Lake Formation 应用程序集成的工作原理 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 应用程序集成的工作原理

本节介绍如何使用应用程序集成 API 操作将第三方应用程序(查询引擎)与 Lake Formation 集成。

  1. Lake Formation 管理员执行以下活动:

    • 通过提供具有访问 Amazon S3 位置处数据的适当权限的 IAM 角色(用于售卖凭证)向 Lake Formation 注册该位置

    • 注册第三方应用程序,使其能够调用 Lake Formation 的凭证售卖 API 操作。请参阅 注册第三方查询引擎

    • 向用户授予访问数据库和表的权限

      例如,如果您要发布的用户会话数据集中的一些列包含个人身份信息 (PII) 以限制访问,则您可以为这些列分配一个名为“分类”,值为“敏感”的 LF-TBAC 标签。接下来,您可以定义一种权限,允许业务分析师访问用户会话数据,但那些标有分类 = 敏感的列除外。

  2. 主体(用户)向集成服务提交查询。

  3. 集成应用程序向 Lake Formation 发送请求,要求它提供表信息和用于访问表的凭证。

  4. 如果查询主体有权访问该表,Lake Formation 会将凭证返回到允许访问数据的集成应用程序。

    注意

    出售凭据时,Lake Formation 无法访问底层数据。

  5. 该集成服务读取来自 Amazon S3 的数据,根据它收到的策略筛选列,然后将结果返回给主体。

重要

Lake Formation凭证售卖 API 操作支持分布式强制实施,并采用失败时显式拒绝(失败关闭)模型。这在客户、第三方服务和 Lake Formation 之间引入了一个三方安全模型。集成服务值得信赖,可以正确强制实施 Lake Formation 权限(分布式强制实施)。

集成服务负责根据 Lake Formation 返回的策略筛选从 Amazon S3 读取的数据,然后再将筛选后的数据返回给用户。集成服务遵循失败关闭模型,这意味着如果它们无法强制实施所需的 Lake Formation 权限,则必定会使查询失败。