存储访问管理 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

存储访问管理

Lake Formation 使用凭证自动售卖功能提供对亚马逊 S3 数据的临时访问权限。凭证售卖或代币售卖是一种常见的模式,它向用户、服务或其他实体提供临时证书,以授予对资源的短期访问权限。

Lake Formation利用这种模式提供对诸如Athena之类的Amazon分析服务的短期访问权限,以代表主叫方访问数据。在授予权限时,用户无需更新其 Amazon S3 存储桶策略或 IAM 策略,也不需要直接访问 Amazon S3。

下图显示了 Lake Formation 如何提供对注册地点的临时访问权限:

  1. 委托人(用户)通过可信的集成服务(例如 Athena、Amazon EMR、Redshift Spectrum 或)输入表格的数据查询或请求。Amazon Glue

  2. 该集成服务会检查 Lake Formation 对表和请求列的授权,并做出授权决定。如果用户未获得授权,Lake Formation 将拒绝访问数据,查询将失败。

  3. 授权成功且为表和用户开启存储授权后,集成服务将从 Lake Formation 检索临时证书以访问数据。

  4. 该集成服务使用来自 Lake Formation 的临时凭证从 Amazon S3 请求对象。

  5. 亚马逊 S3 向集成服务提供亚马逊 S3 对象。Amazon S3 对象包含表中的所有数据。

  6. 集成服务对 Lake Formation 策略执行必要的强制执行,例如列级、行级和/或单元级筛选。集成服务处理查询并将结果返回给用户。

为数据目录表启用存储级权限强制执行

默认情况下,不对数据目录中的表启用存储级强制执行。要启用存储级别的强制执行,您必须向 Lake Formation 注册源数据的 Amazon S3 位置并提供 IAM 角色。将为表位置路径或前缀与 Amazon S3 位置相同的所有表启用存储级权限。

当集成服务代表用户请求访问数据位置时,Lake Formation 服务将担任此角色,并将凭证返回给所请求的服务,并对资源进行限定权限,以便可以访问数据。注册的 IAM 角色必须拥有访问 Amazon S3 位置的所有必要访问权限,包括Amazon KMS密钥。

有关更多信息,请参阅注册亚马逊 S3 地点

支持的Amazon服务

Amazon诸如 Athena、Redshift Spectrum、Amazon Amazon Glue EMR 等分析服务,并使用 Lake Formation 凭证自动售Amazon QuickSight货 API 操作Amazon SageMaker与 Amazon Lake Formation 集成。要查看与 Lake Formation 集成的Amazon服务的完整列表以及它们支持的粒度级别和表格格式,请参阅使用其他Amazon服务