Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Añadir una ubicación de Amazon S3 a su lago de datos
Para añadir una ubicación de datos como almacenamiento en su lago de datos, *registre* la ubicación (ubicación del **lago de datos**) con AWS Lake Formation. Luego, puede usar los permisos de Lake Formation para un control de acceso detallado a AWS Glue Data Catalog los objetos que apuntan a esta ubicación y a los datos subyacentes de la ubicación.
Lake Formation también permite registrar una ubicación de datos en modo de acceso híbrido y le proporciona la flexibilidad de habilitar selectivamente los permisos de Lake Formation para bases de datos y tablas en su Catálogo de datos. Con el modo de acceso híbrido, dispone de una ruta incremental que le permite establecer los permisos de Lake Formation para un conjunto específico de usuarios sin interrumpir las políticas de permisos de otros usuarios o cargas de trabajo existentes.
Para más información sobre la configuración del modo de acceso híbrido, consulte [Modo de acceso híbrido](hybrid-access-mode.md)
Al registrar una ubicación, se registran esa ruta de Amazon S3 y todas las carpetas incluidas en esa ruta.
Por ejemplo, supongamos que tiene una organización de rutas de Amazon S3 como la siguiente:
`/mybucket/accounting/sales/`
Si registra `S3://mybucket/accounting`, la carpeta `sales` también estará registrada y bajo la administración de Lake Formation.
Para obtener más información sobre cómo registrar ubicaciones, consulte [Underlying data access control](access-control-underlying-data.md#underlying-data-access-control).
**nota**
Se recomiendan los permisos de Lake Formation para los datos estructurados (organizados en tablas con filas y columnas). Si sus datos contienen datos no estructurados basados en objetos, plantéese la posibilidad de utilizar concesiones de acceso a Amazon S3 para administrar el acceso a los datos.
**Topics**
+ [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md)
+ [Registro de una ubicación de Amazon S3](register-location.md)
+ [Registro de una ubicación cifrada de Amazon S3](register-encrypted.md)
+ [Registrar una ubicación de Amazon S3 en otra AWS cuenta](register-cross-account.md)
+ [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md)
+ [Dar de baja el registro de una ubicación de Amazon S3](unregister-location.md)
# Requisitos de los roles utilizados para registrar ubicaciones
Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). AWS Lake Formation asume esa función al acceder a los datos en esa ubicación.
Para registrar una ubicación, puede utilizar uno de los siguientes tipos de rol:
+ El rol vinculado al servicio de Lake Formation. Este rol concede los permisos necesarios sobre la ubicación. Utilizar este rol es la forma más sencilla de registrar la ubicación. Para obtener más información, consulte [Uso de roles vinculados a servicios para Lake Formation](service-linked-roles.md) y [Limitaciones de los roles vinculados a servicios](service-linked-role-limitations.md).
+ Un rol definido por el usuario. Utilice un rol definido por el usuario cuando necesite conceder más permisos de los que proporciona el rol vinculado al servicio.
Debe utilizar un rol definido por el usuario en las circunstancias siguientes:
+ Al registrar una ubicación en otra cuenta.
Para obtener más información, consulte [Registrar una ubicación de Amazon S3 en otra AWS cuenta](register-cross-account.md) y [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md).
+ Si utilizó una CMK (`aws/s3`) AWS administrada para cifrar la ubicación de Amazon S3.
Para obtener más información, consulte [Registro de una ubicación cifrada de Amazon S3](register-encrypted.md).
+ Si tiene previsto acceder a la ubicación mediante Amazon EMR.
Si ya ha registrado una ubicación con el rol vinculado al servicio y desea comenzar a acceder a la ubicación con Amazon EMR, deberá anular el registro de la ubicación y volver a registrarla con un rol definido por el usuario. Para obtener más información, consulte [Dar de baja el registro de una ubicación de Amazon S3](unregister-location.md).
# Uso de roles vinculados a servicios para Lake Formation
AWS Lake Formation *utiliza un rol vinculado a un servicio AWS Identity and Access Management (IAM).* Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Lake Formation. Lake Formation predefine la función vinculada al servicio e incluye todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Lake Formation porque ya no tendrá que agregar manualmente los permisos necesarios. Lake Formation define los permisos de su rol vinculado al servicio y, a menos que se defina lo contrario, solo Lake Formation puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Este rol vinculado a servicios confía en los siguientes servicios para asumir el rol:
+ `lakeformation.amazonaws.com`
Cuando se utiliza un rol vinculado a un servicio en la cuenta A para registrar una ubicación de Amazon S3 propiedad de la cuenta B, la política de bucket de Amazon S3 (una política basada en recursos) de la cuenta B debe conceder permisos de acceso al rol vinculado al servicio de la cuenta A.
