Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administración de expresiones de etiquetas LF para el control de acceso a los metadatos
<a name="managing-tag-expressions"></a>

 Las expresiones de etiquetas LF son expresiones lógicas compuestas por una o más etiquetas L (pares clave-valor) que se utilizan para conceder permisos sobre los recursos. AWS Glue Data Catalog Las expresiones de etiquetas LF permiten definir reglas que rigen el acceso a los recursos de datos en función de sus etiquetas de metadatos. Puede guardar estas expresiones y reutilizarlas en varias concesiones de permisos, lo que garantiza la coherencia y facilita la administración de los cambios en la ontología de las etiquetas a lo largo del tiempo. 

Dentro de una expresión de etiqueta LF determinada, las claves de las etiquetas se combinan mediante la operación AND, mientras que los valores se combinan mediante la operación OR. Por ejemplo, la expresión de etiqueta `content_type:Sales AND location:US` representa los recursos relacionados con los datos de ventas en EE. UU.

Puede crear hasta 1000 expresiones de etiquetas LF en una Cuenta de AWS. Estas expresiones proporcionan una forma flexible y escalable de administrar los permisos en función de las etiquetas de metadatos, lo que garantiza que solo los usuarios o las aplicaciones con autorización puedan acceder a recursos de datos específicos en función de las reglas de etiquetas definidas.

Las expresiones de etiquetas LF ofrecen las siguientes ventajas: 
+ **Reutilización**: al definir y guardar las expresiones de etiqueta LF, ya no es necesario replicar manualmente las mismas expresiones al asignar permisos a otros recursos o entidades principales.
+ **Coherencia**: la reutilización de las expresiones de etiqueta LF en varias concesiones de permisos garantiza la coherencia en la forma en que se conceden y administran los permisos.
+ **Administración de la ontología de etiquetas**: las expresiones de etiquetas LF ayudan a administrar los cambios en la ontología de etiquetas a lo largo del tiempo, ya que se pueden actualizar las expresiones guardadas en lugar de modificar las concesiones de permisos individuales. 

Para obtener más información sobre el control de acceso basado en etiquetas, consulte [Control de acceso basado en etiquetas de Lake Formation](tag-based-access-control.md). 

**Creadores de expresiones de etiquetas LF**  
El creador de expresiones de etiquetas LF es una entidad principal que tiene permisos para crear y administrar expresiones de etiquetas LF. Los administradores de lagos de datos pueden añadir creadores de expresiones de etiquetas LF mediante la consola Lake Formation, la CLI, la API o el SDK. Los creadores de expresiones de etiquetas LF tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar expresiones de etiquetas LF y conceder permisos de expresiones de etiquetas LF a otras entidades principales.

Los creadores de expresiones de etiquetas LF que no sean administradores de lagos de datos reciben permisos `Alter`, `Drop`, `Describe` y `Grant with LF-Tag expression` implícitos únicamente para las expresiones que hayan creado. 

Los administradores de lagos de datos también pueden conceder permisos `Create LF-Tag expression` concesibles a los creadores de expresiones etiquetas LF. Luego, el creador de etiquetas LF puede conceder el permiso para crear expresiones de etiquetas LF a otras entidades principales.

**Topics**
+ [Permisos de IAM requeridos para crear expresiones de etiquetas LF](#tag-expression-creator-permissions)
+ [Agregación de creadores de expresiones de etiquetas LF](#add-lf-tag-expression-creator)
+ [Creación de expresiones de etiquetas LF](TBAC-creating-tag-expressions.md)
+ [Actualización de expresiones de etiquetas LF](TBAC-updating-expressions.md)
+ [Eliminación de expresiones de etiquetas LF](TBAC-deleting-expressions.md)
+ [Listas de expresiones de etiquetas LF](TBAC-listing-expressions.md)

**Véase también**  
[Administración de permisos de valores de etiquetas LF](TBAC-granting-tags.md)
[Conceder permisos de lago de datos mediante el método LF-TBAC](granting-catalog-perms-TBAC.md)
[Control de acceso basado en etiquetas de Lake Formation](tag-based-access-control.md)

## Permisos de IAM requeridos para crear expresiones de etiquetas LF
<a name="tag-expression-creator-permissions"></a>

 Debe configurar permisos para que una entidad principal de Lake Formation pueda crear expresiones de etiquetas LF. Agregue la siguiente instrucción a la política de permisos de la entidad principal que necesita ser creadora de expresiones de etiquetas LF.

