本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Lake Formation 应用程序集成的工作原理
本节介绍如何使用应用程序集成 API 操作将第三方应用程序(查询引擎)与 Lake Formation 集成。
-
Lake Formation 管理员执行以下活动:
-
主体(用户)向集成服务提交查询。
-
集成应用程序向 Lake Formation 发送请求,要求它提供表信息和用于访问表的凭证。
-
如果查询主体有权访问该表,Lake Formation 会将凭证返回到允许访问数据的集成应用程序。
注意
出售凭据时,Lake Formation 无法访问底层数据。
-
该集成服务读取来自 Amazon S3 的数据,根据它收到的策略筛选列,然后将结果返回给主体。
重要
Lake Formation凭证售卖 API 操作支持分布式强制实施,并采用失败时显式拒绝(失败关闭)模型。这在客户、第三方服务和 Lake Formation 之间引入了一个三方安全模型。集成服务值得信赖,可以正确强制实施 Lake Formation 权限(分布式强制实施)。
集成服务负责根据 Lake Formation 返回的策略筛选从 Amazon S3 读取的数据,然后再将筛选后的数据返回给用户。集成服务遵循失败关闭模型,这意味着如果它们无法强制实施所需的 Lake Formation 权限,则必定会使查询失败。