Para obtener información sobre el uso del rol vinculado a un servicio para registrar una ubicación de datos, consulte [Limitaciones de los roles vinculados a servicios](service-linked-role-limitations.md).
**nota**
Las políticas de control de servicios (SCPs) no afectan a las funciones vinculadas al servicio.
Para obtener más información, consulte [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la guía del *AWS Organizations usuario*.
## Permisos de rol vinculados al servicio para Lake Formation
Lake Formation utiliza el rol vinculado al servicio denominado `AWSServiceRoleForLakeFormationDataAccess`. Esta función proporciona un conjunto de permisos de Amazon Simple Storage Service (Amazon S3) que permiten al servicio integrado de Lake Formation (por ejemplo) acceder a Amazon Athena las ubicaciones registradas. Al registrar una ubicación de lago de datos, debe proporcionar un rol que tenga los read/write permisos de Amazon S3 necesarios en esa ubicación. En lugar de crear un rol con los permisos de Amazon S3 que se requieren, puede utilizar este rol vinculado con un servicio.
La primera vez que nombre el rol vinculado al servicio como rol con el que registrar una ruta, el rol vinculado al servicio y una nueva política de IAM se crearán en su nombre. Lake Formation añade la ruta a la política insertada y la adjunta al rol vinculado al servicio. Cuando registre rutas posteriores con el rol vinculado al servicio, Lake Formation añade la ruta a la política existente.
Inicie sesión como administrador del lago de datos y registre una ubicación del lago de datos. A continuación, en la consola de IAM, busque el rol `AWSServiceRoleForLakeFormationDataAccess` y vea sus políticas adjuntas.
Por ejemplo, después de registrar la ubicación `s3://my-kinesis-test/logs`, Lake Formation crea la siguiente política en línea y la adjunta a `AWSServiceRoleForLakeFormationDataAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Creación de un rol vinculado a servicio para Lake Formation
No necesita crear manualmente un rol vinculado a servicios. Cuando registra una ubicación de Amazon S3 con Lake Formation en la Consola de administración de AWS, la AWS CLI o la AWS API, Lake Formation crea el rol vinculado al servicio para usted.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al registrar una ubicación de Amazon S3 en Lake Formation, Lake Formation crea automáticamente el rol vinculado al servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a servicio con el caso de uso de **Lake Formation**. En la AWS CLI o en la AWS API, cree una función vinculada al servicio con el nombre del servicio. `lakeformation.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a servicio para Lake Formation
Lake Formation no le permite editar el rol vinculado a servicio `AWSServiceRoleForLakeFormationDataAccess`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicio para Lake Formation
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio de Lake Formation está utilizando el rol cuando intente eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Lake Formation utilizados por Lake Formation**
+ Si ha utilizado el rol vinculado al servicio para registrar las ubicaciones de Amazon S3 en Lake Formation, antes de eliminar el rol vinculado al servicio, debe anular el registro de la ubicación y volver a registrarla con un rol personalizado.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForLakeFormationDataAccess` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
Los siguientes son los requisitos para un rol definido por el usuario:
+ Al crear el nuevo rol, en la página **Crear rol** de la consola de IAM, elija el **Servicio de AWS ** y, a continuación, en **Elija un caso de uso**, seleccione **Lake Formation**.
Si crea el rol utilizando una ruta diferente, asegúrese de que el rol tenga una relación de confianza con `lakeformation.amazonaws.com`. Para obtener más información, consulte [Modificación de una política de confianza de rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ El rol debe tener una política en línea que conceda read/write permisos a Amazon S3 en la ubicación. La siguiente es una política característica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Agregue la siguiente política de confianza al rol de IAM para permitir que el servicio de Lake Formation asuma el rol y dispense credenciales temporales a los motores de análisis integrados.
Para incluir el contexto de usuario del IAM Identity Center en los CloudTrail registros, la política de confianza debe tener el permiso para realizar la `sts:SetContext` acción.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ El administrador del lago de datos que registra la ubicación debe tener el permiso `iam:PassRole` para el rol.
