本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Lake Formation 可讓您在使用 Athena 查詢讀取存放在 Amazon S3 中的資料或透過聯合資料來源存取時,定義和強制執行資料庫、資料表和資料欄層級的存取政策。Lake Formation 為存放在 Amazon S3 或聯合資料目錄中的資料提供授權和管理層。您可以使用 Lake Formation 中的許可階層來授予或撤銷讀取資料目錄物件 (例如資料庫、資料表和資料欄) 的許可。Lake Formation 可簡化許可的管理,並讓您實作資料的精細定義存取控制 (FGAC)。
您可以使用 Athena 查詢向 Lake Formation 註冊的資料,以及未向 Lake Formation 註冊的資料。
使用 Athena 查詢向 Lake Formation 註冊的 Amazon S3 位置或資料目錄的來源資料時,會套用 Lake Formation 許可。當您建立指向已註冊 Amazon S3 資料位置或資料目錄的資料庫和資料表時,Lake Formation 許可也適用。
Lake Formation 許可不適用於寫入物件,也不適用於查詢未向 Lake Formation 註冊的資料或中繼資料。對於未向 Lake Formation 註冊的來源資料和中繼資料,存取權取決於 IAM 許可政策和 AWS Glue 動作。Simple Storage Service (Amazon S3) 中的 Athena 查詢結果位置無法向 Lake Formation 註冊,且 Simple Storage Service (Amazon S3) 的 IAM 許可政策控制存取權限。此外,Lake Formation 許可不適用於 Athena 查詢歷史記錄。您可以使用 Athena 工作群組來控制查詢歷史記錄的存取。
如需有關 Lake Formation 的詳細資訊,請參閱 Lake Formation 常見問答集
將 Lake Formation 許可套用至現有的資料庫和資料表
如果您是 Athena 的新手,而且使用 Lake Formation 設定查詢資料的存取權,則不需要設定 IAM 政策,讓使用者可以讀取資料和建立中繼資料。您可以使用 Lake Formation 來管理許可。
不需要向 Lake Formation 註冊資料和更新 IAM 許可政策。如果資料未向 Lake Formation 註冊,具有適當許可的 Athena 使用者可以繼續查詢未向 Lake Formation 註冊的資料。
如果您有查詢未向 Lake Formation 註冊的 Amazon S3 資料的現有 Athena 使用者,您可以更新 Amazon S3 的 IAM 許可,如果適用 AWS Glue Data Catalog的話,以便您可以使用 Lake Formation 許可集中管理使用者存取。對於讀取 Simple Storage Service (Amazon S3) 資料位置的許可,您可更新以資源和以身分為基礎的政策,來修改 Simple Storage Service (Amazon S3) 許可。對於中繼資料的存取,如果您使用 設定了精細存取控制的資源層級政策 AWS Glue,您可以使用 Lake Formation 許可來管理存取。
如需詳細資訊,請參閱《 AWS Lake Formation 開發人員指南》中的將資料許可設定對 中資料庫和資料表的存取 AWS Glue Data Catalog升級至模型。 AWS GlueAWS Lake Formation
