Como o Athena acessa os dados registrados no Lake Formation
O fluxo de trabalho de acesso descrito nesta seção se aplica somente à execução de consultas do Athena em locais e objetos de metadados do Amazon S3 registrados no Lake Formation. Para obter mais informações, consulte Registering a data lake (Registrar um data lake) no Guia do desenvolvedor do AWS Lake Formation. Além de registrar os dados, o administrador do Lake Formation aplica as respectivas permissões, que concedem ou revogam o acesso aos metadados no Catálogo de dados e no local dos dados no Amazon S3. Para obter mais informações, consulte Security and access control to metadata and data (Controle de segurança e acesso a metadados e dados) no Guia do desenvolvedor do AWS Lake Formation.
Cada vez que um principal do Athena (usuário, grupo ou função) executa uma consulta nos dados registrados usando o Lake Formation, o Lake Formation verifica se o principal tem as devidas permissões do Lake Formation para o banco de dados, a tabela e o local do Amazon S3, conforme apropriado para a consulta. Se o principal tiver acesso, o Lake Formation venderá credenciais temporárias para o Athena e a consulta será executada.
O diagrama a seguir ilustra o fluxo descrito acima.
O seguinte diagrama mostra como a venda de credenciais funciona no Athena por consulta em um exemplo de consulta SELECT
em uma tabela com um local do Amazon S3 registrado no Lake Formation:
-
Um principal executa a consulta
SELECT
no Athena. -
O Athena analisa a consulta e verifica as permissões do Lake Formation para ver se o principal recebeu acesso à tabela e às suas colunas.
-
Se o principal tiver acesso, o Athena solicitará as credenciais do Lake Formation. Se o principal não tiver acesso, o Athena emitirá um erro de acesso negado.
-
O Lake Formation emite as credenciais ao Athena para usar na leitura dos dados do Amazon S3 junto com a lista de colunas permitidas.
-
O Athena usa as credenciais temporárias do Lake Formation para consultar os dados do Amazon S3. Após a conclusão da consulta, o Athena descarta as credenciais.