Cómo funciona la integración de aplicaciones de Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona la integración de aplicaciones de Lake Formation

En esta sección se describe cómo utilizar API las operaciones de integración de aplicaciones para integrar una aplicación de terceros (motor de consultas) con Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. La Lake Formation el administrador realiza las siguientes actividades:

    • Registra una ubicación de Amazon S3 en Lake Formation proporcionando un IAM rol (utilizado para las credenciales de venta) que tenga los permisos adecuados para acceder a los datos dentro de la ubicación de Amazon S3

    • Registra una aplicación de terceros para poder llamar a las operaciones de venta API de credenciales de Lake Formation. Consulte Registro de un motor de consultas de terceros

    • Concede permisos para permitir el acceso a bases de datos y tablas

      Por ejemplo, si desea publicar un conjunto de datos de sesiones de usuario que incluya algunas columnas con información de identificación personal (PII), para restringir el acceso, asigne a estas columnas una TBAC etiqueta LF- denominada «clasificación» con el valor «confidencial». A continuación, define un permiso que permita a un analista empresarial acceder a los datos de las sesiones de los usuarios, pero excluye las columnas etiquetadas con classification = sensitive.

  2. Una entidad principal (usuario) envía una consulta a un servicio integrado.

  3. La aplicación integrada envía la solicitud a Lake Formation solicitando la información de la tabla y las credenciales para acceder a la tabla.

  4. Si la entidad principal que efectúa la consulta está autorizada a acceder a la tabla, Lake Formation devuelve las credenciales a la aplicación integrada, lo que permite el acceso a los datos.

    nota

    Lake Formation no accede a los datos subyacentes cuando vende credenciales.

  5. El servicio integrado lee los datos de Amazon S3, filtra las columnas según las políticas que ha recibido y devuelve los resultados a la entidad principal.

importante

Lake Formation APILas operaciones de venta de credenciales permiten una aplicación distribuida con un modelo explícito de denegación en caso de fallo (cierre por error). Esto introduce un modelo de seguridad tripartito entre los clientes, los servicios de terceros y Lake Formation. Se confía en que los servicios integrados se apliquen adecuadamente Lake Formation permisos (aplicación distribuida).

El servicio integrado es responsable de filtrar los datos leídos de Amazon S3 en función de las políticas devueltas desde Lake Formation antes de que los datos filtrados se devuelvan al usuario. Los servicios integrados siguen un modelo de cierre por error, lo que significa que deben fallar en la consulta si no pueden hacer cumplir lo requerido Lake Formation permisos.