Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Lake Formation utiliza la funcionalidad de expendición de credenciales para proporcionar acceso temporal a los datos de Amazon S3. La expedición de credenciales, o expedición de tokens, es un patrón común que proporciona credenciales temporales a usuarios, servicios o alguna otra entidad con el fin de conceder acceso a corto plazo a un recurso.
Lake Formation aprovecha este patrón para proporcionar acceso a corto plazo a servicios de análisis AWS como Athena para acceder a los datos en nombre de la entidad principal que llama. Al conceder los permisos, los usuarios no necesitan actualizar sus políticas de bucket de Amazon S3 ni sus políticas de IAM, y no necesitan tener acceso directo a Amazon S3.
El diagrama siguiente muestra cómo Lake Formation proporciona acceso temporal a las ubicaciones registradas:
-
Una entidad principal (usuario) introduce una consulta o solicitud de datos para una tabla a través de un servicio integrado de confianza como Athena, Amazon EMR, Redshift Spectrum o AWS Glue.
-
El servicio integrado comprueba la autorización de Lake Formation para la tabla y las columnas solicitadas y evalúa la autorización. Si el usuario no está autorizado, Lake Formation deniega el acceso a los datos y la consulta falla.
En cuanto la autorización tiene éxito y se activa la autorización de almacenamiento para la tabla y el usuario, el servicio integrado recupera las credenciales temporales de Lake Formation para acceder a los datos.
-
El servicio integrado utiliza las credenciales temporales de Lake Formation para solicitar objetos de Amazon S3.
Amazon S3 proporciona los objetos de Amazon S3 al servicio integrado. Los objetos de Amazon S3 contienen todos los datos de la tabla.
El servicio integrado efectúa la aplicación necesaria de las políticas de Lake Formation, como el filtrado a nivel de columnas, filas o celdas. El servicio integrado procesa las consultas y devuelve los resultados al usuario.
Habilitar la aplicación de permisos a nivel de almacenamiento para las tablas del Catálogo de datos
De forma predeterminada, la aplicación a nivel de almacenamiento no está activada para las tablas del Catálogo de datos. Para habilitar la aplicación a nivel de almacenamiento, debe registrar la ubicación de Amazon S3 de sus datos de origen con Lake Formation y proporcionar un rol de IAM. Los permisos a nivel de almacenamiento se habilitarán para todas las tablas con la misma ruta de ubicación de la tabla o prefijo de la ubicación de Amazon S3.
Cuando un servicio integrado solicita acceso a la ubicación de los datos en nombre de un usuario, el servicio Lake Formation asume este papel y devuelve las credenciales al servicio solicitado con permisos de alcance reducido al recurso para que pueda producirse el acceso a los datos. El rol de IAM registrado debe tener todo el acceso necesario a la ubicación de Amazon S3, incluidas las claves AWS KMS.
Para obtener más información, consulte Registro de una ubicación de Amazon S3.
Servicios de AWS compatibles
AWS servicios analíticos como Athena, Redshift Spectrum, Amazon EMR, AWS Glue, Amazon QuickSight, y Amazon SageMaker AI se integran con AWS Lake Formation utilizando las operaciones API de expedición de credenciales de Lake Formation. Para ver una lista completa de los servicios de AWS que se integran con Lake Formation, así como el nivel de detalle y los formatos de tabla que compatibilizan, consulte Trabajar con otros AWS servicios.
