Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funciona el modo de acceso híbrido
El diagrama siguiente muestra cómo funciona la autorización de Lake Formation en el modo de acceso híbrido al consultar los recursos del Catálogo de datos.
Antes de acceder a los datos del lago de datos, un administrador de este o un usuario con permisos administrativos configura políticas de usuario individuales de las tablas del Catálogo de datos para permitir o denegar el acceso a las tablas del Catálogo de datos. Luego, una entidad principal con permisos para la operación de RegisterResource
registra en Lake Formation la ubicación de Amazon S3 de la tabla en modo de acceso híbrido. El administrador concede permisos de Lake Formation a usuarios específicos sobre las bases de datos y tablas del Catálogo de datos y les da la opción de utilizar los permisos de Lake Formation para esas bases de datos y tablas en modo de acceso híbrido.
Envía una consulta: un director envía una consulta o un ETL script mediante un servicio integrado como Amazon Athena AWS Glue, Amazon o Amazon Redshift EMR Spectrum.
Solicita datos: el motor analítico integrado identifica la tabla solicitada y envía la solicitud de metadatos al Catálogo de datos (
GetTable
,GetDatabase
)-
Comprueba los permisos: el Catálogo de datos verifica los permisos de acceso de la entidad principal que hace la consulta con Lake Formation.
-
Si la tabla no tiene permisos de grupo
IAMAllowedPrincipals
adjuntos, se aplican los permisos de Lake Formation. -
Si la entidad principal ha optado por utilizar los permisos de Lake Formation en el modo de acceso híbrido y la tabla tiene adjuntos permisos de grupo
IAMAllowedPrincipals
, se aplicarán los permisos de Lake Formation. El motor de consulta aplica los filtros que recibió de Lake Formation y devuelve los datos al usuario. -
Si la ubicación de la tabla no está registrada en Lake Formation y la entidad principal no ha optado por utilizar los permisos de Lake Formation en el modo de acceso híbrido, el Catálogo de datos comprueba si la tabla tiene permisos de grupo
IAMAllowedPrincipals
adjuntos. Si existe este permiso sobre la tabla, todas las entidades principales de la cuenta obtienen los permisosSuper
oAll
sobre la tabla.
-
-
Obtener credenciales: el Catálogo de datos comprueba y permite al motor saber si la ubicación de la tabla está registrada en Lake Formation o no. Si los datos subyacentes están registrados en Lake Formation, el motor analítico solicita a Lake Formation credenciales temporales para acceder a los datos del bucket de Amazon S3.
-
Obtener datos: si la entidad principal está autorizada para acceder a los datos de la tabla, Lake Formation proporciona acceso temporal al motor analítico integrado. Mediante el acceso temporal, el motor analítico obtiene los datos de Amazon S3 y aplica el filtrado necesario, como el de columnas, filas o celdas. Cuando el motor termina de ejecutar el trabajo, devuelve los resultados al usuario. Este proceso se denomina “expedición de credenciales”. Para obtener más información, consulte Integración de servicios de terceros con Lake Formation.
-
Si la ubicación de los datos de la tabla no está registrada en Lake Formation, la segunda llamada desde el motor analítico se hace directamente a Amazon S3. La política de bucket de Amazon S3 y la política de IAM usuario correspondientes se evalúan para el acceso a los datos. Siempre que utilice IAM políticas, asegúrese de seguir las prácticas IAM recomendadas. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.