Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Lake Formation : comment ça marche
AWS Lake Formation fournit un modèle d'autorisations du système de gestion de base de données relationnelle (RDBMS) pour accorder ou révoquer l'accès aux ressources du catalogue de données telles que les bases de données, les tables et les colonnes contenant des données sous-jacentes dans Amazon S3. Les autorisations Lake Formation, faciles à gérer, remplacent les politiques complexes relatives aux compartiments Amazon S3 et IAM les politiques correspondantes.
Dans Lake Formation, vous pouvez implémenter des autorisations à deux niveaux :
Application des autorisations au niveau des métadonnées sur les ressources du catalogue de données, telles que les bases de données et les tables
Gestion des autorisations d'accès au stockage sur les données sous-jacentes stockées dans Amazon S3 pour le compte de moteurs intégrés
Flux de travail de gestion des autorisations de Lake Formation
Lake Formation s'intègre aux moteurs d'analyse pour interroger les magasins de données Amazon S3 et les objets de métadonnées enregistrés auprès de Lake Formation. Le schéma suivant illustre le fonctionnement de la gestion des autorisations dans Lake Formation.
Étapes de haut niveau de la gestion des autorisations de Lake Formation
Avant que Lake Formation ne puisse fournir des contrôles d'accès aux données de votre lac de données, un administrateur de lac de données ou un utilisateur disposant d'autorisations administratives définit des politiques utilisateur individuelles pour les tables du catalogue de données afin d'autoriser ou de refuser l'accès aux tables du catalogue de données à l'aide des autorisations de Lake Formation.
Ensuite, l'administrateur du lac de données ou un utilisateur délégué par l'administrateur accorde des autorisations Lake Formation aux utilisateurs sur les bases de données et les tables du catalogue de données, et enregistre l'emplacement de la table sur Amazon S3 auprès de Lake Formation.
Obtenir des métadonnées — Un principal (utilisateur) envoie une requête ou un ETL script à un moteur d'analyse intégré tel qu'Amazon Athena, AWS Glue Amazon ou Amazon EMR Redshift Spectrum. Le moteur d'analyse intégré identifie la table demandée et envoie une demande de métadonnées au catalogue de données.
-
Vérifier les autorisations — Le catalogue de données vérifie les autorisations de l'utilisateur auprès de Lake Formation, et si l'utilisateur est autorisé à accéder à la table, renvoie les métadonnées qu'il est autorisé à voir au moteur.
-
Obtenir des informations d'identification — Le catalogue de données indique au moteur si la table est gérée par Lake Formation ou non. Si les données sous-jacentes sont enregistrées auprès de Lake Formation, le moteur d'analyse demande à Lake Formation de fournir un accès temporaire aux données.
-
Obtenir des données — Si l'utilisateur est autorisé à accéder à la table, Lake Formation fournit un accès temporaire au moteur d'analyse intégré. À l'aide de l'accès temporaire, le moteur d'analyse extrait les données d'Amazon S3 et effectue le filtrage nécessaire, tel que le filtrage par colonne, ligne ou cellule. Lorsque le moteur a terminé d'exécuter la tâche, il renvoie les résultats à l'utilisateur. Ce processus s'appelle la vente d'informations d'identification.
Si la table n'est pas gérée par Lake Formation, le deuxième appel du moteur d'analyse est directement envoyé à Amazon S3. La politique relative au compartiment Amazon S3 et la politique IAM utilisateur concernées sont évaluées pour l'accès aux données.
Chaque fois que vous utilisez des IAM politiques, assurez-vous de suivre les IAM meilleures pratiques. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité IAM dans le guide de IAM l'utilisateur.
Rubriques
