Manajemen akses penyimpanan - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen akses penyimpanan

Lake Formation menggunakan fungsionalitas penjual kredenal untuk menyediakan akses sementara ke data Amazon S3. Credential vending, atau token vending adalah pola umum yang memberikan kredensi sementara kepada pengguna, layanan, atau entitas lain untuk tujuan pemberian akses jangka pendek ke sumber daya.

Lake Formation memanfaatkan pola ini untuk menyediakan akses jangka pendek ke layanan AWS analitik seperti Athena untuk mengakses data atas nama kepala panggilan. Saat memberikan izin, pengguna tidak perlu memperbarui kebijakan bucket Amazon S3 atau kebijakan IAM mereka, dan mereka tidak memerlukan akses langsung ke Amazon S3.

Diagram berikut menunjukkan bagaimana Lake Formation menyediakan akses sementara ke lokasi terdaftar:

Diagram showing Lake Formation's process for providing temporary access to registered locations.

  1. Seorang prinsipal (pengguna) memasukkan kueri atau permintaan data untuk tabel melalui layanan terintegrasi tepercaya seperti Athena, Amazon EMR, Redshift Spectrum, atau. AWS Glue

  2. Layanan terintegrasi memeriksa otorisasi dari Lake Formation untuk tabel dan kolom yang diminta dan membuat penentuan otorisasi. Jika pengguna tidak berwenang, Lake Formation menolak akses ke data dan kueri gagal.

  3. Setelah otorisasi berhasil dan otorisasi penyimpanan diaktifkan untuk tabel dan pengguna, layanan terintegrasi mengambil kredensi sementara dari Lake Formation untuk mengakses data.

  4. Layanan terintegrasi menggunakan kredensil sementara dari Lake Formation untuk meminta objek dari Amazon S3.

  5. Amazon S3 menyediakan objek Amazon S3 ke layanan terintegrasi. Objek Amazon S3 berisi semua data dari tabel.

  6. Layanan terintegrasi melakukan penegakan kebijakan Lake Formation yang diperlukan, seperti tingkat kolom, level baris dan/atau penyaringan level sel. Layanan terintegrasi memproses kueri dan mengembalikan hasilnya kembali ke pengguna.

Aktifkan penegakan izin tingkat penyimpanan untuk tabel Katalog Data

Secara default, penegakan tingkat penyimpanan tidak diaktifkan untuk tabel dalam Katalog Data. Untuk mengaktifkan penegakan tingkat penyimpanan, Anda harus mendaftarkan lokasi Amazon S3 dari data sumber Anda dengan Lake Formation dan memberikan peran IAM. Izin tingkat penyimpanan akan diaktifkan untuk semua tabel dengan jalur lokasi tabel atau awalan lokasi Amazon S3 yang sama.

Ketika layanan terintegrasi meminta akses ke lokasi data atas nama pengguna, layanan Lake Formation mengambil peran ini dan mengembalikan kredensialnya ke layanan yang diminta dengan izin tercakup ke sumber daya sehingga akses data dapat dibuat. Peran IAM terdaftar harus memiliki semua akses yang diperlukan ke lokasi AWS KMS Amazon S3 termasuk kunci.

Untuk informasi selengkapnya, lihat Mendaftarkan lokasi Amazon S3.

AWS Layanan yang didukung

AWS layanan analitik seperti Athena, Redshift Spectrum, Amazon AWS Glue EMR,, Amazon QuickSight, dan Amazon SageMaker berintegrasi dengan AWS Lake Formation menggunakan operasi API penjual kredenal Lake Formation. Untuk melihat daftar lengkap AWS layanan yang terintegrasi dengan Lake Formation, dan tingkat granularitas dan format tabel yang mereka dukung, lihat. Bekerja dengan AWS layanan lain