# Cómo accede Athena a los datos registrados en Lake Formation El flujo de trabajo de acceso que se describe en esta sección se aplica al ejecutar consultas de Athena en ubicaciones de Amazon S3, catálogos de datos u objetos de metadatos registrados en Lake Formation. Para obtener más información, consulte [Registro de un lago de datos](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) en la *Guía para desarrolladores de AWS Lake Formation*. Además de registrar los datos, el administrador de Lake Formation aplica permisos de Lake Formation que conceden o revocan el acceso a los metadatos en el catálogo de datos, AWS Glue Data Catalog, o la ubicación de datos en Amazon S3. Para obtener más información, consulte [Seguridad y control de acceso a metadatos y datos](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) en la *Guía para desarrolladores de AWS Lake Formation*. Cada vez que una entidad principal de Athena (usuario, grupo o rol) ejecuta una consulta sobre datos registrados mediante Lake Formation, Lake Formation verifica que la entidad principal tenga los permisos de Lake Formation adecuados para la base de datos, la tabla y la ubicación del origen de datos según corresponda para la consulta. Si la entidad principal tiene acceso, Lake Formation *ofrece* credenciales temporales a Athena y se ejecuta la consulta. En el siguiente diagrama se ilustra cómo funciona el suministro de credenciales en Athena consulta a consulta para una consulta `SELECT` hipotética en una tabla con una ubicación de Amazon S3 o un catálogo de datos registrado en Lake Formation: ![\[Flujo de trabajo de venta de credenciales para una consulta en una tabla de Athena.\]](http://docs.aws.amazon.com/es_es/athena/latest/ug/images/lake-formation-athena-security.png) 1. Una entidad principal ejecuta una consulta `SELECT` en Athena. 1. Athena analiza la consulta y verifica los permisos de Lake Formation para ver si se ha concedido a la entidad principal acceso a la tabla y a las columnas de la tabla. 1. Si la entidad principal tiene acceso, Athena solicita credenciales de Lake Formation. Si la entidad principal *no* tiene acceso, Athena emite un error de acceso denegado. 1. Lake Formation emite credenciales para que Athena las utilice al leer datos de Amazon S3 o del catálogo, junto con la lista de columnas permitidas. 1. Athena utiliza las credenciales temporales de Lake Formation para consultar los datos de Amazon S3 o del catálogo. Una vez completada la consulta, Athena descarta las credenciales.