本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Athena 查詢向 AWS Lake Formation 註冊的資料
AWS Lake Formation 可讓您在使用 Athena 查詢來讀取存放在 Amazon S3 中的資料或透過聯合資料來源存取時,定義並強制執行資料庫、資料表和資料欄層級存取政策。Lake Formation 會針對存放在 Amazon S3 或聯合資料目錄中的資料提供授權和控管層。您可以使用 Lake Formation 中的許可階層來授予或撤銷讀取資料目錄物件 (例如資料庫、資料表和資料欄) 的許可。Lake Formation 可簡化許可的管理,並讓您實作資料的精細定義存取控制 (FGAC)。
您可以使用 Athena 查詢向 Lake Formation 註冊的資料,以及未向 Lake Formation 註冊的資料。
使用 Athena 查詢已向 Lake Formation 註冊之 Amazon S3 位置或資料目錄的來源資料時,Lake Formation 許可即適用。當您建立指向已註冊 Amazon S3 資料位置或資料目錄的資料庫和資料表時,Lake Formation 許可也適用。
寫入物件時,Lake Formation 許可不適用,也不適用於查詢未向 Lake Formation 註冊的資料或中繼資料時。對於未向 Lake Formation 註冊的來源資料和中繼資料,存取權將由 IAM 許可政策和 AWS Glue 動作確定。Simple Storage Service (Amazon S3) 中的 Athena 查詢結果位置無法向 Lake Formation 註冊,且 Simple Storage Service (Amazon S3) 的 IAM 許可政策控制存取權限。此外,Lake Formation 許可不適用於 Athena 查詢歷史記錄。您可以使用 Athena 工作群組來控制查詢歷史記錄的存取。
如需有關 Lake Formation 的詳細資訊,請參閱 Lake Formation 常見問答集
將 Lake Formation 許可套用至現有資料庫和資料表
如果您是初次使用 Athena,且使用 Lake Formation 設定對查詢資料的存取,則不需要設定 IAM 政策以讓使用者能夠讀取資料和建立中繼資料。您可以使用 Lake Formation 來管理許可。
不需要向 Lake Formation 註冊資料和更新 IAM 許可政策。如果資料未向 Lake Formation 註冊,則擁有適當許可的 Athena 使用者可以繼續查詢未向 Lake Formation 註冊的資料。
如果您有現有的 Athena 使用者在查詢未向 Lake Formation 註冊的 Amazon S3 資料,您可以更新 Amazon S3 和 AWS Glue Data Catalog 的 IAM 許可 (如適用),以便您可以使用 Lake Formation 許可集中管理使用者存取。對於讀取 Simple Storage Service (Amazon S3) 資料位置的許可,您可更新以資源和以身分為基礎的政策,來修改 Simple Storage Service (Amazon S3) 許可。對於存取中繼資料,如果您已透過設定資源層級政策以搭配 AWS Glue 進行精細的存取控制,您可以使用 Lake Formation 許可來管理存取。
如需詳細資訊,請參閱在 中設定資料庫和資料表的存取權AWS Glue Data Catalog和《AWS Lake Formation 開發人員指南》中的升級對 AWS Lake Formation 模型的 AWS Glue 資料許可。
