Lake Formation 애플리케이션 통합 작동 방식 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lake Formation 애플리케이션 통합 작동 방식

이 섹션에서는 애플리케이션 통합 API 작업을 사용하여 타사 애플리케이션(쿼리 엔진)을 와 통합하는 방법을 설명합니다.Lake Formation.

Lake Formation data access workflow with user authentication and service integration.
  1. 는 Lake Formation 관리자는 다음 활동을 수행합니다.

    • Amazon S3 위치 내의 데이터에 액세스할 수 있는 적절한 권한이 있는 IAM 역할(자판 인증에 사용됨)을 제공하여 Lake Formation에 Amazon S3 위치를 등록합니다.

    • Lake Formation의 자격 증명 벤딩 API 작업을 호출할 수 있도록 타사 애플리케이션을 등록합니다. 서드 파티 쿼리 엔진 등록 부분 참조

    • 데이터베이스 및 테이블에 대한 액세스를 활성화할 수 있는 권한을 부여합니다.

      예를 들어 개인 식별 정보(PII)가 포함된 일부 열이 포함된 사용자 세션 데이터 세트를 게시하려는 경우 액세스를 제한하기 위해 이러한 열에 “분류”라는 LFTBAC 태그를 “민감” 값으로 할당합니다. 다음으로 비즈니스 분석가가 사용자 세션 데이터에 액세스할 수 있는 권한을 정의하되, 분류 = 민감으로 태그가 지정된 열은 제외합니다.

  2. 보안 주체(사용자)가 통합 서비스에 쿼리를 제출합니다.

  3. 통합 애플리케이션은 Lake Formation에 요청을 전송하여 테이블에 액세스하기 위한 테이블 정보와 보안 인증 정보를 요청합니다.

  4. 쿼리 보안 주체가 테이블에 액세스할 수 있는 권한이 있는 경우 Lake Formation은 통합 애플리케이션에 보안 인증 정보를 반환하여 데이터 액세스를 허용합니다.

    참고

    Lake Formation은 자격 증명을 벤딩할 때 기본 데이터에 액세스하지 않습니다.

  5. 통합 서비스는 Amazon S3에서 데이터를 읽고, 수신한 정책을 기반으로 열을 필터링하고, 결과를 보안 주체에 반환합니다.

중요

Lake Formation 자격 증명 벤딩 API 작업을 사용하면 실패(실패-닫기) 모델을 명시적으로 거부하는 분산 집행을 사용할 수 있습니다. 이를 통해 고객, 서드 파티 서비스 및 Lake Formation 간의 3자 보안 모델이 도입되었습니다. 통합 서비스는 제대로 적용되도록 신뢰됩니다.Lake Formation 권한(분산 적용).

통합 서비스는 에서 반환된 정책에 따라 Amazon S3에서 읽은 데이터를 필터링하는 역할을 합니다.Lake Formation 필터링된 데이터가 사용자에게 반환되기 전에. 통합 서비스는 장애 종료 모델을 따르므로 필수를 적용할 수 없는 경우 쿼리에 실패해야 합니다.Lake Formation 권한.