La siguiente es una política insertada que concede este permiso. **Sustitúyalo por un número de AWS cuenta válido y ** sustitúyalo por el nombre del rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Para permitir que Lake Formation añada CloudWatch registros en Logs y publique métricas, añada la siguiente política en línea.
**nota**
Escribir en CloudWatch Logs conlleva un cargo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------
# Registro de una ubicación de Amazon S3
Debe especificar un rol AWS Identity and Access Management (IAM) al registrar una ubicación de Amazon Simple Storage Service (Amazon S3). Lake Formation asume esa función cuando otorga credenciales temporales a los AWS servicios integrados que acceden a los datos en esa ubicación.
**importante**
Evite registrar un bucket de Amazon S3 que tenga activada la opción **El solicitante paga**. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al depósito, se le cobrará al propietario del depósito por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del depósito.
Puede usar la AWS Lake Formation consola, la API de Lake Formation o AWS Command Line Interface (AWS CLI) para registrar una ubicación de Amazon S3.
**Antes de empezar**
Revise los [requisitos del rol utilizado para registrar la ubicación](registration-role.md).
**Para registrar una ubicación (consola)**
**importante**
En los siguientes procedimientos se supone que la ubicación de Amazon S3 se encuentra en la misma AWS cuenta que el catálogo de datos y que los datos de la ubicación no están cifrados. Otras secciones de este capítulo tratan sobre el registro entre cuentas y el registro de ubicaciones cifradas.
1. Abra la AWS Lake Formation consola en [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Inicie sesión como administrador del lago de datos o como usuario con el permiso de `lakeformation:RegisterResource` IAM.
1. En el panel de navegación, en **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. Elija **Registrar ubicación** y, a continuación, seleccione **Examinar** para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).
1. (Opcional, pero muy recomendable) Seleccione **Revisar permisos de ubicación** para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
1. Para el **rol de IAM**, elija el rol vinculado al servicio `AWSServiceRoleForLakeFormationDataAccess` (valor predeterminado) o un rol de IAM personalizado que cumpla los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md).
Puede actualizar una ubicación registrada u otros detalles solo si la registra con un rol de IAM personalizado. Para editar una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla.
1. Elija la opción **Habilitar la federación de catálogos de datos** para permitir que Lake Formation asuma un rol y venda credenciales temporales a AWS servicios integrados para acceder a las tablas de bases de datos federadas. Si una ubicación está registrada en Lake Formation y desea utilizar la misma ubicación para una tabla en una base de datos federada, deberá registrar la misma ubicación con la opción **Habilitar federación del Catálogo de datos**.
1. Seleccione el **modo de acceso híbrido** para no habilitar los permisos de Lake Formation de forma predeterminada. Cuando registre la ubicación de Amazon S3 en modo de acceso híbrido, puede habilitar los permisos de Lake Formation optando por entidades principales para las bases de datos y las tablas bajo esa ubicación.
Para más información sobre la configuración del modo de acceso híbrido, consulte [Modo de acceso híbrido](hybrid-access-mode.md).
1. Seleccione **Registrar ubicación.**
**Para registrar una ubicación (AWS CLI)**
1.
**Registro de una nueva ubicación en Lake Formation**
Este ejemplo usa el rol vinculado a un servicio para registrar la ubicación. En su lugar, puede utilizar el argumento `--role-arn` para proporcionar su propio rol.
**Sustitúyalo por una ruta de Amazon S3 válida, el número de AWS cuenta por una cuenta válida y ** por un rol de IAM que tenga permisos para registrar una ubicación de datos.
**nota**
No puede editar las propiedades de una ubicación registrada si está registrada con un rol vinculado a un servicio.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
En el siguiente ejemplo, se utiliza un rol personalizado para registrar la ubicación.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/
```
1.
**Para actualizar una ubicación registrada con Lake Formation**
Puede editar una ubicación registrada solo si está registrada con un rol de IAM personalizado. en el caso de una ubicación registrada con un rol vinculado a un servicio, debe anular el registro de la ubicación y volver a registrarla. Para obtener más información, consulte [Dar de baja el registro de una ubicación de Amazon S3](unregister-location.md).
