本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lake Formation 應用程式整合的運作方式
本節說明如何使用應用程式整合 API 操作,將第三方應用程式 (查詢引擎) 與 整合Lake Formation。

-
Lake Formation 管理員會執行下列活動:
-
向 Lake Formation 註冊 Amazon S3 位置,方法是提供具有適當許可的 IAM 角色 (用於販賣登入資料),以存取 Amazon S3 位置內的資料
註冊第三方應用程式,以便能夠呼叫 Lake Formation 的憑證販賣 API 操作。請參閱註冊第三方查詢引擎
-
授予使用者存取資料庫和資料表的許可
例如,如果您想要發佈使用者工作階段資料集,其中包含一些包含個人身分識別資訊 (PII) 的資料欄,以限制存取,您可以為這些資料欄指派名為「分類」且值為「敏感」的 LF-TBAC 標籤。接下來,您可以定義許可,允許業務分析師存取使用者工作階段資料,但排除標記為分類 = 敏感的資料欄。
-
-
委託人 (使用者) 向整合服務提交查詢。
-
整合的應用程式會將請求傳送至 Lake Formation,要求資料表資訊和登入資料來存取資料表。
-
如果查詢委託人有權存取資料表,Lake Formation 會將登入資料傳回整合式應用程式,以允許資料存取。
注意
傳送登入資料時,Lake Formation 無法存取基礎資料。
-
整合的服務會從 Amazon S3 讀取資料、根據收到的政策篩選資料欄,並將結果傳回給委託人。
重要
Lake Formation 憑證販賣 API 操作會啟用分散式強制執行,並明確拒絕失敗 (關閉失敗) 模型。這引入了客戶、第三方服務和 Lake Formation 之間的第三方安全模型。受信任的整合式服務可正確強制執行Lake Formation許可 (分散式強制執行)。
整合服務負責根據從 傳回的政策篩選從 Amazon S3 讀取的資料,Lake Formation然後再將篩選的資料傳回給使用者。整合式服務遵循關閉失敗模型,這表示如果他們無法強制執行必要的Lake Formation許可,則必須讓查詢失敗。