebe que el acceso de sus usuarios actuales de Lake Formation no se interrumpa al actualizar las propiedades de registro de la ubicación. Inicie sesión en la consola de Athena como entidad principal de Lake Formation y ejecute una consulta de ejemplo en una tabla que apunte a la ubicación actualizada. 

      Del mismo modo, compruebe el acceso de AWS Glue los usuarios que utilizan las políticas de permisos de IAM para acceder a la base de datos y a las tablas.

------
#### [ AWS CLI ]

   El siguiente es un ejemplo para registrar una ubicación de datos con Lake Formation HybridAccessEnabled con:true/false. El valor predeterminado para el parámetro `HybridAccessEnabled` es false. Sustituya la ruta, el nombre del rol y el identificador de AWS cuenta de Amazon S3 por valores válidos.

   ```
   aws lakeformation update-resource --cli-input-json file://file path
   json:
   {
       "ResourceArn": "arn:aws:s3:::<s3-path>",
       "RoleArn": "arn:aws:iam::<123456789012>:role/<test>",
       "HybridAccessEnabled": true
   }
   ```

------

# Compartir un AWS Glue recurso mediante el modo de acceso híbrido
<a name="hybrid-access-mode-cross-account"></a>

Comparta datos con otra persona Cuenta de AWS o con un director en otra persona Cuenta de AWS haciendo cumplir los permisos de Lake Formation sin interrumpir el acceso basado en IAM de los usuarios existentes del Catálogo de Datos. 

Descripción del escenario: la cuenta del productor tiene una base de datos del catálogo de datos cuyo acceso está controlado mediante las principales políticas y AWS Glue acciones de IAM para Amazon S3. La ubicación de los datos de la base de datos no está registrada en Lake Formation. De forma predeterminada, el grupo `IAMAllowedPrincipals` tiene permisos `Super` sobre la base de datos y todas sus tablas. 

**Conceder permisos entre cuentas de Lake Formation en modo de acceso híbrido**

1. 

**Configuración de una cuenta de productor**

   1. Inicie sesión en la consola de Lake Formation con un rol que tenga permiso `lakeformation:PutDataLakeSettings` de IAM.

   1. Vaya a la **configuración del Catálogo de datos** y seleccione `Version 4` para la **configuración de la versión entre cuentas**.

      Si utiliza la versión 1 o 2, consulte las instrucciones de [Actualización de los ajustes de la versión entre cuentas para compartir datos](optimize-ram.md) para actualizar a la versión 3. 

      No es necesario hacer cambios en la política de permisos para actualizar de la versión 3 a la 4.

   1. Registre la ubicación en Amazon S3 de la base de datos o tabla que planea compartir en el modo de acceso híbrido.

   1. Compruebe que existe permiso `Super` para el grupo `IAMAllowedPrincipals` en las bases de datos y tablas en las que registró la ubicación de datos en modo de acceso híbrido en el paso anterior. 

   1. Otorgue permisos de Lake Formation a AWS organizaciones, unidades organizativas (OUs) o directamente con un director de IAM en otra cuenta.

   1. Si concede los permisos directamente a una entidad principal de IAM, opte por que la entidad principal de la cuenta de consumidor aplique los permisos de Lake Formation en el modo de acceso híbrido activando la opción **Hacer efectivos inmediatamente los permisos de Lake Formation**.

       Si vas a conceder permisos multicuenta a otra AWS cuenta, al activar la cuenta, los permisos de Lake Formation solo se aplican a los administradores de esa cuenta. El administrador del lago de datos de la cuenta de destinatario tiene que aplicar en cascada los permisos y optar por las entidades principales de la cuenta para hacer cumplir los permisos de Lake Formation para los recursos compartidos que están en modo de acceso híbrido.

