Gestione degli accessi allo storage - AWS Lake Formation

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi allo storage

Lake Formation utilizza la funzionalità di vendita di credenziali per fornire un accesso temporaneo ai dati di Amazon S3. La vendita di credenziali, o vendita di token, è uno schema comune che fornisce credenziali temporanee a utenti, servizi o altre entità allo scopo di concedere l'accesso a breve termine a una risorsa.

Lake Formation sfrutta questo modello per fornire un accesso a breve termine a servizi di AWS analisi come Athena per accedere ai dati per conto del committente chiamante. Quando concedono le autorizzazioni, gli utenti non devono aggiornare le policy dei bucket Amazon S3 o le policy IAM e non hanno bisogno dell'accesso diretto ad Amazon S3.

Il diagramma seguente mostra come Lake Formation fornisce l'accesso temporaneo alle località registrate:

Diagram showing Lake Formation's process for providing temporary access to registered locations.

  1. Un principale (utente) inserisce una query o una richiesta di dati per una tabella tramite un servizio integrato affidabile come Athena, Amazon EMR, Redshift Spectrum o. AWS Glue

  2. Il servizio integrato verifica l'autorizzazione di Lake Formation per la tabella e le colonne richieste e determina l'autorizzazione. Se l'utente non è autorizzato, Lake Formation nega l'accesso ai dati e la query ha esito negativo.

  3. Una volta completata l'autorizzazione e attivata l'autorizzazione all'archiviazione per la tabella e l'utente, il servizio integrato recupera le credenziali temporanee da Lake Formation per accedere ai dati.

  4. Il servizio integrato utilizza le credenziali temporanee di Lake Formation per richiedere oggetti da Amazon S3.

  5. Amazon S3 fornisce gli oggetti Amazon S3 al servizio integrato. Gli oggetti Amazon S3 contengono tutti i dati della tabella.

  6. Il servizio integrato esegue la necessaria applicazione delle politiche di Lake Formation, come il filtraggio a livello di colonna, a livello di riga e/o a livello di cella. Il servizio integrato elabora le interrogazioni e restituisce i risultati all'utente.

Abilita l'applicazione delle autorizzazioni a livello di storage per le tabelle del Data Catalog

Per impostazione predefinita, l'applicazione a livello di storage non è abilitata per le tabelle all'interno del Data Catalog. Per abilitare l'applicazione a livello di storage, devi registrare la posizione Amazon S3 dei tuoi dati di origine con Lake Formation e fornire un ruolo IAM. Le autorizzazioni a livello di storage verranno abilitate per tutte le tabelle con lo stesso percorso di posizione della tabella o lo stesso prefisso della posizione Amazon S3.

Quando un servizio integrato richiede l'accesso alla posizione dei dati per conto di un utente, il servizio Lake Formation assume questo ruolo e restituisce le credenziali al servizio richiesto con autorizzazioni limitate alla risorsa in modo che sia possibile effettuare l'accesso ai dati. Il ruolo IAM registrato deve disporre di tutti gli accessi necessari alla posizione Amazon S3, comprese AWS KMS le chiavi.

Per ulteriori informazioni, consulta Registrazione di una sede Amazon S3.

Servizi supportati AWS

AWS servizi di analisi come Athena, Redshift Spectrum, Amazon AWS Glue EMR e Amazon SageMaker integrazione con AWS Lake Formation utilizzando le Amazon QuickSight operazioni API di vendita delle credenziali di Lake Formation. Per un elenco completo dei AWS servizi che si integrano con Lake Formation e il livello di granularità e i formati di tabella che supportano, consulta. Collaborazione con altri AWS servizi