Lake Formation 應用程式整合的運作方式 - AWS Lake Formation

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Lake Formation 應用程式整合的運作方式

本節說明如何使用應用程式整合 API 操作,將第三方應用程式 (查詢引擎) 與 整合Lake Formation。

Lake Formation data access workflow with user authentication and service integration.

  1. Lake Formation 管理員會執行下列活動:

    • 向 Lake Formation 註冊 Amazon S3 位置,方法是提供具有適當許可的 IAM 角色 (用於販賣登入資料),以存取 Amazon S3 位置內的資料

    • 註冊第三方應用程式,以便能夠呼叫 Lake Formation 的憑證販賣 API 操作。請參閱註冊第三方查詢引擎

    • 授予使用者存取資料庫和資料表的許可

      例如,如果您想要發佈使用者工作階段資料集,其中包含一些包含個人身分識別資訊 (PII) 的資料欄,以限制存取,您可以為這些資料欄指派名為「分類」且值為「敏感」的 LF-TBAC 標籤。接下來,您可以定義許可,允許業務分析師存取使用者工作階段資料,但排除標記為分類 = 敏感的資料欄。

  2. 委託人 (使用者) 向整合服務提交查詢。

  3. 整合的應用程式會將請求傳送至 Lake Formation,要求資料表資訊和登入資料來存取資料表。

  4. 如果查詢委託人有權存取資料表,Lake Formation 會將登入資料傳回整合式應用程式,以允許資料存取。

    注意

    傳送登入資料時,Lake Formation 無法存取基礎資料。

  5. 整合的服務會從 Amazon S3 讀取資料、根據收到的政策篩選資料欄,並將結果傳回給委託人。

重要

Lake Formation 憑證販賣 API 操作會啟用分散式強制執行,並明確拒絕失敗 (關閉失敗) 模型。這引入了客戶、第三方服務和 Lake Formation 之間的第三方安全模型。受信任的整合式服務可正確強制執行Lake Formation許可 (分散式強制執行)。

整合服務負責根據從 傳回的政策篩選從 Amazon S3 讀取的資料,Lake Formation然後再將篩選的資料傳回給使用者。整合式服務遵循關閉失敗模型,這表示如果他們無法強制執行必要的Lake Formation許可,則必須讓查詢失敗。