Come funziona l'integrazione delle applicazioni Lake Formation - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona l'integrazione delle applicazioni Lake Formation

Questa sezione descrive come utilizzare le operazioni API di integrazione delle applicazioni per integrare un'applicazione di terze parti (motore di query) conLake Formation.

  1. L'Lake Formationamministratore svolge le seguenti attività:

    • Registra una sede Amazon S3 con Lake Formation fornendo un ruolo IAM (utilizzato per le credenziali di vendita) con le autorizzazioni appropriate per accedere ai dati all'interno della posizione Amazon S3

    • Registra un'applicazione di terze parti per poter chiamare le operazioni API di vendita delle credenziali di Lake Formation. Per informazioni, consultare Registrazione di un motore di query di terze parti.

    • Concede agli utenti le autorizzazioni per accedere a database e tabelle

      Ad esempio, se si desidera pubblicare un set di dati sulle sessioni utente che include alcune colonne contenenti informazioni di identificazione personale (PII), per limitare l'accesso, si assegna a queste colonne un tag LF-TBAC denominato «classificazione» con il valore «sensibile». Successivamente, si definisce un'autorizzazione che consenta a un analista aziendale di accedere ai dati delle sessioni utente, ma si escludono le colonne contrassegnate con classificazione = sensibile.

  2. Un principale (utente) invia una richiesta a un servizio integrato.

  3. L'applicazione integrata invia la richiesta a Lake Formation chiedendo le informazioni sulla tabella e le credenziali per accedere alla tabella.

  4. Se il principale richiedente è autorizzato ad accedere alla tabella, Lake Formation restituisce le credenziali all'applicazione integrata, che consente l'accesso ai dati.

    Nota

    Lake Formation non accede ai dati sottostanti quando vende le credenziali.

  5. Il servizio integrato legge i dati da Amazon S3, filtra le colonne in base alle politiche ricevute e restituisce i risultati al principale.

Importante

Lake FormationLe operazioni API di vendita delle credenziali abilitano un modello di applicazione distribuita con un modello esplicito di negazione dell'errore (fail-close). Questo introduce un modello di sicurezza a tre parti tra clienti, servizi di terze parti e Lake Formation. I servizi integrati sono affidabili per applicare correttamente le Lake Formation autorizzazioni (applicazione distribuita).

Il servizio integrato è responsabile del filtraggio dei dati letti da Amazon S3 in base alle politiche restituite Lake Formation prima che i dati filtrati vengano restituiti all'utente. I servizi integrati seguono un modello di chiusura fallimentare, il che significa che devono fallire la query se non sono in grado di applicare le autorizzazioni richieste. Lake Formation