Come Athena accede ai dati registrati con Lake Formation - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come Athena accede ai dati registrati con Lake Formation

Il flusso di lavoro di accesso descritto in questa sezione si applica solo quando si eseguono query Athena su posizioni e oggetti metadati Amazon S3 registrati con Lake Formation. Per ulteriori informazioni, consulta Registrazione di un data lake nel AWS Lake Formation Guida per gli sviluppatori. Oltre alla registrazione dei dati, l'amministratore Lake Formation applica le autorizzazioni Lake Formation che concedono o revocano l'accesso ai metadati nel catalogo dati e la posizione dei dati in Amazon S3. Per ulteriori informazioni, consulta Sicurezza e controllo dell'accesso a metadati e dati nel AWS Lake Formation Guida per gli sviluppatori.

Ogni volta che un'entità principale Athena (utente, gruppo o ruolo) esegue una query sui dati registrati utilizzando Lake Formation, Lake Formation verifica che l'entità principale disponga delle autorizzazioni Lake Formation appropriate per il database, la tabella e la posizione Amazon S3 appropriati per la query. Se l'entità principale ha accesso, Lake Formation fornisce credenziali temporanee ad Athena e la query viene eseguita.

Il seguente diagramma illustra il flusso descritto sopra.

Flusso di lavoro di accesso utente di Lake Formation.

Il diagramma seguente mostra come funziona il vending di credenziali in Athena sulla query-by-query base di un'ipotetica SELECT query su una tabella con una sede Amazon S3 registrata a Lake Formation:

Flusso di lavoro di vendita di credenziali per una query su una tabella Athena.

  1. Un'entità principale esegue una query SELECT in Athena.

  2. Athena analizza la query e controlla le autorizzazioni Lake Formation per vedere se all'entità principale è stato concesso l'accesso alla tabella e alle colonne della tabella.

  3. Se l'entità principale ha accesso, Athena richiede le credenziali da Lake Formation. Se l'entità principale non ha accesso, Athena invia un errore di accesso negato.

  4. Lake Formation rilascia ad Athena le credenziali da utilizzare durante la lettura dei dati da Amazon S3, insieme all'elenco delle colonne consentite.

  5. Athena utilizza le credenziali temporanee di Lake Formation per eseguire query sui dati da Amazon S3. Una volta completata la query, Athena elimina le credenziali.