```
aws lakeformation update-resource \
--role-arn arn:aws:iam::<123456789012>:role/\
--resource-arn arn:aws:s3:::
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
1.
**Registrar una ubicación de datos en modo de acceso híbrido con federación**
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--with-federation
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
Para obtener más información, consulte Funcionamiento de [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)la API.
**nota**
Una vez que registre una ubicación de Amazon S3, cualquier AWS Glue tabla que apunte a la ubicación (o a cualquiera de sus ubicaciones secundarias) devolverá el valor del `IsRegisteredWithLakeFormation` parámetro tal y como `true` aparece en la `GetTable` llamada. Existe una limitación conocida por la que las operaciones de la API del Catálogo de datos como `GetTables` y `SearchTables` no actualizan el valor del parámetro `IsRegisteredWithLakeFormation` y devuelven el valor predeterminado, que es falso. Se recomienda utilizar la API`GetTable` para ver el valor correcto del parámetro `IsRegisteredWithLakeFormation`.
# Registro de una ubicación cifrada de Amazon S3
Lake Formation se integra con [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) (AWS KMS) para permitirle configurar más fácilmente otros servicios integrados para cifrar y descifrar datos en ubicaciones de Amazon Simple Storage Service (Amazon S3).
Tanto las gestionadas por AWS KMS keys el cliente como Claves administradas por AWS las compatibles. Actualmente, el lado del cliente solo encryption/decryption es compatible con Athena.
Debe especificar un rol AWS Identity and Access Management (de IAM) al registrar una ubicación de Amazon S3. En el caso de las ubicaciones cifradas de Amazon S3, el rol debe tener permiso para cifrar y descifrar datos con el AWS KMS key, o bien la política de claves de KMS debe conceder permisos sobre la clave del rol.
**importante**
Evite registrar un bucket de Amazon S3 que tenga activada la opción **El solicitante paga**. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al bucket, se le cobrará al propietario del bucket por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del bucket.
Lake Formation usa un rol vinculado a servicio para registrar las ubicaciones de los datos. Sin embargo, este rol tiene varias [limitaciones](service-linked-role-limitations.md). Debido a estas limitaciones, recomendamos crear y usar un rol de IAM personalizado en su lugar, para mayor flexibilidad y control. El rol personalizado que cree para registrar la ubicación debe cumplir los requisitos especificados en [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md).
**importante**
Si ha utilizado una Clave administrada de AWS para cifrar la ubicación de Amazon S3, no puede utilizar la función vinculada al servicio Lake Formation. Debe usar un rol personalizado y añadir permisos de IAM a la clave del rol. Los detalles se proporcionan más adelante en esta sección.
Los siguientes procedimientos explican cómo registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente o una Clave administrada de AWS.
+ [Registrar una ubicación cifrada con una clave administrada por el cliente](#proc-register-cust-cmk)
+ [Registrar una ubicación cifrada con un Clave administrada de AWS](#proc-register-aws-cmk)
**Antes de empezar**
Revise los [requisitos del rol utilizado para registrar la ubicación](registration-role.md).
**Para registrar una ubicación de Amazon S3 cifrada con una clave administrada por el cliente**
**nota**
Si la clave de KMS o la ubicación de Amazon S3 no están en la misma AWS cuenta que el catálogo de datos, siga las instrucciones que se indican en [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md) su lugar.
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) e inicie sesión como usuario administrativo AWS Identity and Access Management (IAM) o como usuario que puede modificar la política de claves de la clave de KMS utilizada para cifrar la ubicación.
1. En el panel de navegación, elija **Claves administradas por el cliente** y, a continuación, el nombre de la clave de KMS deseada.
1. En la página de detalles de la clave KMS, elija la pestaña **Política de claves** y, a continuación, siga una de las instrucciones siguientes para añadir su rol personalizado o el rol vinculado al servicio de Lake Formation como usuario de la clave KMS:
+ **Si se muestra la vista predeterminada** (con las secciones **Administradores clave****, Eliminación** de claves, **Usuarios clave** y **Otras AWS cuentas**), en la sección **Usuarios clave**, agregue su rol personalizado o el rol vinculado al servicio Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
+ **Si se muestra la política de claves (JSON)**. Edite la política para añadir su rol personalizado o el rol `AWSServiceRoleForLakeFormationDataAccess` vinculado al servicio de Lake Formation al objeto "Permitir el uso de la clave", como se muestra en el siguiente ejemplo.
