Cara kerja integrasi aplikasi Lake Formation - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja integrasi aplikasi Lake Formation

Bagian ini menjelaskan cara menggunakan API operasi integrasi aplikasi untuk mengintegrasikan aplikasi pihak ketiga (mesin kueri) dengan Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. Bagian Lake Formation administrator melakukan kegiatan berikut:

    • Mendaftarkan lokasi Amazon S3 dengan Lake Formation dengan menyediakan IAM peran (digunakan untuk kredensi penjual) yang memiliki izin yang sesuai untuk mengakses data dalam lokasi Amazon S3

    • Mendaftarkan aplikasi pihak ketiga untuk dapat memanggil operasi penjual API kredensi Lake Formation. Lihat Mendaftarkan mesin kueri pihak ketiga

    • Memberikan izin bagi pengguna untuk mengakses database dan tabel

      Misalnya, jika Anda ingin mempublikasikan kumpulan data sesi pengguna yang menyertakan beberapa kolom yang berisi informasi yang dapat diidentifikasi secara pribadi (PII), untuk membatasi akses, Anda menetapkan kolom ini TBAC tag LF- bernama “klasifikasi” dengan nilai “sensitif”. Selanjutnya, Anda menentukan izin yang memungkinkan analis bisnis mengakses data sesi pengguna, tetapi mengecualikan kolom yang ditandai dengan klasifikasi = sensitif.

  2. Seorang prinsipal (pengguna) mengirimkan kueri ke layanan terintegrasi.

  3. Aplikasi terintegrasi mengirimkan permintaan ke Lake Formation yang meminta informasi tabel dan kredensional untuk mengakses tabel.

  4. Jika prinsipal kueri diizinkan untuk mengakses tabel, Lake Formation mengembalikan kredensialnya ke aplikasi terintegrasi, yang memungkinkan akses data.

    catatan

    Lake Formation tidak mengakses data yang mendasarinya saat menjual kredensyal.

  5. Layanan terintegrasi membaca data dari Amazon S3, memfilter kolom berdasarkan kebijakan yang diterimanya, dan mengembalikan hasilnya kembali ke prinsipal.

penting

Lake Formation APIoperasi penjual kredensi memungkinkan penegakan terdistribusi dengan model penolakan eksplisit pada kegagalan (fail-close). Ini memperkenalkan model keamanan tiga pihak antara pelanggan, layanan pihak ketiga, dan Lake Formation. Layanan terintegrasi dipercaya untuk ditegakkan dengan benar Lake Formation izin (penegakan terdistribusi).

Layanan terintegrasi bertanggung jawab untuk memfilter data yang dibaca dari Amazon S3 berdasarkan kebijakan yang dikembalikan Lake Formation sebelum data yang difilter dikembalikan kembali ke pengguna. Layanan terintegrasi mengikuti model fail-close, yang berarti bahwa mereka harus gagal dalam kueri jika mereka tidak dapat menegakkan yang diperlukan Lake Formation izin.