Amazon Redshift
数据库开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

将 Redshift Spectrum 和 AWS Lake Formation 配合使用

您可以使用 AWS Lake Formation 对存储在 Amazon S3 中的数据集中定义和实施数据库级、表级和列级访问策略。当您的数据在使用 Lake Formation 启用的 AWS Glue 数据目录 中注册时,可以使用多个服务对其查询,包括 Redshift Spectrum。

Lake Formation 提供 Data Catalog 的安全和监管。在 Lake Formation 内,您可以授予和撤消对于 Data Catalog 对象的权限,如数据库、表、列和底层 Amazon S3 存储。

重要

您只能在提供 Lake Formation 的 AWS 区域中将 Redshift Spectrum 与启用了 Lake Formation 的 Data Catalog 一起使用。有关可用区域的列表,请参阅 AWS General Reference 中的 AWS Lake Formation

将 Redshift Spectrum 与 Lake Formation 一起使用,您可以执行以下操作:

  • 将 Lake Formation 用作集中的位置,您可以在其中授予和撤消对数据湖中所有数据的权限和访问控制策略。Lake Formation 提供权限层次结构来控制对 Data Catalog 中的数据库和表的访问权限。有关更多信息,请参阅 Lake Formation 权限

  • 创建外部表并对数据湖中的数据运行查询。您账户中的用户可以运行查询之前,数据湖账户管理员会向 Lake Formation 注册包含源数据的现有 Amazon S3 路径。管理员还可以创建表并向您的用户授予权限。可以授予针对数据库、表或列的访问权限。

    在 Data Catalog 中注册数据后,每次用户尝试运行查询时,Lake Formation 都会验证该特定委托人对于表的访问权限。Lake Formation 会将临时凭证发送到 Redshift Spectrum,此时查询运行。

将 Redshift Spectrum 与为 Lake Formation 启用的 Data Catalog 一起使用时,与集群关联的 IAM 角色必须具有对 Data Catalog 的权限。

重要

将 Redshift Spectrum 与为 Lake Formation 启用的 Data Catalog 一起使用时,不能链接 IAM 角色。

要了解有关设置 AWS Lake Formation 与 Redshift Spectrum 结合使用所需步骤的详细信息,请参阅 AWS Lake Formation Developer Guide 中的教程:在数据湖形成过程中从 JDBC 源创建数据湖。尤其是,参阅使用 Amazon Redshift Spectrum 查询数据湖中的数据,以了解有关与 Redshift Spectrum 集成的详细信息。本主题中使用的数据和 AWS 资源取决于本教程中的先前步骤。