Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cambiar los controles de acceso para la integración de S3 Tables
Una vez que haya integrado Amazon S3 Tables con AWS Glue Data Catalog, puede cambiar la forma en que se controla el acceso a los recursos del catálogo. En esta sección, se explica cómo cambiar el control de acceso en función del modelo de control de acceso actual y deseado. Habilitar Lake Formation le permite usar permisos detallados, como la seguridad a nivel de columna y fila, a través de las subvenciones de Lake Formation, y permite a Lake Formation vender credenciales temporales en nombre de los directores a través de un puesto registrado. Al cambiar el control de acceso AWS Lake Formation a IAM, el control de acceso vuelve a las políticas de IAM estándar, lo que puede resultar adecuado si sus cargas de trabajo no requieren un acceso detallado y si prefiere gestionar los permisos completamente a través de IAM. Ambas rutas de migración implican actualizar los valores predeterminados del catálogo de datos, ajustar los registros de recursos con Lake Formation y coordinar las concesiones de permisos para evitar interrupciones en el acceso durante la transición.
**Topics**
+ [Habilite la integración de Lake Formation con S3 Tables con Data Catalog](change-access-iam-to-lf.md)
+ [Cambie el control de acceso de AWS Lake Formation a IAM](change-access-lf-to-iam.md)
# Habilite la integración de Lake Formation con S3 Tables con Data Catalog
En esta sección se describe el flujo de trabajo para migrar el control de acceso de los privilegios de IAM a IAM con AWS Lake Formation concesiones para las tablas de Amazon S3 integradas en. AWS Glue Data Catalog
**importante**
Al habilitar el control de AWS Lake Formation acceso, se revocarán todos los accesos existentes basados en IAM a sus recursos de S3 Tables. Tras completar el paso 1, los usuarios y roles que anteriormente accedían a los datos mediante permisos de IAM perderán el acceso de forma inmediata. Debe conceder los permisos de Lake Formation en el paso 2 para que los usuarios puedan volver a consultar los datos. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.
## Requisitos previos
Para read/write acceder a S3 Tables, además de los permisos de Lake Formation, los directores también necesitan el permiso de `lakeformation:GetDataAccess` IAM. Con este permiso, Lake Formation concede la solicitud de credenciales temporales para acceder a los datos.
## Usando AWS CLI
1. **Paso 1: Registrar un depósito en Lake Formation mediante el rol de IAM**
Registre el recurso S3 Tables en Lake Formation.
**nota**
Si ya tiene un rol, asegúrese de que el acceso híbrido sea falso.
```
aws lakeformation register-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
--role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
--with-federation
```
1. **Paso 2: Actualizar el AWS Glue catálogo para habilitar el control de acceso a Lake Formation**
Actualice el catálogo con los valores vacíos `CreateDatabaseDefaultPermissions` y `CreateTableDefaultPermissions` (configurados en`[]`) y `OverwriteChildResourcePermissionsWithDefault` configurados en`Accept`. Esto elimina el acceso basado en IAM de todos los recursos secundarios existentes y permite gestionar el catálogo y sus objetos mediante las subvenciones de Lake Formation.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"OverwriteChildResourcePermissionsWithDefault": "Accept",
"AllowFullTableExternalDataAccess": "True"
}'
```
1. **Paso 3: Otorgue permisos de Lake Formation a su equipo de datos**
Otorgue permisos a Lake Formation a los directores (roles, usuarios o grupos) que necesiten acceso. Por ejemplo, para conceder acceso de lectura a una tabla completa a un rol:
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
--resource '{
"Table": {
"CatalogId": "AWSAccountID",
"DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
"TableWildcard": {}
}
}' \
--permissions "SELECT" "DESCRIBE"
```
Repita el procedimiento para cada combinación principal y de recursos según sea necesario.
# Cambie el control de acceso de AWS Lake Formation a IAM
En esta sección se describe el flujo de trabajo para cambiar el control de acceso de AWS Lake Formation concesiones a privilegios de IAM para las tablas de Amazon S3 integradas con. AWS Glue Data Catalog
**importante**
Si cambias el control de acceso de AWS Lake Formation las subvenciones al IAM, se revocarán todos los accesos existentes basados en Lake Formation a tus recursos de S3 Tables. Después de completar el paso 2, los usuarios y roles que anteriormente accedieron a los datos a través de las subvenciones de Lake Formation perderán el acceso inmediatamente. Debe conceder el acceso a IAM en el paso 1 antes de actualizar el catálogo. Planifique esta migración durante un período de mantenimiento y coordine con su equipo de datos.
