Come funziona l'integrazione delle applicazioni Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona l'integrazione delle applicazioni Lake Formation

Questa sezione descrive come utilizzare API le operazioni di integrazione delle applicazioni per integrare un'applicazione di terze parti (motore di query) con Lake Formation.

Lake Formation data access workflow with user authentication and service integration.
  1. Il Lake Formation l'amministratore svolge le seguenti attività:

    • Registra una sede Amazon S3 con Lake Formation fornendo IAM un ruolo (utilizzato per le credenziali di vendita) con le autorizzazioni appropriate per accedere ai dati all'interno della posizione Amazon S3

    • Registra un'applicazione di terze parti per poter chiamare le operazioni di vendita delle credenziali di Lake Formation. API Consulta la sezione Registrazione di un motore di query di terze parti

    • Concede agli utenti le autorizzazioni per accedere a database e tabelle

      Ad esempio, se si desidera pubblicare un set di dati sulle sessioni utente che include alcune colonne contenenti informazioni di identificazione personale (PII), per limitare l'accesso, si assegna a queste colonne un TBAC tag LF denominato «classificazione» con il valore «sensibile». Successivamente, si definisce un'autorizzazione che consente a un analista aziendale di accedere ai dati delle sessioni utente, ma si escludono le colonne contrassegnate con classificazione = sensibile.

  2. Un principale (utente) invia una richiesta a un servizio integrato.

  3. L'applicazione integrata invia la richiesta a Lake Formation chiedendo le informazioni sulla tabella e le credenziali per accedere alla tabella.

  4. Se il principale richiedente è autorizzato ad accedere alla tabella, Lake Formation restituisce le credenziali all'applicazione integrata, che consente l'accesso ai dati.

    Nota

    Lake Formation non accede ai dati sottostanti quando vende le credenziali.

  5. Il servizio integrato legge i dati da Amazon S3, filtra le colonne in base alle politiche ricevute e restituisce i risultati al principale.

Importante

Lake Formation le API operazioni di vendita di credenziali abilitano un modello di applicazione distribuita con un modello esplicito di negazione dell'errore (fail-close). Questo introduce un modello di sicurezza a tre parti tra clienti, servizi di terze parti e Lake Formation. Si ritiene che i servizi integrati vengano applicati correttamente Lake Formation autorizzazioni (applicazione distribuita).

Il servizio integrato è responsabile del filtraggio dei dati letti da Amazon S3 in base alle politiche restituite da Lake Formation prima che i dati filtrati vengano restituiti all'utente. I servizi integrati seguono un modello di fail-close, il che significa che devono fallire la query se non sono in grado di far rispettare i requisiti Lake Formation autorizzazioni.