AWS Lake Formation: Cara kerjanya - AWS Lake Formation
Alur kerja manajemen izin Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Lake Formation: Cara kerjanya

AWS Lake Formation menyediakan model izin sistem manajemen basis data relasional (RDBMS) untuk memberikan atau mencabut akses ke sumber daya Katalog Data seperti database, tabel, dan kolom dengan data dasar di Amazon S3. Izin Lake Formation yang mudah dikelola menggantikan kebijakan bucket Amazon S3 yang kompleks dan kebijakan IAM terkait.

Di Lake Formation, Anda dapat menerapkan izin pada dua level:

  • Menegakkan izin tingkat metadata pada sumber daya Katalog Data seperti database dan tabel

  • Mengelola izin akses penyimpanan pada data dasar yang disimpan di Amazon S3 atas nama mesin terintegrasi

Alur kerja manajemen izin Lake Formation

Lake Formation terintegrasi dengan mesin analitik untuk menanyakan penyimpanan data Amazon S3 dan objek metadata yang terdaftar di Lake Formation. Diagram berikut menggambarkan cara kerja manajemen izin di Lake Formation.

Izin Lake Formation mengelola langkah-langkah tingkat tinggi

Sebelum Lake Formation dapat memberikan kontrol akses untuk data di danau data Anda, administrator danau data atau pengguna dengan izin administratif akan menyiapkan kebijakan pengguna tabel Katalog Data individual untuk mengizinkan atau menolak akses ke tabel Katalog Data menggunakan izin Lake Formation.

Kemudian, administrator data lake atau pengguna yang didelegasikan oleh administrator memberikan izin Lake Formation kepada pengguna di database dan tabel Katalog Data, dan mendaftarkan lokasi Amazon S3 tabel dengan Lake Formation.

  1. Dapatkan metadata — Prinsipal (pengguna) mengirimkan kueri atau skrip ETL ke mesin analitik terintegrasi seperti Amazon Athena, Amazon EMR, atau AWS Glue Amazon Redshift Spectrum. Mesin analitik terintegrasi mengidentifikasi tabel yang diminta dan mengirimkan permintaan metadata ke Katalog Data.

  2. Periksa izin — Katalog Data memeriksa izin pengguna dengan Lake Formation, dan jika pengguna diberi wewenang untuk mengakses tabel, mengembalikan metadata yang diizinkan dilihat pengguna ke mesin.

  3. Dapatkan kredensil — Katalog Data memungkinkan mesin mengetahui apakah tabel dikelola oleh Lake Formation atau tidak. Jika data yang mendasarinya terdaftar di Lake Formation, mesin analitik meminta Lake Formation untuk menyediakan akses data dengan memberikan akses sementara.

  4. Dapatkan data — Jika pengguna berwenang untuk mengakses tabel, Lake Formation menyediakan akses sementara ke mesin analitik terintegrasi. Menggunakan akses sementara, mesin analitik mengambil data dari Amazon S3, dan melakukan pemfilteran yang diperlukan seperti pemfilteran kolom, baris, atau sel. Ketika mesin selesai menjalankan pekerjaan, ia mengembalikan hasilnya kembali ke pengguna. Proses ini disebut credential vending.

    Jika tabel tidak dikelola oleh Lake Formation, panggilan kedua dari mesin analitik dilakukan langsung ke Amazon S3. Kebijakan bucket Amazon S3 terkait dan kebijakan pengguna IAM dievaluasi untuk akses data.

    Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya tentang administrator, lihat Praktik terbaik keamanan di IAM dalam Panduan Pengguna IAM.

Topik