**importante**
Los controles de acceso detallados, como el acceso a nivel de columnas y los filtros de celdas de datos, junto con los objetos del catálogo de datos, están disponibles solo cuando se utilizan. AWS Lake Formation Antes de proceder a migrar los controles de acceso de IAM AWS Lake Formation a IAM, audite sus subvenciones actuales de Lake Formation `aws lakeformation list-permissions` y determine si las políticas de IAM equivalentes pueden proporcionar el acceso que necesitan sus usuarios. Cualquier director que dependiera de subvenciones detalladas de Lake Formation necesitará un acceso completo a la IAM a nivel de mesa después de migrar el control de acceso.
## Requisitos previos
Antes de empezar, asegúrese de lo siguiente:
+ Has identificado todas las subvenciones de Lake Formation actualmente en vigor para los recursos que se están migrando. Corre `aws lakeformation list-permissions --resource-type TABLE` a revisarlas.
+ Ha preparado políticas de IAM que proporcionan un acceso equivalente a todos los directores afectados.
+ El rol de IAM registrado en Lake Formation aún lo tiene `lakeformation:GetDataAccess` (necesario durante el período de transición híbrida).
## Usando AWS CLI
1. **Paso 1: Otorgar permisos de IAM a los directores**
Adjunte las políticas de IAM a los usuarios o roles a los que necesiten acceso. La política debe incluir tanto AWS Glue los permisos de metadatos como los permisos de datos de S3 Tables.
**nota**
El siguiente ejemplo de política solo proporciona acceso de lectura.
```
aws iam put-user-policy \
--user-name GlueIAMAccessUser \
--policy-name S3TablesIAMAccessPolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GlueMetadataAccess",
"Effect": "Allow",
"Action": [
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable"
],
"Resource": [
"arn:aws:glue:us-east-1:AWSAccountID:catalog/s3tablescatalog",
"arn:aws:glue:us-east-1:AWSAccountID:database/s3tablescatalog/table-bucket-name/namespace",
"arn:aws:glue:us-east-1:AWSAccountID:table/s3tablescatalog/table-bucket-name/namespace/*"
]
},
{
"Sid": "S3TablesDataAccess",
"Effect": "Allow",
"Action": [
"s3tables:GetTableBucket",
"s3tables:GetTable",
"s3tables:GetTableMetadataLocation",
"s3tables:GetTableData"
],
"Resource": [
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name",
"arn:aws:s3tables:us-east-1:AWSAccountID:bucket/table-bucket-name/table/*"
]
}
]
}'
```
Compruebe que todos los usuarios y roles afectados puedan acceder a las tablas esperadas con sus credenciales de IAM antes de continuar.
1. **Paso 2: Actualice el catálogo para restaurar los permisos predeterminados de IAM**
Actualice el catálogo para eso `CreateDatabaseDefaultPermissions` y `CreateTableDefaultPermissions` asígnelo`ALL`. `IAM_ALLOWED_PRINCIPALS` `OverwriteChildResourcePermissionsWithDefault``Accept`Configúrelo para que el cambio se propague a todos los recursos secundarios existentes, no solo a los recién creados.
```
aws glue update-catalog \
--catalog-id "s3tablescatalog" \
--catalog-input '{
"FederatedCatalog": {
"Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
"ConnectionName": "aws:s3tables"
},
"CreateDatabaseDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"CreateTableDefaultPermissions": [{
"Principal": {"DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"},
"Permissions": ["ALL"]
}],
"OverwriteChildResourcePermissionsWithDefault": "Accept"
}'
```
1. **Paso 3: Anular el registro del recurso de Lake Formation**
Una vez que hayas confirmado que todos los accesos funcionan según las políticas de IAM y que los directores no dependen de las subvenciones de Lake Formation, puedes anular el registro del recurso de Lake Formation para completar la migración.
```
aws lakeformation deregister-resource \
--resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*"
```
**nota**
Tras anular el registro del recurso, elimínelo de las entidades principales `lakeformation:GetDataAccess` de IAM que ya no lo necesiten.
No es necesario realizar ningún paso`revoke-permissions`.