      Si elige la opción **Recursos emparejados por etiquetas LF** para conceder permisos entre cuentas, deberá completar primero el paso de concesión de permisos. Puede optar por el modo de acceso híbrido para entidades principales y recursos como un paso separado, seleccionando el **modo de acceso híbrido** en Permisos en la barra de navegación izquierda de la consola de Lake Formation. Luego, seleccione **Agregar** para agregar los recursos y las entidades principales a los que desea aplicar los permisos de Lake Formation. 

1. 

**Configuración de una cuenta de consumidor**

   1. Inicie sesión en la consola de Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)como administrador de un lago de datos.

   1. Ve a [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home) y acepta la invitación para compartir recursos. La pestaña **Compartido conmigo** de la AWS RAM consola muestra la base de datos y las tablas que se comparten con su cuenta.

   1.  Cree un enlace de recursos a la and/or tabla de base de datos compartida en Lake Formation.

   1.  Conceda permiso `Describe` en el enlace de recursos y permiso `Grant on target` (para el recurso compartido original) a las entidades principales de IAM de su cuenta (de consumidor). 

   1.  Conceda a las entidades principales de su cuenta permisos de Lake Formation en la base de datos o tabla compartida. Indique a las entidades principales y a los recursos que apliquen los permisos de Lake Formation en el modo de acceso híbrido activando la opción **Hacer efectivos inmediatamente los permisos de Lake Formation**.

   1.  Pruebe los permisos de Lake Formation de la entidad principal ejecutando consultas Athena de ejemplo. Pruebe el acceso actual de sus AWS Glue usuarios con las políticas principales de IAM para Amazon S3 y AWS Glue sus acciones.

      (Opcional) Elimine la política de bucket de Amazon S3 para el acceso a los datos y las políticas principales de IAM para AWS Glue y el acceso a los datos de Amazon S3 para las entidades principales que configuró para usar los permisos de Lake Formation.

# Compartir un recurso de Lake Formation mediante el modo de acceso híbrido
<a name="hybrid-access-mode-cross-account-IAM"></a>

Autorice a los nuevos usuarios del Catálogo de datos de una cuenta externa a acceder a las bases de datos y tablas del Catálogo de datos mediante políticas basadas en IAM sin interrumpir los permisos existentes de uso compartido entre cuentas de Lake Formation.

Descripción del escenario. La cuenta del productor tiene una base de datos y tablas administradas por Lake Formation que se comparten con una cuenta externa (de consumidor) a nivel de cuenta o a nivel de entidad principal de IAM. La ubicación de los datos de la base de datos está registrada en Lake Formation. El grupo `IAMAllowedPrincipals` no tiene permisos `Super` en la base de datos ni en sus tablas. 

**Conceder acceso entre cuentas a nuevos usuarios del Catálogo de datos mediante políticas basadas en IAM sin interrumpir el permiso existente de Lake Formation.**

1. 

**Configuración de una cuenta de productor**

   1. Inicie sesión en la consola de Lake Formation con un rol que `lakeformation:PutDataLakeSettings`. 

   1. Vaya a la **configuración del Catálogo de datos** y seleccione `Version 4` para la **configuración de la versión entre cuentas**.

      Si utiliza la versión 1 o 2, consulte las instrucciones de [Actualización de los ajustes de la versión entre cuentas para compartir datos](optimize-ram.md) para actualizar a la versión 3. 

      No es necesario hacer cambios en la política de permisos para actualizar de la versión 3 a la 4.

   1. Recopile y revise los permisos que ha concedido a las entidades principales sobre las bases de datos y las tablas. Para obtener más información, consulte [Consulta de los permisos de bases de datos y tablas en Lake Formation](viewing-permissions.md). 

