Lake Formation 應用程式整合的運作方式 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Lake Formation 應用程式整合的運作方式

本節說明如何使用應用程式整合API操作來整合第三方應用程式 (查詢引擎) 與 Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. 所以此 Lake Formation 管理員會執行下列活動:

    • 透過提供角色 IAM(用於販賣憑證),具有存取 Amazon S3 位置內資料的適當許可,向 Lake Formation 註冊 Amazon S3 位置

    • 註冊第三方應用程式,以便能夠呼叫 Lake Formation 的憑證販賣API操作。請參閱註冊第三方查詢引擎

    • 准許使用者存取資料庫和資料表

      例如,如果您想要發佈包含某些資料欄的使用者工作階段資料集,其中包含個人可識別資訊 (PII),以限制存取,您可以為這些資料欄指派名為「機密」的 LF TBAC標籤。接下來,您會定義許可,允許業務分析師存取使用者工作階段資料,但排除標示分類 = 敏感的欄。

  2. 委託人 (使用者) 將查詢提交至整合服務。

  3. 整合應用程式會將請求傳送至 Lake Formation,要求資料表資訊和憑證來存取資料表。

  4. 如果查詢主體獲得存取資料表的授權,Lake Formation 會將憑證傳回整合式應用程式,允許資料存取。

    注意

    Lake Formation 不會在傳送憑證時存取基礎資料。

  5. 整合服務會從 Amazon S3 讀取資料、根據收到的政策篩選資料欄,並將結果傳回給委託人。

重要

Lake Formation 憑證販賣API操作會啟用分散式強制執行,並在失敗 (關閉失敗) 模型時明確拒絕。這在客戶、第三方服務和 Lake Formation 之間引入了第三方安全模型。整合式服務受信任可正確強制執行 Lake Formation 許可 (分散式強制執行)。

整合服務負責根據從 傳回的政策篩選從 Amazon S3 讀取的資料 Lake Formation 在篩選的資料傳回給使用者之前。整合服務遵循故障關閉模型,這表示如果無法強制執行必要的查詢,則必須失敗 Lake Formation 許可。