Come Athena accede ai dati registrati con Lake Formation - Amazon Athena

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come Athena accede ai dati registrati con Lake Formation

Il flusso di lavoro di accesso descritto in questa sezione si applica solo quando si eseguono query Athena su posizioni e oggetti metadati Amazon S3 registrati con Lake Formation. Per ulteriori informazioni, consulta Registrazione di un data lake nella Guida per gli sviluppatori di AWS Lake Formation. Oltre alla registrazione dei dati, l'amministratore Lake Formation applica le autorizzazioni Lake Formation che concedono o revocano l'accesso ai metadati nel catalogo dati e la posizione dei dati in Amazon S3. Per ulteriori informazioni, consulta Security and Access Control to Metadata and Data (Sicurezza e controllo degli accessi ai metadati e ai dati) nella Guida per gli sviluppatori di AWS Lake Formation.

Ogni volta che un'entità principale Athena (utente, gruppo o ruolo) esegue una query sui dati registrati utilizzando Lake Formation, Lake Formation verifica che l'entità principale disponga delle autorizzazioni Lake Formation appropriate per il database, la tabella e la posizione Amazon S3 appropriati per la query. Se l'entità principale ha accesso, Lake Formation fornisce credenziali temporanee ad Athena e la query viene eseguita.

Il seguente diagramma mostra come funziona il distributore di credenziali in Athena su base query per query per un'ipotetica query SELECT su una tabella con una posizione Amazon S3 registrata in Lake Formation:

Flusso di lavoro di vendita di credenziali per una query su una tabella Athena.

  1. Un'entità principale esegue una query SELECT in Athena.

  2. Athena analizza la query e controlla le autorizzazioni Lake Formation per vedere se all'entità principale è stato concesso l'accesso alla tabella e alle colonne della tabella.

  3. Se l'entità principale ha accesso, Athena richiede le credenziali da Lake Formation. Se l'entità principale non ha accesso, Athena invia un errore di accesso negato.

  4. Lake Formation rilascia ad Athena le credenziali da utilizzare durante la lettura dei dati da Amazon S3, insieme all'elenco delle colonne consentite.

  5. Athena utilizza le credenziali temporanee di Lake Formation per eseguire query sui dati da Amazon S3. Una volta completata la query, Athena elimina le credenziali.