Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Orientasi dan pemberian akses
Arsitektur referensi data lake panduan ini membantu Anda menskalakan produsen data dan konsumen data secara independen, selain mendefinisikan dan menetapkan proses yang konsisten untuk orientasi dan pemberian akses ke konsumen data tersebut.
Bagian berikut menjelaskan proses orientasi untuk produsen data dan konsumen data dan cara memberikan akses di akun konsumen data. Panduan ini menggunakan metode sumber daya bernama antara katalog terpusat dan konsumen data. Proses untuk metode LF-TBAC serupa tetapi sedikit berbeda. Kami menyarankan Anda mengevaluasi dan mengonfigurasi pendekatan ini untuk memenuhi praktik dan kebijakan tata kelola data organisasi Anda.
Untuk informasi lebih lanjut tentang kedua metode ini, lihat Katalog terpusat bagian panduan ini.
Produsen data orientasi
Diagram berikut menunjukkan cara onboard produsen data baru ke danau data Anda.
Diagram menunjukkan proses orientasi berikut:
-
Produsen data secara selektif menyediakan katalog terpusat dengan akses ke datanya (misalnya, bucket Amazon Simple Storage Service (Amazon S3) Service S3) dan). AWS KMS key Akses diberikan kepada prinsipal katalog terpusat AWS Identity and Access Management (IAM) untuk mendaftarkan lokasi data lake produsen data AWS Lake Formation dan prinsip-prinsip IAM yang digunakan untuk memelihara katalog produsen data.
-
Daftarkan lokasi danau data produsen data (misalnya, bucket S3) yang menggunakan Lake Formation katalog terpusat.
-
Buat skema database, tabel, dan tabel untuk data baru dari produsen data di Katalog AWS Glue Data.
Konsumen data orientasi
Diagram berikut menunjukkan cara onboard konsumen data baru ke danau data Anda.
Diagram menunjukkan proses orientasi berikut:
-
Konsumen data meminta persetujuan untuk melihat data produsen data dan menentukan data yang perlu diakses.
-
Pengurus data produsen data meninjau permintaan dari konsumen data dan mengevaluasi apakah akan:
-
Bagikan beberapa atau semua tabel dalam database yang diminta. Kami merekomendasikan berbagi tingkat basis data ketika tidak ada implikasi keamanan data dari berbagi semua tabel dengan konsumen data, yang membantu menghindari overhead manajemen berbagi tingkat tabel.
-
Bagikan di organisasi konsumen data, OU, atau tingkat akun.
-
-
Ketika disetujui oleh produsen data, sumber daya Katalog Data yang diperlukan dibagikan dengan konsumen data dalam katalog terpusat.
-
Tautan sumber daya dapat dibuat di akun konsumen data dengan menggunakan Lake Formation dan kemudian arahkan ke sumber daya Katalog Data bersama di katalog terpusat.
Setelah proses orientasi selesai, administrator Lake Formation konsumen data dapat melihat sumber daya katalog database dari katalog terpusat dan tautan sumber daya. Pada tahap ini, tidak ada orang lain di akun konsumen data yang dapat mengakses data produsen data.
Berikan Pilih akses di akun konsumen data
Diagram berikut menunjukkan proses pemberian Selectakses ke sumber daya data bersama dengan prinsipal IAM lokal di akun konsumen data. Prinsipal IAM lokal dapat menjadi peran IAM untuk pengguna individu atau peran IAM yang dikonsumsi oleh layanan tertentu. AWS
catatan
Ketika data yang dibagikan memiliki sensitivitas rendah, Anda dapat mendelegasikan pemberian akses kepada konsumen data itu sendiri tanpa memerlukan persetujuan dari produsen data. Ini karena kepercayaan dan berbagi sudah terjalin di antara mereka.
Diagram menunjukkan proses berikut:
-
Prinsipal IAM individu dalam akun konsumen data meminta
Selectakses ke tautan sumber daya dari prinsipal IAM di akun konsumen data. -
Data steward produsen data meninjau permintaan dari konsumen data dan memberikan persetujuan jika semua persyaratan terpenuhi.
-
Selectakses diberikan dan ini memungkinkan prinsipal IAM untuk mengkonsumsi data yang diminta.