**nota**
Si falta ese objeto, agréguelo con los permisos que se muestran en el ejemplo. El ejemplo utiliza el rol vinculado al servicio.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
"arn:aws:iam::111122223333:user/keyuser"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
1. Abra la AWS Lake Formation consola en. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Inicie sesión como administrador del lago de datos o como usuario con el permiso de `lakeformation:RegisterResource` IAM.
1. En el panel de navegación, bajo **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. Elija **Registrar ubicación** y, a continuación, seleccione **Examinar** para seleccionar una ruta de Amazon Simple Storage Service (Amazon S3).
1. (Opcional, pero muy recomendable) Seleccione **Revisar permisos de ubicación** para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
1. Para el **rol de IAM**, elija el rol vinculado al servicio `AWSServiceRoleForLakeFormationDataAccess` (el predeterminado) o su rol personalizado que cumpla con el [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md).
1. Seleccione **Registrar ubicación**.
Para obtener más información sobre el rol vinculado a servicios, consulte [Permisos de rol vinculados al servicio para Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Para registrar una ubicación de Amazon S3 cifrada con un Clave administrada de AWS**
**importante**
Si la ubicación de Amazon S3 no está en la misma AWS cuenta que el catálogo de datos, siga las instrucciones que se indican en [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md) su lugar.
1. Cree un rol de IAM que se utilizará para registrar la ubicación. Asegúrese de que cumple los requisitos que figuran en [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md).
1. Añada la siguiente política insertada al rol. Concede permisos sobre la clave al rol. La especificación `Resource` debe designar el nombre de recurso de Amazon (ARN) del Clave administrada de AWS. Puede obtener el ARN desde la AWS KMS consola. Para obtener el ARN correcto, asegúrese de iniciar sesión en la AWS KMS consola con la misma AWS cuenta y región Clave administrada de AWS que utilizó para cifrar la ubicación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Puede utilizar los alias de clave de KMS en lugar del ID de clave (`arn:aws:kms:region:account-id:key/alias/your-key-alias`).
Para obtener más información, consulte la AWS KMS sección [Alias de la](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) Guía para desarrolladores. AWS Key Management Service
1. Abra la AWS Lake Formation consola en. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Inicie sesión como administrador del lago de datos o como usuario con el permiso de `lakeformation:RegisterResource` IAM.
1. En el panel de navegación, bajo **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. Elija **Registrar ubicación** y, a continuación, seleccione **Examinar** para seleccionar una ruta de Amazon S3.
1. (Opcional, pero muy recomendable) Seleccione **Revisar permisos de ubicación** para ver una lista de todos los recursos existentes en la ubicación de Amazon S3 seleccionada y sus permisos.
El registro de la ubicación seleccionada podría dar lugar a que sus usuarios de Lake Formation accedan a los datos que ya se encuentran en esa ubicación. Revisar esta lista ayuda a garantizar que los datos existentes permanecen seguros.
1. Para **Rol de IAM**, elija el rol que ha creado en el Paso 1.
1. Seleccione **Registrar ubicación**.
# Registrar una ubicación de Amazon S3 en otra AWS cuenta
AWS Lake Formation le permite registrar las ubicaciones AWS de Amazon Simple Storage Service (Amazon S3) en todas las cuentas. Por ejemplo, si AWS Glue Data Catalog está en la cuenta A, un usuario de la cuenta A puede registrar un bucket de Amazon S3 en la cuenta B.
Para registrar un bucket de Amazon S3 en la AWS cuenta B con un rol AWS Identity and Access Management (IAM) en la AWS cuenta A se requieren los siguientes permisos:
+ El rol de la cuenta A debe conceder permisos sobre el bucket de la cuenta B.
+ La política de bucket de la cuenta B debe conceder permisos de acceso al rol de la cuenta A.
**importante**
Evite registrar un bucket de Amazon S3 que tenga activada la opción **El solicitante paga**. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al bucket, se le cobrará al propietario del bucket por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del bucket.
No puede utilizar el rol vinculado al servicio Lake Formation para registrar una ubicación en otra cuenta. En su lugar, debe utilizar un rol definido por el usuario. El rol debe cumplir los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). Para obtener más información sobre el rol vinculado a servicios, consulte [Permisos de rol vinculados al servicio para Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Antes de empezar**
Revise los [requisitos del rol utilizado para registrar la ubicación](registration-role.md).
