存储访问管理 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

存储访问管理

Lake Formation 使用凭证售卖功能提供对 Amazon S3 数据的临时访问权限。凭证售卖或令牌售卖是一种常见的模式,它向用户、服务或一些其他实体提供临时凭证,以授予其对资源的短期访问权限。

Lake Formation利用这种模式提供对诸如Athena之类的 Amazon 分析服务的短期访问权限,以代表主叫方访问数据。在授予权限时,用户无需更新其 Amazon S3 存储桶策略或 IAM 策略,也无需直接访问 Amazon S3。

下图显示了 Lake Formation 如何提供对注册位置的临时访问权限:

  1. 主体(用户)通过可信的集成服务(例如 Athena、Amazon EMR、Redshift Spectrum 或 Amazon Glue)输入对表数据的查询或请求。

  2. 该集成服务会检查 Lake Formation 针对表和所请求的列提供的授权,并做出授权决定。如果用户未获得授权,Lake Formation 将拒绝用户访问数据,并且查询将失败。

  3. 授权成功且为表和用户开启存储授权后,集成服务将从 Lake Formation 检索临时凭证以访问数据。

  4. 该集成服务使用 Lake Formation 提供的临时凭证请求 Amazon S3 中的对象。

  5. Amazon S3 向集成服务提供 Amazon S3 对象。Amazon S3 对象包含表中的所有数据。

  6. 集成服务对 Lake Formation 策略执行必要的强制实施,例如列级别、行级别和/或单元格级别筛选。集成服务会处理查询并将结果返回给用户。

为数据目录表启用存储级别权限强制实施

默认情况下,不对数据目录中的表启用存储级别强制实施。要启用存储级别强制实施,您必须在 Lake Formation 中注册源数据的 Amazon S3 位置并提供 IAM 角色。将为与 Amazon S3 位置具有相同的表位置路径或前缀的所有表启用存储级别权限。

当集成服务代表用户请求访问数据位置时,Lake Formation 服务将担任此角色,将凭证返回给所请求的服务,并在确保可以访问数据的情况下缩小对资源的权限范围。注册的 IAM 角色必须拥有访问 Amazon S3 位置的所有必要访问权限,包括 Amazon KMS 密钥。

有关更多信息,请参阅 注册 Amazon S3 位置

支持的 Amazon 服务

Amazon 诸如 Athena、Redshift Spectrum、A Amazon Glue mazon Amazon QuickSight EMR 等分析服务,并使用 Lake Formation 凭证自动售 Amazon SageMaker 货 API 操作 Amazon 与 Lake Formation 集成。要查看与 Lake Formation 集成的 Amazon 服务的完整列表以及它们支持的粒度级别和表格格式,请参阅使用其他 Amazon 服务