Al momento de diseñar una solución en AWS, es sumamente importante prestar atención a la "Seguridad" y más aún cuando en la solución se involucra el acceso a datos.
En esta publicación hablaré sobre una alternativa que nos ofrece el Servicio AWS LakeFormation para resguardar el acceso a los datos.
Si bien existen algunas alternativas, la aqui trataremos el control de acceso se gestiona mediante LF-Tags.
A continuación, se desglosan los componentes y su funcionamiento:
1. Servicios Claves Utilizados
- AWS Lake Formation: Administra permisos a nivel de base de datos y tablas utilizando LF-Tags.
- AWS Glue Data Catalog: Almacena metadatos de los datos en S3.
- Bases de Datos en AWS Glue: -- Glue DB#1 (SALES): Contiene tablas con datos de ventas. -- Glue DB#2 (MKT): Contiene tablas de datos de marketing. -- Glue DB#3 (PRIVATE): Contiene datos privados/sensibles.
- Athena: Permite consultas SQL sobre los datos.
- Amazon QuickSight: Se usa para análisis y visualización de datos.
- Amazon SageMaker: Se utiliza para Machine Learning y analítica predictiva.
2. Control de Acceso con LF-Tags (Etiquetas)
La arquitectura emplea LF-Tags para definir permisos a nivel de base de datos, tabla y columna. Como se puede ver en la arquitectura, Se han asignado LF-Tags específicos a cada unidad de negocio:
- Etiquetas Verdes → Datos de Ventas (SALES)
- Etiquetas Azules → Datos de Marketing (MKT)
- Etiquetas Rojas → Datos Privados/Restringidos
Al setear etiquetas a las distintas bases de datos podemos permitir/no permitir el acceso a los datos de una manera mas práctica logrando asi que:
- Los usuarios con acceso solo a “Sales” LF-Tags pueden consultar datos en Glue DB#1, pero no pueden ver datos de Marketing o Privados.
- Los usuarios con acceso a “Marketing” LF-Tags solo pueden consultar Glue DB#2.
- Los datos Privados (PRIVATE) tienen acceso restringido y requieren permisos especiales.
3. Flujo de Datos
- Los datos son registrados en AWS Lake Formation.
- AWS Glue Data Catalog almacena los metadatos de bases de datos y tablas.
- Se asignan LF-Tags a bases de datos y tablas.
- IAM Roles + LF-Tags controlan el acceso para usuarios, servicios o grupos.
- Athena, QuickSight y SageMaker acceden de forma segura respetando las restricciones de LF-Tags.
4. Beneficios Claves
✅ Seguridad de Datos con LF-Tags → Garantiza que solo usuarios autorizados accedan a conjuntos de datos específicos.
✅ Segmentación por Unidad de Negocio → Se separan los datos de Ventas, Marketing y Privados mediante control basado en etiquetas.
✅ Integración con Servicios de Análisis AWS → Athena, QuickSight y SageMaker acceden a los datos de manera controlada.
✅ Uso de un Rol IAM Centralizado → Facilita la gestión de permisos a nivel de servicio.
Top comments (0)