So funktioniert die Anwendungsintegration von Lake Formation - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die Anwendungsintegration von Lake Formation

In diesem Abschnitt wird beschrieben, wie API-Operationen zur Anwendungsintegration verwendet werden, um eine Drittanbieteranwendung (Abfrage-Engine) zu integrieren Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. Das Tool Lake Formation Der Administrator führt die folgenden Aktivitäten aus:

    • Registriert einen Amazon S3 S3-Standort bei Lake Formation, indem eine IAM-Rolle (für Verkaufsberechtigungen) bereitgestellt wird, die über die entsprechenden Berechtigungen für den Zugriff auf Daten innerhalb des Amazon S3 S3-Standorts verfügt

    • Registriert eine Drittanbieteranwendung, um die API-Operationen für den Verkauf von Anmeldeinformationen von Lake Formation aufrufen zu können. Siehe Registrierung einer Abfrage-Engine eines Drittanbieters

    • Gewährt Benutzern Berechtigungen für den Zugriff auf Datenbanken und Tabellen

      Wenn Sie beispielsweise einen Datensatz für Benutzersitzungen veröffentlichen möchten, der einige Spalten mit personenbezogenen Daten (PII) enthält, weisen Sie diesen Spalten zur Einschränkung des Zugriffs ein LF-TBAC-Tag mit dem Namen „Klassifizierung“ mit dem Wert „vertraulich“ zu. Als Nächstes definieren Sie eine Berechtigung, die es einem Geschäftsanalysten ermöglicht, auf die Daten der Benutzersitzungen zuzugreifen, aber die Spalten, die mit classification = sensitive gekennzeichnet sind, ausschließen.

  2. Ein Principal (Benutzer) sendet eine Anfrage an einen integrierten Dienst.

  3. Die integrierte Anwendung sendet die Anfrage an Lake Formation und bittet um Tabelleninformationen und Anmeldeinformationen für den Zugriff auf die Tabelle.

  4. Wenn der abfragende Prinzipal autorisiert ist, auf die Tabelle zuzugreifen, gibt Lake Formation die Anmeldeinformationen an die integrierte Anwendung zurück, die den Datenzugriff ermöglicht.

    Anmerkung

    Lake Formation greift beim Verkauf von Anmeldeinformationen nicht auf die zugrunde liegenden Daten zu.

  5. Der integrierte Service liest Daten aus Amazon S3, filtert Spalten auf der Grundlage der empfangenen Richtlinien und gibt die Ergebnisse an den Principal zurück.

Wichtig

Lake Formation API-Operationen für den Verkauf von Anmeldedaten ermöglichen eine verteilte Durchsetzung mit einem expliziten Modell der Ablehnung bei einem Ausfall (Fail-Close). Dadurch wird ein Dreiparteien-Sicherheitsmodell zwischen Kunden, Drittanbieterdiensten und Lake Formation eingeführt. Es wird darauf vertraut, dass integrierte Dienste die Vorschriften ordnungsgemäß durchsetzen Lake Formation Berechtigungen (verteilte Durchsetzung).

Der integrierte Service ist dafür verantwortlich, die aus Amazon S3 gelesenen Daten auf der Grundlage der Richtlinien zu filtern, die von Lake Formation bevor die gefilterten Daten an den Benutzer zurückgegeben werden. Integrierte Dienste folgen einem Fail-Close-Modell, d. h. sie müssen die Abfrage nicht bestehen lassen, wenn sie die erforderlichen Anforderungen nicht erzwingen können Lake Formation Berechtigungen.