混合存取模式 - AWS Lake Formation
常見的混合存取模式使用案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

混合存取模式

AWS Lake Formation 混合存取模式支援兩種權限路徑到相同的 AWS Glue Data Catalog 資料庫和資料表。
 在第一個途徑中,Lake Formation 可讓您選取特定主體,並透過選擇加入,授予他們 Lake Formation 存取資料庫和表格的權限。第二個途徑允許所有其他主體透過 Amazon S3 的預設 IAM 主體政策和 AWS Glue 動作存取這些資源。

向 Lake Formation 註冊 Amazon S3 位置時,您可以選擇對此位置的所有資源強制執行 Lake Formation 許可,或使用混合存取模式。依預設CREATE_TABLECREATE_PARTITION混合式存取模式僅強制執行UPDATE_TABLE權限。當 Amazon S3 位置處於混合模式時,您可以透過選擇該位置下資料庫和表格的主體來啟用 Lake Formation 許可。


因此,混合式存取模式提供了靈活性,可為特定使用者集選擇性地為資料目錄中的資料庫和表格啟用 Lake Formation,而不會中斷其他現有使用者或工作負載的存取。

如需注意事項和限制,請參閱 混合式存取模式考量與限制

術語和定義

以下是根據您設定存取權限的方式,資料目錄資源的定義:

Lake Formation 資源

在 Lake Formation 成註冊的資源。使用者需要 Lake Formation m 權限才能存取資源。

AWS Glue 資源

未在 Lake Formation 註冊的資源。使用者只需要 IAM 許可即可存取資源,因為它具有IAMAllowedPrincipals群組權限。不強制執行 Lake Formation 許可權。

如需IAMAllowedPrincipals群組權限的詳細資訊,請參閱元數據權限

混合式資源

以混合式存取模式註冊的資源。根據存取資源的使用者,資源會在作為 Lake Formation 資源或資源之間動態切換。 AWS Glue

常見的混合存取模式使用案例

您可以使用混合存取模式,在單一帳戶和跨帳戶資料共用案例中提供存取權:

單一帳戶案例

  • AWS Glue 資源轉換為混合資源 — 在此案例中,您目前並未使用 Lake Formation,但想要針對資料目錄資料庫和表格採用 Lake Formation 權限。當您以混合式存取模式註冊 Amazon S3 位置時,可以將 Lake Formation 權限授與選擇指向該位置的特定資料庫和表格的使用者。

  • Lake Formation 資源轉換為混合資源 — 目前,您正在使用 Lake Formation 許可來控制資料目錄資料庫的存取,但想要使用 Amazon S3 的 IAM 許可提供新主體的存取權, AWS Glue 而且不會中斷現有的 Lake Formation 許可。

    當您將資料位置註冊更新為混合式存取模式時,新主體可以使用 IAM 許可政策存取指向 Amazon S3 位置的資料目錄資料庫,而不會中斷現有使用者的 Lake Formation 許可。

    在更新資料位置註冊以啟用混合式存取模式之前,您必須先選擇使用 Lake Formation 權限存取資源的主參與者。
 這是為了防止目前工作流程的潛在中斷。
 您也需要將資料庫中資料表的Super權限授與IAMAllowedPrincipal群組。

跨帳戶資料共用案例

  • 使用混合存取模式共用 AWS Glue 資源 — 在此案例中,生產者帳戶在資料庫中具有目前與使用 Amazon S3 的 IAM 許可政策和 AWS Glue 動作與消費者帳戶共用的表格。資料庫的資料位置未在 Lake Formation 註冊。

    在以混合訪問模式註冊數據位置之前,您需要將 Cross 帳戶版本設置更新為版本 4。第 4 版提供IAMAllowedPrincipal群組對資源的 AWS RAM 權限時,跨帳戶共用所需的新Super權限原則。對於具有IAMAllowedPrincipal群組權限的資源,您可以將 Lake Formation 權限授予外部帳戶,並選擇他們使用 Lake Formation 權限。收件者帳戶中的資料湖管理員可以將 Lake Formation 權限授與帳戶中的主體,並選擇他們加入以強制執行 Lake Formation 權限。

  • 使用混合存取模式共用 Lake Formation 資源 — 目前,生產者帳戶在資料庫中有資料表,這些表格與執行 Lake Formation 權限的消費者帳戶共用。資料庫的資料位置已在 Lake Formation 註冊。

    在這種情況下,您可以將 Amazon S3 位置註冊更新為混合存取模式,並使用 Amazon S3 儲存貯體政策和資料目錄資源政策將來自 Amazon S3 的資料和資料目錄資源政策中的中繼資料共用給消費者帳戶中的主體。在更新 Amazon S3 位置註冊之前,您需要重新授予現有的 Lake Formation m 許可並選擇加入主體。此外,您需要將資料庫中資料表的Super權限授與IAMAllowedPrincipals群組。

主題