**Para registrar una ubicación en otra AWS cuenta**
**nota**
Si la ubicación está cifrada, siga en su lugar las instrucciones de [Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas](register-cross-encrypted.md).
El siguiente procedimiento supone que una entidad principal de la cuenta 1111-2222-3333, que contiene el Catálogo de datos, desea registrar el bucket `awsexamplebucket1` de Amazon S3, que se encuentra en la cuenta 1234-5678-9012.
1. En la cuenta 1111-2222-3333, inicie sesión en Consola de administración de AWS y abra la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Cree un nuevo rol o consulte uno existente que cumpla con los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). Asegúrese de que el rol concede permisos de Amazon S3 a`awsexamplebucket1`.
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Inicie sesión con la cuenta 1234-5678-9012.
1. En la lista **Nombre del bucket**, seleccione el nombre del bucket, `awsexamplebucket1`.
1. Elija **Permisos**.
1. En la página **Permisos**, elija **Política de bucket**.
1. En el **editor de políticas de bucket**, pegue la política siguiente. Sustituya ** por el nombre de su rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::awsexamplebucket1"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::awsexamplebucket1/*"
}
]
}
```
------
1. Seleccione **Save**.
1. Abre la consola en. AWS Lake Formation [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Inicie sesión en la cuenta 1111-2222-3333 como administrador del lago de datos o como usuario con permisos suficientes para registrar ubicaciones.
1. En el panel de navegación, bajo **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. En la página de **Ubicaciones de los lagos de datos**, seleccione **Registrar ubicación**.
1. En la página **Registrar ubicación**, para la **ruta de Amazon S3**, introduzca el nombre del bucket `s3://awsexamplebucket1`.
**nota**
Debe escribir el nombre del bucket porque los buckets entre cuentas no aparecen en la lista cuando selecciona **Examinar**.
1. En **Rol de IAM**, seleccione su rol.
1. Seleccione **Registrar ubicación**.
# Registro de una ubicación de Amazon S3 cifrada en todas AWS las cuentas
AWS Lake Formation se integra con [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) para permitirle configurar más fácilmente otros servicios integrados para cifrar y descifrar datos en las ubicaciones de Amazon Simple Storage Service (Amazon S3).
Ambas son claves administradas por el cliente y Claves administradas por AWS son compatibles. No se admite el lado del cliente encryption/decryption .
**importante**
Evite registrar un bucket de Amazon S3 que tenga activada la opción **El solicitante paga**. Para los buckets registrados en Lake Formation, el rol utilizado para registrar el bucket se considera siempre como el solicitante. Si otra AWS cuenta accede al depósito, se le cobrará al propietario del depósito por el acceso a los datos si el rol pertenece a la misma cuenta que el propietario del depósito.
En esta sección se explica cómo registrar una ubicación de Amazon S3 en las siguientes circunstancias:
+ Los datos de la ubicación de Amazon S3 se cifran con una clave KMS creada en AWS KMS.
+ La ubicación de Amazon S3 no está en la misma AWS cuenta que la AWS Glue Data Catalog.
+ La clave de KMS está o no en la misma AWS cuenta que el catálogo de datos.
Para registrar un bucket de Amazon S3 AWS KMS cifrado en la AWS cuenta B con un rol AWS Identity and Access Management (IAM) en la AWS cuenta A se requieren los siguientes permisos:
+ El rol de la cuenta A debe conceder permisos sobre el bucket de la cuenta B.
+ La política de bucket de la cuenta B debe conceder permisos de acceso al rol de la cuenta A.
+ Si la clave de KMS está en la cuenta B, la política de claves debe conceder el acceso al rol de la cuenta A y el rol de la cuenta A debe conceder permisos sobre la clave de KMS.
En el siguiente procedimiento, se crea un rol en la AWS cuenta que contiene el catálogo de datos (la cuenta A en el análisis anterior). A continuación, utilice este rol para registrar la ubicación. Lake Formation asume este rol al acceder a los datos subyacentes en Amazon S3. El rol asumido tiene los permisos necesarios en la clave de KMS. Como resultado, no tendrá que conceder permisos sobre la clave KMS a las entidades principales que accedan a los datos subyacentes con trabajos ETL o con servicios integrados como Amazon Athena.
