Lake Formation 应用程序集成的工作原理 - AWS Lake Formation

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 应用程序集成的工作原理

本节介绍如何使用应用程序集成API操作将第三方应用程序(查询引擎)与 Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. 这些区域有:Lake Formation 管理员执行以下活动:

    • 通过提供具有访问亚马逊 S3 位置内数据的适当权限的IAM角色(用于自动售货凭证)向 Lake Formation 注册 Amazon S3 地点

    • 注册第三方应用程序,以便能够调用 Lake Formation 的凭证自动售货API业务。请参阅 注册第三方查询引擎

    • 向用户授予访问数据库和表的权限

      例如,如果您要发布包含某些包含个人身份信息的列的用户会话数据集(PII),为了限制访问,您可以为这些列分配一个名为 “分类” 的 LF TBAC 标签,其值为 “敏感”。接下来,您可以定义一种权限,允许业务分析师访问用户会话数据,但那些标有分类 = 敏感的列除外。

  2. 主体(用户)向集成服务提交查询。

  3. 集成应用程序向 Lake Formation 发送请求,要求它提供表信息和用于访问表的凭证。

  4. 如果查询主体有权访问该表,Lake Formation 会将凭证返回到允许访问数据的集成应用程序。

    注意

    出售凭据时,Lake Formation 无法访问底层数据。

  5. 该集成服务读取来自 Amazon S3 的数据,根据它收到的策略筛选列,然后将结果返回给主体。

重要

Lake Formation 凭证自动售卖API操作支持分布式强制执行,其失败时显式拒绝(失败关闭)模式。这在客户、第三方服务和 Lake Formation 之间引入了一个三方安全模型。集成服务值得信赖,可以正确执行 Lake Formation 权限(分布式强制执行)。

集成服务负责根据从中返回的策略筛选从 Amazon S3 读取的数据 Lake Formation 然后才会将筛选后的数据返回给用户。集成服务遵循失效关闭模型,这意味着如果它们无法强制执行所需的查询,则它们必须使查询失败 Lake Formation 权限。