So greift Athena auf Daten zu, die bei Lake Formation angemeldet sind - Amazon Athena

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So greift Athena auf Daten zu, die bei Lake Formation angemeldet sind

Der in diesem Abschnitt beschriebene Zugriffs-Workflow gilt nur, wenn Athena-Abfragen für Amazon-S3-Standorte und -Metadatenobjekte ausgeführt werden, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter Registrierung eines Data Lakes im AWS Lake Formation Leitfaden für Entwickler. Zusätzlich zum Registrieren von Daten wendet der Lake-Formation-Administrator Lake-Formation-Berechtigungen an, die den Zugriff auf Metadaten im Datenkatalog und den Datenspeicherort in Amazon S3 gewähren oder entziehen. Weitere Informationen finden Sie unter Sicherheit und Zugriffskontrolle auf Metadaten und Daten im AWS Lake Formation Leitfaden für Entwickler.

Jedes Mal, wenn ein Athena-Prinzipal (Benutzer, Gruppe oder Rolle) eine Abfrage zu Daten ausführt, die mit Lake Formation registriert wurden, überprüft Lake Formation, ob der Prinzipal über die entsprechenden Lake-Formation-Berechtigungen für die Datenbank, Tabelle und den Amazon-S3-Speicherort für die Abfrage verfügt. Wenn der Prinzipal Zugriff hat, vergibt Lake Formation temporäre Anmeldeinformationen an Athena, und die Abfrage wird ausgeführt.

Das folgende Diagramm veranschaulicht den oben beschriebenen Ablauf.

Ablauf für den Lake-Formation-Benutzerzugriff.

Das folgende Diagramm zeigt, wie der Verkauf von Anmeldeinformationen in Athena auf der query-by-query Grundlage einer hypothetischen SELECT Abfrage in einer Tabelle funktioniert, in der ein Amazon S3 S3-Standort in Lake Formation registriert ist:

Ablauf für die Ausgabe von Anmeldeinformationen für eine Abfrage in einer Athena-Tabelle.

  1. Ein Prinzipal führt eine SELECT-Abfrage in Athena aus.

  2. Athena analysiert die Abfrage und überprüft die Lake-Formation-Berechtigungen, um festzustellen, ob dem Prinzipal Zugriff auf die Tabelle und die Tabellenspalten gewährt wurde.

  3. Wenn der Prinzipal Zugriff hat, fordert Athena Anmeldeinformationen von Lake Formation an. Wenn der Prinzipal keinen Zugriff hat, gibt Athena einen Fehler für „Zugriff verweigert“ aus.

  4. Lake Formation gibt Athena Anmeldeinformationen aus, die beim Lesen von Daten aus Amazon S3 verwendet werden können, zusammen mit der Liste der zulässigen Spalten.

  5. Athena verwendet die temporären Anmeldeinformationen von Lake Formation, um die Daten aus Amazon S3 abzufragen. Nachdem die Abfrage abgeschlossen ist, verwirft Athena die Anmeldeinformationen.