**importante**
No puede utilizar el rol vinculado al servicio Lake Formation para registrar una ubicación en otra cuenta. En su lugar, debe utilizar un rol definido por el usuario. El rol debe cumplir los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). Para obtener más información sobre el rol vinculado a servicios, consulte [Permisos de rol vinculados al servicio para Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Antes de empezar**
Revise los [requisitos del rol utilizado para registrar la ubicación](registration-role.md).
**Para registrar una ubicación de Amazon S3 cifrada en todas AWS las cuentas**
1. En la misma AWS cuenta que el catálogo de datos, inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Cree un nuevo rol o consulte uno existente que cumpla con los requisitos de [Requisitos de los roles utilizados para registrar ubicaciones](registration-role.md). Asegúrese de que el rol incluye una política que concede permisos de Amazon S3 en la ubicación.
1. Si la clave de KMS no está en la misma cuenta que el Catálogo de datos, añada al rol una política integrada que conceda los permisos necesarios para la clave de KMS. A continuación, se muestra una política de ejemplo. Sustituya Región e ID de cuenta por la región y el número de cuenta de la clave de KMS. **Sustitúyala por el identificador de clave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
1. En la consola de Amazon S3, agregue una política de bucket que conceda los permisos de Amazon S3 necesarios para el rol. A continuación se muestra un ejemplo de política de bucket. Sustituya el ID de AWS cuenta por el número de cuenta del catálogo ** de datos, por el nombre de su función y ** por el nombre del depósito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::/*"
}
]
}
```
------
1. En AWS KMS, agregue el rol como usuario de la clave KMS.
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms) A continuación, inicie sesión como usuario administrador o como usuario que puede modificar la política de claves de la clave de KMS utilizada para cifrar la ubicación.
1. En el panel de navegación, seleccione **Claves administradas por el cliente** y, a continuación, elija el nombre de la clave KMS.
1. En la página de detalles de la clave KMS, en la pestaña **Política de claves**, si no se muestra la vista JSON de la política de claves, seleccione **Cambiar a la vista de políticas**.
1. En la sección **Política de claves**, seleccione **Editar** y añada el Nombre de recurso de Amazon (ARN) del rol al objeto `Allow use of the key`, como se muestra en el siguiente ejemplo.
**nota**
Si falta ese objeto, agréguelo con los permisos que se muestran en el ejemplo.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::role/"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
Para más información, consulte [Permitir a los usuarios de otras cuentas utilizar una clave KMS](https://docs.amazonaws.cn/en_us/kms/latest/developerguide/key-policy-modifying-external-accounts.html) en la *Guía para desarrolladores de AWS Key Management Service *.
1. Abra la AWS Lake Formation consola en. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Inicie sesión en la cuenta AWS del Catálogo de datos como administrador del lago de datos.
1. En el panel de navegación, bajo **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. Seleccione **Registrar ubicación**.
1. En la página **Registrar ubicación**, para la **ruta de Amazon S3**, introduzca el nombre del bucket como **s3://**/****. **Sustitúyalo por el nombre del depósito y ** por el resto de la ruta de la ubicación.
**nota**
Debe escribir la ruta porque los buckets entre cuentas no aparecen en la lista cuando selecciona **Examinar**.
1. Para el **rol de IAM**, elija el rol del paso 2.
1. Seleccione **Registrar ubicación**.
# Dar de baja el registro de una ubicación de Amazon S3
Puede anular el registro de una ubicación de Amazon Simple Storage Service (Amazon S3) si desea que Lake Formation deje de administrarla. Dar de baja una ubicación no afecta a los permisos de ubicación de datos de Lake Formation que se conceden sobre esa ubicación. Puede volver a registrar una ubicación que haya dado de baja y los permisos de ubicación de datos seguirán vigentes. Puede utilizar un rol diferente para volver a registrar la ubicación.
**Para dar de baja una ubicación (consola)**
1. Abra la AWS Lake Formation consola en. [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Inicie sesión como administrador del lago de datos o como usuario con el permiso de `lakeformation:RegisterResource` IAM.
1. En el panel de navegación, bajo **Administración**, seleccione **Ubicaciones de los lagos de datos**.
1. Seleccione una ubicación y, en el menú **Acciones**, seleccione **Editar**.
1. Cuando se le indique que confirme, elija **Quitar**.