Lake Formation アプリケーション統合の仕組み - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lake Formation アプリケーション統合の仕組み

このセクションでは、アプリケーション統合APIオペレーションを使用してサードパーティーアプリケーション (クエリエンジン) を と統合する方法について説明します。Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. - Lake Formation 管理者は次のアクティビティを実行します。

    • Amazon S3 ロケーション内のデータにアクセスするための適切なアクセス許可を持つIAMロール (認証情報の自動販売に使用される) を指定してAmazon S3ロケーションを Lake Formation に登録します。

    • Lake Formation の認証情報販売APIオペレーションを呼び出すことができるように、サードパーティーのアプリケーションを登録します。「サードパーティークエリエンジンの登録」を参照してください。

    • データベースとテーブルにアクセスするための許可をユーザーに付与する。

      例えば、個人を特定できる情報 (PII) を含むいくつかの列を含むユーザーセッションデータセットを発行してアクセスを制限する場合は、これらの列に「分類」という名前の LF タグTBACを「機密」の値で割り当てます。次に、ユーザーセッションデータへのアクセス権をビジネスアナリストに付与するための許可を定義します。ただし、classification = sensitive がタグ付けされた列は除きます。

  2. プリンシパル (ユーザー) が、統合されたサービスにクエリを送信します。

  3. 統合されたアプリケーションが Lake Formation にリクエストを送信し、テーブル情報とテーブルにアクセスするための認証情報を要求します。

  4. クエリを実行するプリンシパルにテーブルへのアクセスが認可されている場合は、Lake Formation から統合されたアプリケーションに認証情報を返し、データアクセスを許可します。

    注記

    Lake Formation は、認証情報を購入するときに基盤となるデータにアクセスしません。

  5. 統合されたサービスが Amazon S3 からデータを読み取り、受け取ったポリシーに基づいて列をフィルタリングして、結果をプリンシパルに返します。

重要

Lake Formation 認証情報自動販売APIオペレーションは、障害発生時の明示的な拒否 (フェイルクローズ) モデルによる分散実装を有効にします。これにより、顧客、サードパーティーサービス、Lake Formation の間に 3 パーティーセキュリティモデルが導入されます。統合サービスは、適切に適用するために信頼されています Lake Formation アクセス許可 (distributed-enforcement)。

統合サービスは、 から返されたポリシーに基づいて Amazon S3 から読み取られたデータをフィルタリングする責任があります。Lake Formation フィルタリングされたデータがユーザーに返される前に。統合サービスはフェイルクローズモデルに従います。つまり、必須の を適用できない場合はクエリに失敗する必要があります。Lake Formation アクセス許可。