本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Athena 如何存取向 Lake Formation 註冊的資料
本節所述的存取工作流程適用於在 Amazon S3 位置、資料目錄或針對向 Lake Formation 註冊的中繼資料物件執行 Athena 查詢時。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的註冊資料湖。除了註冊資料外,Lake Formation 管理員也會應用 Lake Formation 許可,授予或撤銷對資料目錄中繼資料、AWS Glue Data Catalog 或 Amazon S3 資料位置的存取權。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的中繼資料與資料的安全性與存取控制。
每當 Athena 主體 (使用者、群組或角色) 對使用 Lake Formation 註冊的資料執行查詢時,Lake Formation 都會驗證主體是否有適合查詢的資料庫、資料表和資料來源位置的適當 Lake Formation 許可。如果主體有權存取,Lake Formation 會將暫時性憑證提供給 Athena,且查詢會執行。
下圖顯示憑證販售如何在 Athena 中以逐次查詢為基礎運作,以便對 Lake Formation 中註冊之 Amazon S3 位置或資料目錄的資料表進行假設的 SELECT 查詢:
-
主體在 Athena 中執行
SELECT查詢。 -
Athena 會分析查詢並檢查 Lake Formation 許可,以查看是否授予主體對資料表和資料欄的存取權。
-
如果主體有權存取,則 Athena 會向 Lake Formation 請求憑證。如果主體沒有存取權,Athena 會發出存取遭拒錯誤。
-
Lake Formation 會在從 Amazon S3 或目錄讀取資料時發出憑證給 Athena,也會發出允許的資料欄之清單。
-
Athena 使用 Lake Formation 臨時憑證來查詢來自 Amazon S3 或目錄的資料。查詢完成後,Athena 會捨棄憑證。
