混合存取模式 - AWS Lake Formation
常見的混合存取模式使用案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

混合存取模式

AWS Lake Formation 混合存取模式支援通往相同 AWS Glue Data Catalog 物件的兩個許可路徑。
 在第一個路徑中,Lake Formation 可讓您選取特定主體,並透過選擇加入授予他們 Lake Formation 存取目錄、資料庫、資料表和檢視的許可。第二個路徑允許所有其他主體透過 Amazon S3 和 AWS Glue 動作的預設 IAM 主體政策存取這些資源。

向 Lake Formation 註冊 Amazon S3 位置時,您可以選擇針對此位置的所有資源強制執行 Lake Formation 許可,或使用混合存取模式。根據預設CREATE_TABLE,混合存取模式只會強制執行 、CREATE_PARTITIONUPDATE_TABLE許可。當 Amazon S3 位置處於混合模式時,您可以透過選擇該位置下 Data Catalog 物件的主體來啟用 Lake Formation 許可。
這表示 Lake Formation 許可和 IAM 許可都可以控制對該資料的存取。這表示選擇加入主體需要 Lake Formation 許可和 IAM 許可才能存取資料,而non-opted-in主體則會繼續使用 IAM 許可來存取資料。

因此,混合存取模式提供靈活性,為一組特定使用者選擇性地為 Data Catalog 中的目錄、資料庫和資料表啟用 Lake Formation,而不會中斷其他現有使用者或工作負載的存取。

AWS 帳戶 architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

如需注意事項和限制,請參閱 混合存取模式的考量和限制

術語和定義

以下是 Data Catalog 資源的定義,取決於您如何設定存取許可:

Lake Formation 資源

向 Lake Formation 註冊的資源。使用者需要 Lake Formation 許可才能存取資源。

AWS Glue 資源

未向 Lake Formation 註冊的資源。使用者只需要 IAM 許可即可存取資源,因為它具有IAMAllowedPrincipals群組許可。Lake Formation 許可不會強制執行。

如需IAMAllowedPrincipals群組許可的詳細資訊,請參閱 中繼資料許可

混合資源

在混合存取模式中註冊的資源。根據存取資源的使用者,資源會動態切換為 Lake Formation 資源或 AWS Glue 資源。

常見的混合存取模式使用案例

您可以使用混合存取模式,在單一帳戶和跨帳戶資料共用案例中提供存取權:

單一帳戶案例

  • 將 AWS Glue 資源轉換為混合資源 – 在此案例中,您目前並未使用 Lake Formation,但想要為 Data Catalog 物件採用 Lake Formation 許可。當您以混合存取模式註冊 Amazon S3 位置時,您可以將 Lake Formation 許可授予選擇加入指向該位置之特定資料庫和資料表的使用者。

  • 將 Lake Formation 資源轉換為混合資源 – 目前,您正在使用 Lake Formation 許可來控制 Data Catalog 資料庫的存取權,但想要使用 Amazon S3 的 IAM 許可提供新主體的存取權,而不會 AWS Glue 中斷現有的 Lake Formation 許可。

    當您將資料位置註冊更新為混合存取模式時,新的主體可以使用 IAM 許可政策存取指向 Amazon S3 位置的資料目錄資料庫,而不會中斷現有使用者的 Lake Formation 許可。

    在更新資料位置註冊以啟用混合存取模式之前,您必須先選擇使用 Lake Formation 許可存取資源的主體。
 這是為了防止目前工作流程的潛在中斷。
 您也需要將資料庫中資料表的Super許可授予 IAMAllowedPrincipal群組。

跨帳戶資料共用案例

  • 使用混合存取模式共用 AWS Glue 資源 – 在此案例中,生產者帳戶在資料庫中具有資料表,目前使用 Amazon S3 AWS Glue 的 IAM 許可政策和 動作與取用者帳戶共用。資料庫的資料位置並未向 Lake Formation 註冊。

    在混合存取模式中註冊資料位置之前,您需要將跨帳戶版本設定更新為第 4 版。當IAMAllowedPrincipal群組具有 資源的 AWS RAM 許可時,第 4 版提供跨帳戶共用所需的新Super許可政策。對於具有IAMAllowedPrincipal群組許可的資源,您可以將 Lake Formation 許可授予外部帳戶,並選擇加入以使用 Lake Formation 許可。收件人帳戶中的資料湖管理員可以將 Lake Formation 許可授予帳戶中的主體,並選擇加入以強制執行 Lake Formation 許可。

  • 使用混合存取模式共用 Lake Formation 資源 – 目前,生產者帳戶在資料庫中具有與強制執行 Lake Formation 許可的取用者帳戶共用的資料表。資料庫的資料位置已向 Lake Formation 註冊。

    在此情況下,您可以將 Amazon S3 位置註冊更新為混合存取模式,並使用 Amazon S3 儲存貯體政策和 Data Catalog 資源政策,將來自 Amazon S3 的資料和來自 Data Catalog 的中繼資料分享給取用者帳戶中的主體。您需要重新授予現有的 Lake Formation 許可,並在更新 Amazon S3 位置註冊之前選擇加入委託人。此外,您需要將資料庫中資料表的Super許可授予 IAMAllowedPrincipals群組。

主題