Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Lake Formation 中数据访问的工作原理

Lake Formation 通过向 Amazon EMR 等服务提供临时凭证来允许访问数据。此过程称为凭证售卖。有关更多信息,请参阅 AWS Lake Formation

在对受 Lake Formation 安全策略保护的数据运行查询时,Amazon EMR 从 AWS Lake Formation 请求临时凭证以访问存储在 Amazon S3 中的数据。

授予对数据的访问权限的方法如下:

  1. 您可以使用 AWS Lake Formation 策略设置并控制对资源的访问。您可以在 Lake Formation 控制台中,使用对您可用的一组授予和撤消权限来创建策略。例如,您可以授予对数据库或表的访问权限。您也可以将列级别权限授予用户。您可以直接在 Lake Formation 中为表和列指定权限,而不是为 Amazon S3 存储桶和对象指定这些权限。有关更多信息,请参阅 Lake Formation 权限

  2. 当委托人尝试在 Amazon EMR 中对来自 Lake Formation 的数据运行查询时,Amazon EMR 从 AWS Lake Formation 请求数据访问的临时凭证。

  3. Lake Formation 返回临时凭证,从而允许数据访问。

  4. Amazon EMR 发送查询请求来从 Amazon S3 获取数据。

  5. Amazon EMR 根据在 Lake Formation 中定义的用户权限筛选并返回结果。