As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Lake Formation: como funciona
AWS Lake Formation fornece um modelo de permissões do sistema de gerenciamento de banco de dados relacional (RDBMS) para conceder ou revogar o acesso aos recursos do catálogo de dados, como bancos de dados, tabelas e colunas com dados subjacentes no Amazon S3. As permissões fáceis de gerenciar do Lake Formation substituem as políticas complexas de bucket do Amazon S3 e as políticas correspondentesIAM.
No Lake Formation, você pode implementar permissões em dois níveis:
Aplicação de permissões em nível de metadados nos recursos do catálogo de dados, como bancos de dados e tabelas
Gerenciar permissões de acesso ao armazenamento nos dados subjacentes armazenados no Amazon S3 em nome de mecanismos integrados
Fluxo de trabalho de gerenciamento de permissões do Lake Formation
O Lake Formation se integra aos mecanismos analíticos para consultar armazenamentos de dados e objetos de metadados do Amazon S3 registrados no Lake Formation. O diagrama a seguir mostra como o gerenciamento de permissões funciona no Lake Formation.
Etapas de alto nível do gerenciamento de permissões do Lake Formation
Antes que o Lake Formation possa fornecer controles de acesso aos dados em seu data lake, um administrador de data lake ou um usuário com permissões administrativas configura políticas de usuário individuais da tabela do catálogo de dados para permitir ou negar acesso às tabelas do catálogo de dados usando as permissões do Lake Formation.
Em seguida, o administrador do data lake ou um usuário delegado pelo administrador concede permissões do Lake Formation aos usuários nos bancos de dados e tabelas do catálogo de dados e registra a localização da tabela no Amazon S3 no Lake Formation.
Obtenha metadados — Um principal (usuário) envia uma consulta ou um ETL script para um mecanismo analítico integrado, como Amazon Athena AWS Glue, Amazon ou EMR Amazon Redshift Spectrum. O mecanismo analítico integrado identifica a tabela que está sendo solicitada e envia uma solicitação de metadados para o catálogo de dados.
-
Verificar permissões — O catálogo de dados verifica as permissões do usuário com o Lake Formation e, se o usuário estiver autorizado a acessar a tabela, retorna os metadados que o usuário tem permissão para ver para o mecanismo.
-
Obter credenciais — O catálogo de dados permite que o mecanismo saiba se a tabela é gerenciada pelo Lake Formation ou não. Se os dados subjacentes forem registrados no Lake Formation, o mecanismo analítico solicitará que o Lake Formation forneça acesso aos dados concedendo acesso temporário.
-
Obter dados — Se o usuário estiver autorizado a acessar a tabela, o Lake Formation fornecerá acesso temporário ao mecanismo analítico integrado. Ao usar o acesso temporário, o mecanismo analítico busca os dados do Amazon S3 e executa a filtragem necessária, como filtragem por coluna, linha ou célula. Quando o mecanismo termina de executar o trabalho, ele retorna os resultados para o usuário. Esse processo chamado de fornecimento de credenciais.
Se a tabela não for gerenciada pelo Lake Formation, a segunda chamada do mecanismo analítico será feita diretamente para o Amazon S3. A política de bucket e a política de IAM usuário do Amazon S3 em questão são avaliadas para acesso aos dados.
Sempre que você usar IAM políticas, certifique-se de seguir as IAM melhores práticas. Para obter mais informações, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.
Tópicos
