Cara kerja mode akses hybrid - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja mode akses hybrid

Diagram berikut menunjukkan cara kerja otorisasi Lake Formation dalam mode akses hibrid saat Anda menanyakan sumber daya Katalog Data.

AWS Lake Formation authorization process flowchart for hybrid access mode queries.

Sebelum mengakses data di data lake Anda, administrator data lake atau pengguna dengan izin administratif menyiapkan kebijakan pengguna tabel Katalog Data individual untuk mengizinkan atau menolak akses ke tabel di Katalog Data Anda. Kemudian, kepala sekolah yang memiliki izin untuk melakukan RegisterResource operasi mendaftarkan lokasi Amazon S3 dari tabel dengan Lake Formation dalam mode akses hybrid. Administrator memberikan izin Lake Formation kepada pengguna tertentu pada database dan tabel Katalog Data dan memilih mereka untuk menggunakan izin Lake Formation untuk database dan tabel tersebut dalam mode akses hybrid.

  1. Mengirimkan kueri - Prinsipal mengirimkan kueri atau skrip ETL menggunakan layanan terintegrasi seperti Amazon Athena, Amazon EMR, atau AWS Glue Amazon Redshift Spectrum.

  2. Permintaan data - Mesin analitik terintegrasi mengidentifikasi tabel yang diminta dan mengirimkan permintaan metadata ke Katalog Data (GetTable,). GetDatabase

  3. Memeriksa izin - Katalog Data memverifikasi izin akses prinsipal kueri dengan Lake Formation.

    1. Jika tabel tidak memiliki izin IAMAllowedPrincipals grup yang dilampirkan, izin Lake Formation diberlakukan.

    2. Jika kepala sekolah telah memilih untuk menggunakan izin Lake Formation dalam mode akses hybrid, dan tabel memiliki izin IAMAllowedPrincipals grup yang dilampirkan, izin Lake Formation diberlakukan. Mesin kueri menerapkan filter yang diterimanya dari Lake Formation dan mengembalikan data ke pengguna.

    3. Jika lokasi tabel tidak terdaftar di Lake Formation dan kepala sekolah belum memilih untuk menggunakan izin Lake Formation dalam mode akses hibrida, Katalog Data akan memeriksa apakah tabel memiliki izin IAMAllowedPrincipals grup yang dilampirkan padanya. Jika izin ini ada di atas meja, semua kepala sekolah di akun mendapat Super atau All izin di atas meja.

  4. Dapatkan kredensil — Katalog Data memeriksa dan memberi tahu mesin apakah lokasi tabel terdaftar di Lake Formation atau tidak. Jika data yang mendasarinya terdaftar di Lake Formation, mesin analitik meminta kredensi sementara Lake Formation untuk mengakses data di bucket Amazon S3.

  5. Dapatkan data — Jika kepala sekolah berwenang untuk mengakses data tabel, Lake Formation menyediakan akses sementara ke mesin analitik terintegrasi. Menggunakan akses sementara, mesin analitik mengambil data dari Amazon S3, dan melakukan pemfilteran yang diperlukan seperti pemfilteran kolom, baris, atau sel. Ketika mesin selesai menjalankan pekerjaan, ia mengembalikan hasilnya kembali ke pengguna. Proses ini disebut credential vending. Untuk informasi lebih lanjut, lihatMengintegrasikan layanan pihak ketiga dengan Lake Formation.

  6. 
Jika lokasi data tabel tidak terdaftar di Lake Formation, panggilan kedua dari mesin analitik dilakukan langsung ke Amazon S3. Kebijakan bucket Amazon S3 terkait dan kebijakan pengguna IAM dievaluasi untuk akses data. Setiap kali Anda menggunakan kebijakan IAM, pastikan bahwa Anda mengikuti praktik terbaik IAM. Untuk informasi selengkapnya, lihat Praktik terbaik keamanan di IAM di Panduan Pengguna IAM.