Lake Formation凭据自动售货 API 操作的工作流 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation凭据自动售货 API 操作的工作流

以下是凭据自动售货 API 操作的工作流程:

  1. 用户使用集成的第三方查询引擎提交查询或数据请求。查询引擎承担代表用户或一组用户的 IAM 角色,并检索要在调用证书自动售货 API 操作时使用的可信凭证。

  2. 查询引擎调用GetUnfilteredTableMetadata,如果是分区表,则查询引擎会调用GetUnfilteredPartitionsMetadata从数据目录中检索元数据和策略信息。

  3. Lake Formation 对请求执行授权。如果用户对表没有适当的权限,那么EntityNotFoundException被抛出。

  4. 作为请求的一部分,查询引擎发送它支持的过滤器。在阵列中可以发送两个标志:COLUMN _权限CELL_FILTER _权限. 如果查询引擎不支持任何这些功能,并且表中存在该功能的策略,那么权限类型 emismatch 异常被抛出且查询失败。这是为了避免数据泄露。

  5. 返回的响应包含以下内容:

    • 表的整个架构,以便查询引擎可以使用它来解析存储中的数据。

    • 用户有权访问的已授权列的列表。如果已授权的列列表为空,则表示用户已DESCRIBE权限,但没有SELECT权限,查询将失败。

    • 一个旗子,IsRegisteredWithLakeFormation,表示 Lake Formation 是否可以向此资源数据发送凭证。如果返回 false,则应使用客户的凭证访问 Amazon S3。

    • 列表CellFilters如果有的话,应该应用于数据行。此列表包含用于评估每行的列和一个表达式。这应该只有在以下情况下填充CELL_FILTER _权限作为请求的一部分发送,并且有针对调用用户的表的数据过滤器。

  6. 检索元数据后,查询引擎将调用GetTemporaryGlueTableCredentials要么GetTemporaryGluePartitionCredentials为了获取Amazon从 Amazon S3 位置检索数据的凭据。

  7. 查询引擎从 Amazon S3 读取相关对象,根据它在步骤 2 中收到的策略筛选数据,然后将结果返回给用户。

用于的凭据自动售货 API 操作Lake Formation包含用于配置与第三方查询引擎集成的其他内容。你可以在凭据自动售货机 API 操作部分。