Administración del acceso al almacenamiento - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del acceso al almacenamiento

Lake Formation utiliza la funcionalidad de expendición de credenciales para proporcionar acceso temporal a los datos de Amazon S3. La expedición de credenciales, o expedición de tokens, es un patrón común que proporciona credenciales temporales a usuarios, servicios o alguna otra entidad con el fin de conceder acceso a corto plazo a un recurso.

Lake Formation aprovecha este patrón para proporcionar acceso a corto plazo a servicios de AWS análisis como Athena para acceder a los datos en nombre de la persona que realiza la llamada. Al conceder los permisos, los usuarios no necesitan actualizar sus políticas de bucket de Amazon S3 ni sus políticas de IAM, y no necesitan tener acceso directo a Amazon S3.

El diagrama siguiente muestra cómo Lake Formation proporciona acceso temporal a las ubicaciones registradas:

  1. Una entidad principal (usuario) introduce una consulta o solicitud de datos para una tabla a través de un servicio integrado de confianza como Athena, Amazon EMR, Redshift Spectrum o AWS Glue.

  2. El servicio integrado comprueba la autorización de Lake Formation para la tabla y las columnas solicitadas y evalúa la autorización. Si el usuario no está autorizado, Lake Formation deniega el acceso a los datos y la consulta falla.

  3. En cuanto la autorización tiene éxito y se activa la autorización de almacenamiento para la tabla y el usuario, el servicio integrado recupera las credenciales temporales de Lake Formation para acceder a los datos.

  4. El servicio integrado utiliza las credenciales temporales de Lake Formation para solicitar objetos de Amazon S3.

  5. Amazon S3 proporciona los objetos de Amazon S3 al servicio integrado. Los objetos de Amazon S3 contienen todos los datos de la tabla.

  6. El servicio integrado efectúa la aplicación necesaria de las políticas de Lake Formation, como el filtrado a nivel de columnas, filas o celdas. El servicio integrado procesa las consultas y devuelve los resultados al usuario.

Habilitar la aplicación de permisos a nivel de almacenamiento para las tablas del Catálogo de datos

De forma predeterminada, la aplicación a nivel de almacenamiento no está activada para las tablas del Catálogo de datos. Para habilitar la aplicación a nivel de almacenamiento, debe registrar la ubicación de Amazon S3 de sus datos de origen con Lake Formation y proporcionar un rol de IAM. Los permisos a nivel de almacenamiento se habilitarán para todas las tablas con la misma ruta de ubicación de la tabla o prefijo de la ubicación de Amazon S3.

Cuando un servicio integrado solicita acceso a la ubicación de los datos en nombre de un usuario, el servicio Lake Formation asume este papel y devuelve las credenciales al servicio solicitado con permisos de alcance reducido al recurso para que pueda producirse el acceso a los datos. El rol de IAM registrado debe tener todos los accesos necesarios a la ubicación de Amazon S3, incluidas AWS KMS las claves.

Para obtener más información, consulte Registro de una ubicación de Amazon S3.

Servicios compatibles AWS

AWS servicios analíticos como Athena, Redshift Spectrum, Amazon AWS Glue EMR y se Amazon SageMaker integran con AWS Lake Formation mediante las Amazon QuickSight operaciones de la API de venta de credenciales de Lake Formation. Para ver una lista completa de AWS los servicios que se integran con Lake Formation y el nivel de granularidad y los formatos de tabla que admiten, consulteTrabajar con otros AWS servicios.