Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion de l'accès au stockage
Lake Formation utilise la fonctionnalité de distribution automatique d'informations d'identification pour fournir un accès temporaire aux données Amazon S3. La vente d'informations d'identification, ou de jetons, est un modèle courant qui fournit des informations d'identification temporaires aux utilisateurs, aux services ou à une autre entité dans le but d'accorder un accès à court terme à une ressource.
Lake Formation s'appuie sur ce modèle pour fournir un accès à court terme à des services AWS d'analyse tels qu'Athena afin d'accéder aux données pour le compte du principal appelant. Lorsqu'ils accordent des autorisations, les utilisateurs n'ont pas besoin de mettre à jour leurs politiques ou IAM politiques relatives au compartiment Amazon S3, et ils n'ont pas besoin d'un accès direct à Amazon S3.
Le schéma suivant montre comment Lake Formation fournit un accès temporaire aux sites enregistrés :
-
Un principal (utilisateur) saisit une requête ou une demande de données pour une table via un service intégré fiable tel qu'Athena, Amazon, EMR Redshift Spectrum ou. AWS Glue
-
Le service intégré vérifie l'autorisation de Lake Formation pour le tableau et les colonnes demandées et prend une décision d'autorisation. Si l'utilisateur n'est pas autorisé, Lake Formation refuse l'accès aux données et la requête échoue.
Une fois l'autorisation réussie et l'autorisation de stockage activée pour la table et l'utilisateur, le service intégré récupère les informations d'identification temporaires de Lake Formation pour accéder aux données.
-
Le service intégré utilise les informations d'identification temporaires de Lake Formation pour demander des objets à Amazon S3.
Amazon S3 fournit les objets Amazon S3 au service intégré. Les objets Amazon S3 contiennent toutes les données de la table.
Le service intégré assure l'application nécessaire des politiques relatives à la Formation des Lacs, telles que le filtrage au niveau des colonnes, au niveau des lignes et/ou au niveau des cellules. Le service intégré traite les requêtes et renvoie les résultats à l'utilisateur.
Activer l'application des autorisations au niveau du stockage pour les tables du catalogue de données
Par défaut, l'application au niveau du stockage n'est pas activée pour les tables du catalogue de données. Pour permettre l'application du niveau de stockage, vous devez enregistrer l'emplacement Amazon S3 de vos données sources auprès de Lake Formation et fournir un IAM rôle. Les autorisations au niveau du stockage seront activées pour toutes les tables ayant le même chemin d'emplacement de table ou le même préfixe que l'emplacement Amazon S3.
Lorsqu'un service intégré demande l'accès à l'emplacement des données pour le compte d'un utilisateur, le service Lake Formation assume ce rôle et renvoie les informations d'identification au service demandé avec des autorisations limitées sur la ressource afin que l'accès aux données puisse être effectué. Le IAM rôle enregistré doit disposer de tous les accès requis à l'emplacement Amazon S3, y compris AWS KMS les clés.
Pour de plus amples informations, veuillez consulter Enregistrement d'un emplacement Amazon S3.
AWS Services pris en charge
AWS des services analytiques tels qu'Athena, Redshift Spectrum, EMR AWS Glue Amazon Amazon QuickSight,, et s'intègrent à Lake Formation à l'aide des opérations de vente d'informations d'identification de AWS Lake Formation. Amazon SageMaker API Pour consulter la liste complète des AWS services intégrés à Lake Formation, ainsi que le niveau de granularité et les formats de table qu'ils prennent en charge, voirCollaboration avec d'autres AWS services.