   1.  Vuelva a conceder los permisos entre cuentas existentes de Lake Formation optando por entidades principales y recursos.
**nota**  
Antes de actualizar el registro de una ubicación de datos al modo de acceso híbrido para conceder permisos entre cuentas, debe volver a conceder al menos un recurso compartido de datos entre cuentas por cuenta. Este paso es necesario para actualizar los permisos AWS RAM administrados adjuntos al AWS RAM recurso compartido.  
En julio de 2023, Lake Formation actualizó los permisos AWS RAM gestionados que se utilizan para compartir bases de datos y tablas:  
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase` (política de uso compartido a nivel de base de datos)
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite` (política de uso compartido a nivel de tabla) 
Las concesiones de permisos multicuenta realizadas antes de julio de 2023 no tienen estos AWS RAM permisos actualizados.   
Si ha concedido permisos para varias cuentas directamente a las entidades principales, tendrá que volver a concederlos individualmente. Si omite este paso, las entidades principales que accedan al recurso compartido podrían obtener un error de combinación ilegal. 

   1. Ve a [https://console.aws.amazon.com/ram/casa.](https://console.aws.amazon.com/ram/home) 

   1. La pestaña **Compartidos por mí** de la AWS RAM consola muestra los nombres de bases de datos y tablas que has compartido con una cuenta o entidad principal externa.

       Asegúrese de que los permisos adjuntos al recurso compartido tengan el ARN correcto. 

   1. Comprueba que los recursos del AWS RAM recurso compartido estén en `Associated` estado. Si el estado es `Associating`, espere a que pasen al estado `Associated`. Si el estado pasa a ser `Failed`, deténgase y póngase en contacto con el equipo de servicio de Lake Formation. 

   1. Elija el **modo de acceso Híbrido** en **Permisos** de la barra de navegación izquierda y seleccione **Añadir**. 

   1.  La página **Agregar entidades principales y recursos** muestra las bases de datos, and/or las tablas y las entidades principales a las que se puede acceder. Para efectuar las actualizaciones necesarias, añada o quite entidades principales y recursos.

   1.  Elija las entidades principales con permisos de Lake Formation para la base de datos y las tablas que desea cambiar al modo de acceso híbrido. Elija las bases de datos y tablas. 

   1.  Elija **Añadir** para que las entidades principales puedan utilizar los permisos de Lake Formation en el modo de acceso híbrido.

   1.  Conceda permiso `Super` al grupo virtual `IAMAllowedPrincipals` de su base de datos y de las tablas seleccionadas. 

   1. Edite el registro de Lake Formation de la ubicación de Amazon S3 en modo de acceso híbrido.

   1. Otorgue permisos a los AWS Glue usuarios de la cuenta externa (de consumidor) mediante las políticas de permisos de IAM para las AWS Glue acciones de Amazon S3. 

1. 

**Configuración de una cuenta de consumidor**

   1. Inicie sesión en la consola de Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)como administrador de un lago de datos. 

   1. Ve a [https://console.aws.amazon.com/ram/casa](https://console.aws.amazon.com/ram/home) y acepta la invitación para compartir recursos. La pestaña **Recursos compartidos conmigo** de la AWS RAM página muestra los nombres de las bases de datos y las tablas que se comparten con su cuenta.

       Para AWS RAM compartir, asegúrate de que el permiso adjunto tenga el ARN correcto de la invitación compartida AWS RAM . Comprueba si los recursos del recurso AWS RAM compartido están en `Associated` estado. Si el estado es `Associating`, espere a que pasen al estado `Associated`. Si el estado pasa a ser `Failed`, deténgase y póngase en contacto con el equipo de servicio de Lake Formation. 

   1.  Cree un enlace de recursos a la and/or tabla de base de datos compartida en Lake Formation.

   1.  Conceda permiso `Describe` en el enlace de recursos y permiso `Grant on target` (para el recurso compartido original) a las entidades principales de IAM de su cuenta (de consumidor). 

   1. A continuación, configure los permisos de Lake Formation para las entidades principales de su cuenta en la base de datos o tabla compartida.

      En la barra de navegación de la izquierda, en **Permisos**, elija el **modo de acceso Híbrido**.

