# Como o Athena acessa os dados registrados no Lake Formation O fluxo de trabalho de acesso descrito nesta seção é aplicável somente à execução de consultas do Athena em locais, catálogos de dados ou objetos de metadados do Amazon S3 registrados no Lake Formation. Para obter mais informações, consulte [Registering a data lake](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html) (Registrar um data lake) no *Guia do desenvolvedor do AWS Lake Formation*. Além de registrar os dados, o administrador do Lake Formation aplica as permissões do Lake Formation que concedem ou revogam o acesso aos metadados no catálogo de dados, AWS Glue Data Catalog ou no local dos dados no Amazon S3. Para obter mais informações, consulte [Security and access control to metadata and data](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions) (Controle de segurança e acesso a metadados e dados) no *Guia do desenvolvedor do AWS Lake Formation*. Cada vez que uma entidade principal do Athena (usuário, grupo ou perfil) executar uma consulta em dados registrados usando o Lake Formation, o Lake Formation verificará se a entidade principal tem as devidas permissões do Lake Formation para o banco de dados, a tabela e a fonte de dados, conforme apropriado para a consulta. Se o principal tiver acesso, o Lake Formation *venderá* credenciais temporárias para o Athena e a consulta será executada. O seguinte diagrama mostra o funcionamento da venda de credenciais no Athena por consulta em um exemplo de consulta `SELECT` em uma tabela com um local ou catálogos de dados do Amazon S3 registrado no Lake Formation: ![Fluxo de trabalho de venda de credenciais para uma consulta em uma tabela do Athena.](http://docs.aws.amazon.com/pt_br/athena/latest/ug/images/lake-formation-athena-security.png) 1. Um principal executa a consulta `SELECT` no Athena. 1. O Athena analisa a consulta e verifica as permissões do Lake Formation para ver se o principal recebeu acesso à tabela e às suas colunas. 1. Se o principal tiver acesso, o Athena solicitará as credenciais do Lake Formation. Se o principal *não* tiver acesso, o Athena emitirá um erro de acesso negado. 1. O Lake Formation emite as credenciais ao Athena para usar na leitura dos dados do Amazon S3 ou catálogo, junto com a lista de colunas permitidas. 1. O Athena usa as credenciais temporárias do Lake Formation para consultar os dados do Amazon S3 ou catálogo. Após a conclusão da consulta, o Athena descarta as credenciais.