翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Lake Formation アプリケーション統合の仕組み
このセクションでは、アプリケーション統合APIオペレーションを使用してサードパーティーアプリケーション (クエリエンジン) を と統合する方法について説明しますLake Formation。
-
Lake Formation 管理者が以下のアクティビティを実行します。
-
Amazon S3 ロケーション内のデータにアクセスするための適切なアクセス許可を持つ IAMロール (認証情報の販売に使用される) を指定して、Amazon S3 ロケーションを Lake Formation に登録します
Lake Formation の認証情報供給APIオペレーションを呼び出せるように、サードパーティーアプリケーションを登録します。「サードパーティークエリエンジンの登録」を参照してください。
-
データベースとテーブルにアクセスするための許可をユーザーに付与する。
例えば、個人を特定できる情報 (PII) を含む列を含むユーザーセッションデータセットを公開してアクセスを制限する場合は、これらの列に「classification」という名前の LFTBAC タグを「sensitive」の値で割り当てます。次に、ユーザーセッションデータへのアクセス権をビジネスアナリストに付与するための許可を定義します。ただし、classification = sensitive がタグ付けされた列は除きます。
-
-
プリンシパル (ユーザー) が、統合されたサービスにクエリを送信します。
-
統合されたアプリケーションが Lake Formation にリクエストを送信し、テーブル情報とテーブルにアクセスするための認証情報を要求します。
-
クエリを実行するプリンシパルにテーブルへのアクセスが認可されている場合は、Lake Formation から統合されたアプリケーションに認証情報を返し、データアクセスを許可します。
注記
Lake Formation は、認証情報の提供時に基盤となるデータにアクセスしません。
-
統合されたサービスが Amazon S3 からデータを読み取り、受け取ったポリシーに基づいて列をフィルタリングして、結果をプリンシパルに返します。
重要
Lake Formation 認証情報供給APIオペレーションでは、障害発生時の明示的な拒否 (フェイルクローズ) モデルによる分散適用を有効にします。これにより、顧客、サードパーティーサービス、Lake Formation の間に 3 パーティーセキュリティモデルが導入されます。統合されたサービスでは、Lake Formation 許可が適切に適用 (分散型適用) されます。
統合されたサービスは、Lake Formation から返されたポリシーに基づいて Amazon S3 からデータを読み取ってフィルタリングし、フィルタリングしたデータをユーザーに返す責任があります。統合されたサービスは、フェイルクローズモデルに従います。つまり、適切な Lake Formation 許可を適用できない場合はクエリを失敗させる必要があります。
