Como o Athena acessa os dados registrados no Lake Formation - Amazon Athena

Como o Athena acessa os dados registrados no Lake Formation

O fluxo de trabalho de acesso descrito nesta seção se aplica somente à execução de consultas do Athena em locais e objetos de metadados do Amazon S3 registrados no Lake Formation. Para obter mais informações, consulte Registering a data lake (Registrar um data lake) no Guia do desenvolvedor do AWS Lake Formation. Além de registrar os dados, o administrador do Lake Formation aplica as respectivas permissões, que concedem ou revogam o acesso aos metadados no Catálogo de dados e no local dos dados no Amazon S3. Para obter mais informações, consulte Security and access control to metadata and data (Controle de segurança e acesso a metadados e dados) no Guia do desenvolvedor do AWS Lake Formation.

Cada vez que um principal do Athena (usuário, grupo ou função) executa uma consulta nos dados registrados usando o Lake Formation, o Lake Formation verifica se o principal tem as devidas permissões do Lake Formation para o banco de dados, a tabela e o local do Amazon S3, conforme apropriado para a consulta. Se o principal tiver acesso, o Lake Formation venderá credenciais temporárias para o Athena e a consulta será executada.

O diagrama a seguir ilustra o fluxo descrito acima.

Fluxo de trabalho de acesso de usuário do Lake Formation.

O seguinte diagrama mostra como a venda de credenciais funciona no Athena por consulta em um exemplo de consulta SELECT em uma tabela com um local do Amazon S3 registrado no Lake Formation:

Fluxo de trabalho de venda de credenciais para uma consulta em uma tabela do Athena.

  1. Um principal executa a consulta SELECT no Athena.

  2. O Athena analisa a consulta e verifica as permissões do Lake Formation para ver se o principal recebeu acesso à tabela e às suas colunas.

  3. Se o principal tiver acesso, o Athena solicitará as credenciais do Lake Formation. Se o principal não tiver acesso, o Athena emitirá um erro de acesso negado.

  4. O Lake Formation emite as credenciais ao Athena para usar na leitura dos dados do Amazon S3 junto com a lista de colunas permitidas.

  5. O Athena usa as credenciais temporárias do Lake Formation para consultar os dados do Amazon S3. Após a conclusão da consulta, o Athena descarta as credenciais.