Lake Formation 自动售货机如何运作 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lake Formation 自动售货机如何运作

本节介绍如何使用凭据自动售货 API 操作将第三方应用程序(查询引擎)与Lake Formation.

  1. 这些区域有:Lake Formation管理员执行以下活动:

    • 通过提供 IAM 角色(用于自动售货凭证)向 Lake Formation 注册 Amazon S3 位置,该角色具有访问 Amazon S3 位置内的数据的适当权限

    • 注册第三方应用程序以便能够调用 Lake Formation 的凭据自动售货 API 操作。请参阅 注册第三方查询引擎

    • 授予用户访问数据库和表的权限

      例如,如果要发布包含某些包含个人身份信息 (PII) 的列的用户会话日期集,为了限制访问,您可以为这些列分配LF-TBAC名为 “分类” 的标签,值为 “敏感”。接下来,您定义允许业务分析师访问用户会话数据的权限,但不包括那些标记为的列分类 = 敏感.

  2. 委托人(用户)向集成服务提交查询。

  3. 集成的应用程序将请求发送给 Lake Formation,要求提供表格信息和凭据以访问该表。

  4. 如果查询委托人有权访问表,Lake Formation 会将凭据返回给集成应用程序,该应用程序允许数据访问。

  5. 集成服务从 Amazon S3 读取数据、根据收到的策略筛选列并将结果返回给委托人。

重要

Lake Formation凭据自动售货 API 操作启用具有失败时显式拒绝(失败关闭)模型的分布式强制实施。这引入了客户、第三方服务和 Lake Formation 之间的三方安全模型。值得信赖集成服务能够正确实施Lake Formation权限(分布式强制执行)。

集成服务负责根据从中返回的策略筛选从 Amazon S3 读取的数据。Lake Formation在过滤的数据返回给用户之前。集成服务遵循失效关闭模式,这意味着如果无法强制执行所需的话,它们必须使查询失败Lake Formation权限。