Lake Formationflux de travail pour les opérations d'API d'intégration d'applications - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lake Formationflux de travail pour les opérations d'API d'intégration d'applications

Le flux de travail pour les opérations d'API d'intégration d'applications est le suivant :

  1. Un utilisateur soumet une requête ou une demande de données à l'aide d'un moteur de requête tiers intégré. Le moteur de requête assume un rôle IAM qui représente l'utilisateur ou un groupe d'utilisateurs et récupère des informations d'identification fiables à utiliser lors de l'appel des opérations de l'API d'intégration de l'application.

  2. Le moteur de requête appelleGetUnfilteredTableMetadata, et s'il s'agit d'une table partitionnée, le moteur de requête appelle GetUnfilteredPartitionsMetadata pour récupérer les métadonnées et les informations de politique à partir du catalogue de données.

  3. Lake Formation autorise la demande. Si l'utilisateur ne dispose pas des autorisations appropriées sur la table, il AccessDeniedExceptionest renvoyé.

  4. Dans le cadre de la demande, le moteur de requête envoie le filtrage qu'il prend en charge. Deux indicateurs peuvent être envoyés dans un tableau : COLUMN_PERMISSIONS et CELL_FILTER_PERMISSION. Si le moteur de requête ne prend en charge aucune de ces fonctionnalités et qu'une politique existe sur la table pour la fonctionnalité, un PermissionTypeMismatchExceptionest émis et la requête échoue. Cela permet d'éviter les fuites de données.

  5. La réponse renvoyée contient les éléments suivants :

    • Le schéma complet de la table afin que les moteurs de requête puissent l'utiliser pour analyser les données stockées.

    • Liste des colonnes autorisées auxquelles l'utilisateur a accès. Si la liste des colonnes autorisées est vide, cela indique que l'utilisateur dispose d'DESCRIBEautorisations, mais pas d'SELECTautorisations, et la requête échoue.

    • Un drapeauIsRegisteredWithLakeFormation, qui indique si Lake Formation peut fournir des informations d'identification à ces données de ressources. Si le résultat est faux, les informations d'identification des clients doivent être utilisées pour accéder à Amazon S3.

    • Une liste indiquant, le CellFilters cas échéant, à appliquer aux lignes de données. Cette liste contient des colonnes et une expression permettant d'évaluer chaque ligne. Ce champ ne doit être renseigné que si CELL_FILTER_PERMISSION est envoyé dans le cadre de la demande et s'il existe un filtre de données dans la table pour l'utilisateur appelant.

  6. Une fois les métadonnées récupérées, le moteur de requête appelle GetTemporaryGlueTableCredentials ou GetTemporaryGluePartitionCredentials pour obtenir des AWS informations d'identification afin de récupérer les données depuis l'emplacement Amazon S3.

  7. Le moteur de requête lit les objets pertinents depuis Amazon S3, filtre les données en fonction des politiques reçues à l'étape 2 et renvoie les résultats à l'utilisateur.

Les opérations de l'API d'intégration d'applications Lake Formation contiennent du contenu supplémentaire pour configurer l'intégration avec des moteurs de requêtes tiers. Vous pouvez consulter les détails des opérations dans la section Opérations de l'API Credential vending.