   1.  Seleccione **Añadir** en la sección inferior de la página del **modo de acceso híbrido** para optar por las entidades principales y la base de datos o tabla compartida de la cuenta de productor.

   1.  Conceda permisos a los AWS Glue usuarios de su cuenta mediante las políticas de permisos de IAM para las AWS Glue acciones de Amazon S3. 

   1.  Pruebe los permisos y AWS Glue permisos de Lake Formation de los usuarios ejecutando consultas de ejemplo independientes en la tabla con Athena

      (Opcional) Limpie las políticas de permisos de IAM para Amazon S3 para las entidades principales que se encuentran en el modo de acceso híbrido.

# Eliminación de entidades principales y recursos del modo de acceso híbrido
<a name="delete-hybrid-access"></a>

 Siga estos pasos para eliminar bases de datos, tablas y entidades principales del modo de acceso híbrido. 

------
#### [ Console ]

1. Inicie sesión en la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. En **Permisos**, seleccione el **modo de acceso híbrido**.

1.  En la página **Modo de acceso híbrido**, marque la casilla situada junto al nombre de la base de datos o tabla y elija `Remove`. 

1. Un mensaje de advertencia le solicitará que confirme la acción. Elija **Eliminar **.

   Lake Formation ya no exige permisos para esos recursos, y el acceso a este recurso se controlará mediante IAM y AWS Glue permisos. Esto puede provocar que el usuario deje de tener acceso a este recurso si no tiene los permisos de IAM adecuados. 

------
#### [ AWS CLI ]

 En el siguiente ejemplo, se muestra cómo eliminar recursos del modo de acceso híbrido. 

```
aws lakeformation delete-lake-formation-opt-in --cli-input-json file://file path

json:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/role name"
    },
    "Resource": {
        "Table": {
            "CatalogId": "<123456789012>",
            "DatabaseName": "<database name>",
            "Name": "<table name>"
          }
    }
}
```

------

# Eliminación de entidades principales y recursos del modo de acceso híbrido
<a name="view-hybrid-access"></a>

 Siga estos pasos para eliminar bases de datos, tablas y entidades principales del modo de acceso híbrido. 

------
#### [ Console ]

1. Inicie sesión en la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. En **Permisos**, seleccione el **modo de acceso híbrido**.

1.  La página **Modo de acceso híbrido** muestra los recursos y entidades principales presentes en el modo de acceso híbrido. 

------
#### [ AWS CLI ]

 En el ejemplo siguiente, se muestra cómo enumerar todas las entidades principales y recursos que están en el modo de acceso híbrido. 

```
      
aws lakeformation list-lake-formation-opt-ins
```

 El siguiente ejemplo muestra cómo enumerar un par específico de entidad principal-recurso.

```
aws lakeformation list-lake-formation-opt-ins --cli-input-json file://file path

json:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::<account-id>:role/<role name>"
    },
    "Resource": {
        "Table": {
            "CatalogId": "<account-id>",
            "DatabaseName": "<database name>",
            "Name": "<table name>"
          }
    }
}
```

------

# Recursos adicionales
<a name="additional-resources-hybrid"></a>

En la siguiente entrada del blog, le guiaremos a través de las instrucciones para incorporar los permisos de Lake Formation en modo de acceso híbrido para los usuarios seleccionados, mientras que la base de datos ya es accesible para otros usuarios a través de los permisos de IAM y Amazon S3. Revisaremos las instrucciones para configurar el modo de acceso híbrido dentro de una AWS cuenta y entre dos cuentas. 
+ [Presentamos el modo de acceso híbrido AWS Glue Data Catalog para proteger el acceso mediante Lake Formation y las políticas de IAM y Amazon S3.](https://aws.amazon.com/blogs/big-data/introducing-hybrid-access-mode-for-aws-glue-data-catalog-to-secure-access-using-aws-lake-formation-and-iam-and-amazon-s3-policies/)