Lake Formation flujo de trabajo para las operaciones de integración de aplicaciones API - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lake Formation flujo de trabajo para las operaciones de integración de aplicaciones API

El siguiente es el flujo de trabajo para API las operaciones de integración de aplicaciones:

  1. Un usuario envía una consulta o solicitud de datos mediante un motor de consultas integrado de terceros. El motor de consultas asume una IAM función que representa al usuario o a un grupo de usuarios y recupera las credenciales de confianza que se utilizarán al llamar a API las operaciones de integración de aplicaciones.

  2. El motor de consultas invoca GetUnfilteredTableMetadata. Si se trata de una tabla con particiones, invoca GetUnfilteredPartitionsMetadata para recuperar los metadatos y la información sobre políticas del Catálogo de datos.

  3. Lake Formation autoriza la solicitud. Si el usuario no tiene los permisos adecuados en la tabla, AccessDeniedExceptionse descarta.

  4. Como parte de la solicitud, el motor de consultas envía el filtrado que admite. Hay dos indicadores que se pueden enviar dentro de una matriz: COLUMN_ PERMISSIONS y CELL_ FILTER _ PERMISSION. Si el motor de consultas no admite ninguna de estas funciones y existe una política sobre la tabla para la función, se lanza una y la consulta no PermissionTypeMismatchExceptionse realiza correctamente. Esto ocurre para evitar la fuga de datos.

  5. La respuesta devuelta contiene lo siguiente:

    • El esquema completo de la tabla, que los motores de consultas pueden usar para analizar los datos almacenados.

    • Una lista de columnas autorizadas a las que el usuario tiene acceso. Si la lista de columnas autorizadas está vacía, significa que el usuario tiene permisos de DESCRIBE, pero no tiene permisos de SELECT, y se produce un error en la consulta.

    • Una marca, IsRegisteredWithLakeFormation, que indica si Lake Formation puede vender credenciales a los datos de este recurso. Si el resultado es falso, deben usarse credenciales de clientes para acceder a Amazon S3.

    • Una lista de CellFilters si hay alguno que deba aplicarse a las filas de datos. Esta lista contiene columnas y una expresión para evaluar cada fila. Esto solo debe rellenarse si PERMISSION se envía CELLFILTER_ _ como parte de la solicitud y hay un filtro de datos en la tabla para el usuario que realiza la llamada.

  6. Una vez recuperados los metadatos, el motor de consultas llama GetTemporaryGlueTableCredentials o GetTemporaryGluePartitionCredentials solicita AWS credenciales para recuperar los datos de la ubicación de Amazon S3.

  7. El motor de consultas lee los objetos relevantes de Amazon S3, filtra los datos según las políticas recibidas en el paso 2 y devuelve los resultados al usuario.

Las API operaciones de integración de aplicaciones para Lake Formation contienen contenido adicional para configurar la integración con motores de consulta de terceros. Puede ver los detalles de la operación en la sección de APIoperaciones de venta de credenciales.