混合访问模式 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

混合访问模式

Amazon Lake Formation 混合访问模式支持针对相同的 Amazon Glue Data Catalog 数据库、表和视图实施两条权限途径。
 在第一条途径中,Lake Formation 允许您选择特定的主体,并通过选择操作向他们授予用于访问数据库和表的 Lake Formation 权限。第二条途径允许所有其他主体通过适用于 Amazon S3 和 Amazon Glue 操作的默认 IAM 主体策略访问这些资源。

在 Lake Formation 中注册 Amazon S3 位置时,您可以选择对该位置的所有资源强制实施 Lake Formation 权限,也可以选择使用混合访问模式。默认情况下,混合访问模式仅强制实施 CREATE_TABLECREATE_PARTITIONUPDATE_TABLE 权限。当 Amazon S3 位置处于混合模式时,您可以通过为该位置下的数据库和表选择主体来启用 Lake Formation 权限。


因此,混合访问模式使您可以灵活地且有选择性地为一组特定用户针对数据目录中的数据库和表启用 Lake Formation,而不会中断其他现有用户或工作负载的访问。

Amazon Web Services 账户 architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

有关注意事项和限制,请参阅混合访问模式注意事项和限制

术语和定义

以下是基于您对访问权限的设置方式的数据目录资源定义:

Lake Formation 资源

已向 Lake Formation 注册的资源。用户需要 Lake Formation 权限才能访问该资源。

Amazon Glue 资源

未向 Lake Formation 注册的资源。用户只需 IAM 权限即可访问该资源,因为它具有 IAMAllowedPrincipals 组权限。Lake Formation 权限不会被强制实施。

有关 IAMAllowedPrincipals 组权限的更多信息,请参阅元数据权限

混合资源

在混合访问模式下注册的资源。根据访问资源的用户,该资源会在充当 Lake Formation 资源或 Amazon Glue 资源之间动态切换。

常见的混合访问模式使用案例

您可以在单账户和跨账户数据共享场景中使用混合访问模式提供访问权限:

单账户场景
  • 将 Amazon Glue 资源转换为混合资源 – 在此场景中,您目前没有使用 Lake Formation,但希望对数据目录数据库和表采用 Lake Formation 权限。当您在混合访问模式下注册 Amazon S3 位置时,您可以向选择使用指向该位置的特定数据库和表的用户授予 Lake Formation 权限。

  • 将 Lake Formation 资源转换为混合资源 – 目前,您正在使用 Lake Formation 权限控制对数据目录数据库的访问,但希望在不中断现有 Lake Formation 权限的情况下,使用适用于 Amazon S3 和 Amazon Glue 的 IAM 权限为新主体提供访问权限。

    当您将数据位置注册更新为混合访问模式时,新的主体可以使用 IAM 权限策略访问指向 Amazon S3 位置的数据目录数据库,而不会中断现有用户的 Lake Formation 权限。

    在更新数据位置注册以启用混合访问模式之前,您需要先选择当前使用 Lake Formation 权限访问资源的主体。
 这是为了防止当前工作流可能出现中断。
 您还需要向 IAMAllowedPrincipal 组授予对数据库中表的 Super 权限。

跨账户数据共享场景
  • 使用混合访问模式共享 Amazon Glue 资源 – 在此场景中,制作者账户拥有数据库中的 表,当前使用适用于 Amazon S3 和 Amazon Glue 操作的 IAM 权限策略与使用者账户共享这些表。数据库的数据位置未在 Lake Formation 中注册。

    在混合访问模式下注册数据位置之前,您需要将跨账户版本设置更新为版本 4。版本 4 提供了当 IAMAllowedPrincipal 组拥有对资源的 Super 权限时进行跨账户共享所需的新 Amazon RAM 权限策略。对于那些具有 IAMAllowedPrincipal 组权限的资源,您可以向外部账户授予 Lake Formation 权限,并选择他们以使他们可以使用 Lake Formation 权限。接收方账户中的数据湖管理员可以向账户中的主体授予 Lake Formation 权限,并选择他们以强制实施 Lake Formation 权限。

  • 使用混合访问模式共享 Lake Formation 资源 — 当前,制作者账户拥有与强制实施 Lake Formation 权限的使用者账户共享的数据库中的表。数据库的数据位置在 Lake Formation 中注册。

    在这种情况下,您可以将 Amazon S3 位置注册更新为混合访问模式,并针对使用者账户中的主体使用 Amazon S3 存储桶策略和数据目录资源策略来共享来自 Amazon S3 的数据和来自数据目录的元数据。在更新 Amazon S3 位置注册之前,您需要重新授予现有的 Lake Formation 权限并选择主体。此外,您还需要向 IAMAllowedPrincipals 组授予对数据库中表的 Super 权限。