**nota**  
Si bien los administradores de lagos de datos tienen permisos implícitos de Lake Formation para crear, actualizar y eliminar etiquetas LF y expresiones de etiquetas LF, asignar etiquetas LF a los recursos y conceder permisos de etiquetas LF y expresiones de etiquetas LF a las entidades principales, los administradores de lagos de datos también necesitan los permisos de IAM siguientes.

Para obtener más información, consulte [Personas de Lake Formation y referencia de permisos IAM](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## Agregación de creadores de expresiones de etiquetas LF
<a name="add-lf-tag-expression-creator"></a>

Los creadores de expresiones de etiquetas LF pueden crear y guardar expresiones de etiquetas LF reutilizables, actualizar la clave y los valores de las etiquetas, eliminar expresiones y conceder permisos sobre los recursos del Catálogo de datos a las entidades principales mediante el método LF-TBAC. El creador de la expresión de etiqueta LF también puede conceder estos permisos a entidades principales.

Puede crear funciones de creador de expresiones de etiquetas LF mediante la AWS Lake Formation consola, la API o (). AWS Command Line Interface AWS CLI

------
#### [ console ]

**Cómo agregar creadores de expresiones de etiquetas LF**

1. Abra la consola de Lake Formation en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Inicie sesión como administrador del lago de datos.

1. En el panel de navegación, en **Permisos**, elija **Etiquetas LF y permisos**. 

1. Seleccione la pestaña **Expresiones de etiquetas LF**.

1. En la sección **Creadores de expresiones de etiquetas LF**, seleccione **Agregar creadores de expresiones de etiquetas LF**.  
![El creador de expresiones LF-Tag detalla el contenedor que muestra Usuario de IAM datalake_user con permisos.](http://docs.aws.amazon.com/es_es/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. En la página **Agregar creadores de etiquetas LF**, seleccione un usuario o un rol de IAM que tenga los permisos necesarios para crear expresiones de etiquetas LF.

1. Marque la casilla de verificación del permiso `Create LF-Tag expression`.

1. (Opcional) Para que las entidades principales seleccionadas puedan conceder permisos `Create LF-Tag expression` a las entidades principales, seleccione el permiso concedible `Create LF-Tag expression`.

1. Elija **Añadir**.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

El rol de creador de expresiones de etiqueta LF tiene la capacidad de crear, actualizar o eliminar expresiones de etiquetas LF. 


| Permiso | Description (Descripción) | 
| --- | --- | 
| Create | Una entidad principal con este permiso puede agregar expresiones de etiquetas LF en el lago de datos. | 
| Drop | Una entidad principal con este permiso en una expresión de etiqueta LF puede eliminar una expresión de etiqueta LF del lago de datos.  | 
| Alter | Una entidad principal con este permiso en una expresión de etiqueta LF puede actualizar el cuerpo de la expresión de etiqueta LF. | 
| Describe | Una entidad principal con este permiso en una expresión de etiqueta LF puede ver el contenido de una expresión de etiqueta LF.  | 
| Grant with LF-Tag expression | Este permiso permite al destinatario utilizar la expresión de etiqueta como recurso al conceder permisos de acceso a datos o metadatos. Al conceder Grant with LF-Tag expression está otorgando Describe de manera implícita. | 
| Super | En el caso de las expresiones de etiqueta LF, el permiso Super otorga la capacidad de Describe, Alter, Drop y de conceder permisos sobre la expresión de etiqueta a otras entidades principales. | 

Estos permisos se pueden conceder. Una entidad principal que haya recibido estos permisos con la opción de otorgarlos puede otorgarlos a otras entidades principales.