Comment fonctionne l'intégration de l'application Lake Formation - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne l'intégration de l'application Lake Formation

Cette section décrit comment utiliser les opérations de l'API d'intégration d'applications pour intégrer une application tierce (moteur de requête) avec Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. Le Lake Formation l'administrateur effectue les activités suivantes :

    • Enregistre un site Amazon S3 auprès de Lake Formation en fournissant un rôle IAM (utilisé pour les informations d'identification automatiques) doté des autorisations appropriées pour accéder aux données du site Amazon S3

    • Enregistre une application tierce pour pouvoir appeler les opérations de l'API de vente d'informations d'identification de Lake Formation. Consultez Enregistrement d'un moteur de requête tiers.

    • Accorde aux utilisateurs des autorisations d'accès aux bases de données et aux tables

      Par exemple, si vous souhaitez publier un ensemble de données de sessions utilisateur comprenant des colonnes contenant des informations personnelles identifiables (PII), pour restreindre l'accès, vous devez attribuer à ces colonnes une balise LF-TBAC nommée « classification » avec la valeur « sensible ». Vous définissez ensuite une autorisation qui permet à un analyste commercial d'accéder aux données des sessions utilisateur, mais vous excluez les colonnes étiquetées avec classification = sensitive.

  2. Un principal (utilisateur) soumet une requête à un service intégré.

  3. L'application intégrée envoie la demande à Lake Formation pour demander les informations de la table et les informations d'identification pour accéder à la table.

  4. Si le principal demandeur est autorisé à accéder à la table, Lake Formation renvoie les informations d'identification à l'application intégrée, qui autorise l'accès aux données.

    Note

    Lake Formation n'accède pas aux données sous-jacentes lors de la vente d'informations d'identification.

  5. Le service intégré lit les données d'Amazon S3, filtre les colonnes en fonction des politiques reçues et renvoie les résultats au principal.

Important

Lake Formation les opérations de l'API de vente d'informations d'identification permettent une application distribuée avec un modèle de refus explicite en cas d'échec (fermeture en cas d'échec). Cela introduit un modèle de sécurité tripartite entre les clients, les services tiers et Lake Formation. Les services intégrés sont fiables pour appliquer correctement Lake Formation autorisations (application distribuée).

Le service intégré est chargé de filtrer les données lues depuis Amazon S3 en fonction des politiques renvoyées par Lake Formation avant que les données filtrées ne soient renvoyées à l'utilisateur. Les services intégrés suivent un modèle de fermeture automatique, ce qui signifie qu'ils doivent échouer à la requête s'ils ne sont pas en mesure d'appliquer les exigences requises Lake Formation autorisations.