So funktioniert die Anwendungsintegration von Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Anwendungsintegration von Lake Formation

In diesem Abschnitt wird beschrieben, wie Sie mithilfe von API Anwendungsintegrationsvorgängen eine Drittanbieteranwendung (Abfrage-Engine) in integrierenLake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. Der Lake Formation Administrator führt die folgenden Aktivitäten aus:

    • Registriert einen Amazon S3 S3-Standort bei Lake Formation, indem eine IAM Rolle (die für Verkaufsberechtigungen verwendet wird) bereitgestellt wird, die über die entsprechenden Berechtigungen für den Zugriff auf Daten innerhalb des Amazon S3 S3-Standorts verfügt

    • Registriert eine Drittanbieteranwendung, um den API Verkaufsbetrieb für Anmeldeinformationen von Lake Formation aufrufen zu können. Siehe Registrierung einer Abfrage-Engine eines Drittanbieters

    • Gewährt Benutzern Berechtigungen für den Zugriff auf Datenbanken und Tabellen

      Wenn Sie beispielsweise einen Datensatz für Benutzersitzungen veröffentlichen möchten, der einige Spalten mit personenbezogenen Daten (PII) enthält, weisen Sie diesen Spalten zur Einschränkung des Zugriffs ein TBACLF-Tag mit dem Namen „Klassifizierung“ und dem Wert „vertraulich“ zu. Als Nächstes definieren Sie eine Berechtigung, die es einem Geschäftsanalysten ermöglicht, auf die Daten der Benutzersitzungen zuzugreifen, aber die Spalten, die mit classification = vertraulich gekennzeichnet sind, ausschließen.

  2. Ein Principal (Benutzer) sendet eine Anfrage an einen integrierten Dienst.

  3. Die integrierte Anwendung sendet die Anfrage an Lake Formation und bittet um Tabelleninformationen und Anmeldeinformationen für den Zugriff auf die Tabelle.

  4. Wenn der abfragende Prinzipal autorisiert ist, auf die Tabelle zuzugreifen, gibt Lake Formation die Anmeldeinformationen an die integrierte Anwendung zurück, die den Datenzugriff ermöglicht.

    Anmerkung

    Lake Formation greift beim Verkauf von Anmeldeinformationen nicht auf die zugrunde liegenden Daten zu.

  5. Der integrierte Service liest Daten aus Amazon S3, filtert Spalten auf der Grundlage der empfangenen Richtlinien und gibt die Ergebnisse an den Principal zurück.

Wichtig

Lake FormationDer Verkauf von Zugangsdaten API ermöglicht eine verteilte Durchsetzung mit einem Modell der ausdrücklichen Ablehnung bei Ausfall (Fail-Close). Dadurch wird ein Dreiparteien-Sicherheitsmodell zwischen Kunden, Drittanbieterdiensten und Lake Formation eingeführt. Integrierten Diensten wird bei der ordnungsgemäßen Durchsetzung von Lake Formation Berechtigungen vertraut (verteilte Durchsetzung).

Der integrierte Service ist dafür verantwortlich, die aus Amazon S3 gelesenen Daten auf der Grundlage der Richtlinien zu filtern, die Lake Formation vor der Rückgabe der gefilterten Daten an den Benutzer zurückgegeben wurden. Integrierte Dienste folgen einem Fail-Close-Modell, was bedeutet, dass sie die Abfrage nicht bestehen müssen, wenn sie die erforderlichen Lake Formation Berechtigungen nicht durchsetzen können.