本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
存储访问管理
Lake Formation 使用凭证售卖功能提供对 Amazon S3 数据的临时访问权限。凭证售卖或令牌售卖是一种常见的模式,它向用户、服务或一些其他实体提供临时凭证,以授予其对资源的短期访问权限。
Lake Formation 利用这种模式提供对 Athena 等 AWS 分析服务的短期访问权限,以使被授予者能够代表调用主体访问数据。在授予权限时,用户无需更新其 Amazon S3 存储桶策略或 IAM 策略,也无需直接访问 Amazon S3。
下图显示了 Lake Formation 如何提供对注册位置的临时访问权限:
-
主体(用户)通过可信的集成服务(例如 Athena、Amazon EMR、Redshift Spectrum 或 AWS Glue)输入对表数据的查询或请求。
-
该集成服务会检查 Lake Formation 针对表和所请求的列提供的授权,并做出授权决定。如果用户未获得授权,Lake Formation 将拒绝用户访问数据,并且查询将失败。
授权成功且为表和用户开启存储授权后,集成服务将从 Lake Formation 检索临时凭证以访问数据。
-
该集成服务使用 Lake Formation 提供的临时凭证请求 Amazon S3 中的对象。
Amazon S3 向集成服务提供 Amazon S3 对象。Amazon S3 对象包含表中的所有数据。
集成服务对 Lake Formation 策略执行必要的强制实施,例如列级别、行级别和/或单元格级别筛选。集成服务会处理查询并将结果返回给用户。
为数据目录表启用存储级别权限强制实施
默认情况下,不对数据目录中的表启用存储级别强制实施。要启用存储级别强制实施,您必须在 Lake Formation 中注册源数据的 Amazon S3 位置并提供 IAM 角色。将为与 Amazon S3 位置具有相同的表位置路径或前缀的所有表启用存储级别权限。
当集成服务代表用户请求访问数据位置时,Lake Formation 服务将担任此角色,将凭证返回给所请求的服务,并在确保可以访问数据的情况下缩小对资源的权限范围。已注册的 IAM 角色必须对 Amazon S3 位置(包括 AWS KMS 密钥)拥有所有必需访问权限。
有关更多信息,请参阅 注册 Amazon S3 位置。
支持的 AWS 服务
Athena、Redshift Spectrum、Amazon EMR、AWS Glue、Amazon Quick Suite 和 Amazon SageMaker AI 等 AWS 分析服务使用 Lake Formation 凭证售卖 API 操作与 AWS Lake Formation 集成。要查看与 Lake Formation 集成的 AWS 服务的完整列表以及它们支持的粒度级别和表格格式,请参阅使用其他AWS服务。
