Cómo accede Athena a los datos registrados en Lake Formation - Amazon Athena

Cómo accede Athena a los datos registrados en Lake Formation

El flujo de trabajo de acceso descrito en esta sección solo se aplica cuando se ejecutan consultas de Athena en ubicaciones de Amazon S3 y objetos de metadatos que están registrados en Lake Formation. Para obtener más información, consulte Registro de un lago de datos en la Guía para desarrolladores de AWS Lake Formation. Además de registrar los datos, el administrador de Lake Formation aplica permisos de Lake Formation que conceden o revocan el acceso a los metadatos en el catálogo de datos y la ubicación de datos en Amazon S3. Para obtener más información, consulte Seguridad y control de acceso a metadatos y datos en la Guía para desarrolladores de AWS Lake Formation.

Cada vez que una entidad principal de Athena (usuario, grupo o rol) ejecuta una consulta sobre los datos registrados mediante Lake Formation, Lake Formation verifica que la entidad principal tenga los permisos de Lake Formation adecuados para la base de datos, la tabla y la ubicación de Amazon S3, según corresponda para la consulta. Si la entidad principal tiene acceso, Lake Formation ofrece credenciales temporales a Athena y se ejecuta la consulta.

En el siguiente diagrama se ilustra el flujo descrito anteriormente.

Flujo de trabajo de acceso de usuarios de Lake Formation.

En el siguiente diagrama, se muestra cómo funciona la venta de credenciales en Athena consulta por consulta para una consulta SELECT hipotética en una tabla con una ubicación de Amazon S3 registrada en Lake Formation:

Flujo de trabajo de venta de credenciales para una consulta en una tabla de Athena.

  1. Una entidad principal ejecuta una consulta SELECT en Athena.

  2. Athena analiza la consulta y verifica los permisos de Lake Formation para ver si se ha concedido a la entidad principal acceso a la tabla y a las columnas de la tabla.

  3. Si la entidad principal tiene acceso, Athena solicita credenciales de Lake Formation. Si la entidad principal no tiene acceso, Athena emite un error de acceso denegado.

  4. Lake Formation emite credenciales a Athena para utilizarlas al leer datos de Amazon S3, junto con la lista de las columnas permitidas.

  5. Athena utiliza las credenciales temporales de Lake Formation para consultar los datos de Amazon S3. Una vez completada la consulta, Athena descarta las credenciales.