Verwaltung des Speicherzugriffs - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung des Speicherzugriffs

Lake Formation verwendet die Verkaufsfunktion für Anmeldeinformationen, um temporären Zugriff auf Amazon S3 S3-Daten zu ermöglichen. Der Verkauf von Anmeldeinformationen oder Token-Verkauf ist ein gängiges Muster, bei dem Benutzern, Diensten oder einer anderen Entität temporäre Anmeldeinformationen zur Verfügung gestellt werden, um kurzfristigen Zugriff auf eine Ressource zu gewähren.

Lake Formation nutzt dieses Muster, um kurzfristigen Zugriff auf AWS Analysedienste wie Athena zu ermöglichen, um im Namen des anrufenden Principals auf Daten zuzugreifen. Bei der Erteilung von Berechtigungen müssen Benutzer ihre Amazon S3-Bucket-Richtlinien oder IAM -Richtlinien nicht aktualisieren und benötigen keinen direkten Zugriff auf Amazon S3.

Das folgende Diagramm zeigt, wie Lake Formation temporären Zugriff auf registrierte Standorte bietet:

Diagram showing Lake Formation's process for providing temporary access to registered locations.

  1. Ein Principal (Benutzer) gibt über einen vertrauenswürdigen integrierten Dienst wie Athena, AmazonEMR, Redshift Spectrum oder eine Anfrage nach Daten für eine Tabelle ein. AWS Glue

  2. Der integrierte Dienst prüft, ob die Tabelle und die angeforderten Spalten von Lake Formation autorisiert wurden, und trifft eine Autorisierungsfeststellung. Wenn der Benutzer nicht autorisiert ist, verweigert Lake Formation den Zugriff auf Daten und die Abfrage schlägt fehl.

  3. Nachdem die Autorisierung erfolgreich war und die Speicherautorisierung für die Tabelle und den Benutzer aktiviert wurde, ruft der integrierte Dienst temporäre Anmeldeinformationen von Lake Formation ab, um auf die Daten zuzugreifen.

  4. Der integrierte Service verwendet die temporären Anmeldeinformationen von Lake Formation, um Objekte von Amazon S3 anzufordern.

  5. Amazon S3 stellt die Amazon S3 S3-Objekte für den integrierten Service bereit. Die Amazon S3 S3-Objekte enthalten alle Daten aus der Tabelle.

  6. Der integrierte Service sorgt für die erforderliche Durchsetzung der Lake Formation Formation-Richtlinien, wie z. B. die Filterung auf Spalten-, Zeilen- und/oder Zellenebene. Der integrierte Dienst verarbeitet die Abfragen und gibt die Ergebnisse an den Benutzer zurück.

Aktivieren Sie die Durchsetzung von Berechtigungen auf Speicherebene für Datenkatalogtabellen

Standardmäßig ist die Durchsetzung auf Speicherebene für Tabellen im Datenkatalog nicht aktiviert. Um die Durchsetzung auf Speicherebene zu aktivieren, müssen Sie den Amazon S3 S3-Standort Ihrer Quelldaten bei Lake Formation registrieren und eine IAM Rolle angeben. Berechtigungen auf Speicherebene werden für alle Tabellen mit demselben Tabellenspeicherpfad oder Präfix des Amazon S3 S3-Standorts aktiviert.

Wenn ein integrierter Dienst im Namen eines Benutzers Zugriff auf den Datenstandort anfordert, übernimmt der Lake Formation Formation-Dienst diese Rolle und gibt die Anmeldeinformationen mit eingeschränkten Berechtigungen für die Ressource an den angeforderten Dienst zurück, sodass der Datenzugriff erfolgen kann. Die registrierte IAM Rolle muss über den gesamten erforderlichen Zugriff auf den Amazon S3 S3-Standort verfügen, einschließlich der AWS KMS Schlüssel.

Weitere Informationen finden Sie unter Registrierung eines Amazon S3 S3-Standorts.

Unterstützte AWS Dienste

AWS Analysedienste wie Athena, Redshift Spectrum EMR AWS Glue, Amazon QuickSight Amazon und Amazon SageMaker lassen sich mithilfe der AWS Lake Formation Credential-Vending-Operationen in Lake Formation integrieren. API Eine vollständige Liste der AWS Dienste, die in Lake Formation integriert sind, sowie die Granularitätsstufen und Tabellenformate, die sie unterstützen, finden Zusammenarbeit mit anderen AWS Diensten Sie unter.