Como funciona a integração de aplicações do Lake Formation - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a integração de aplicações do Lake Formation

Esta seção descreve como usar as API operações de integração de aplicativos para integrar um aplicativo de terceiros (mecanismo de consulta) com Lake Formation.

Lake Formation data access workflow with user authentication and service integration.

  1. A ferramenta Lake Formation o administrador executa as seguintes atividades:

    • Registra uma localização do Amazon S3 no Lake Formation fornecendo IAM uma função (usada para credenciais de venda automática) que tem permissões apropriadas para acessar dados dentro da localização do Amazon S3

    • Registra um aplicativo de terceiros para poder ligar para as operações de venda automática API de credenciais da Lake Formation. Consulte Como registrar um mecanismo de consulta de terceiros

    • Concede permissões para que os usuários acessem bancos de dados e tabelas

      Por exemplo, se você quiser publicar um conjunto de dados de sessões de usuário que inclua algumas colunas contendo informações de identificação pessoal (PII), para restringir o acesso, atribua a essas colunas uma TBAC tag LF chamada “classificação” com o valor “sensível”. Em seguida, defina uma permissão para um analista de negócios acessar os dados das sessões do usuário, mas exclui as colunas marcadas com classificação = sensível.

  2. Uma entidade principal (usuário) envia uma consulta para um serviço integrado.

  3. O aplicativo integrado solicita ao Lake Formation informações e credenciais da tabela para acessar a tabela.

  4. Se a entidade principal que faz a consulta estiver autorizada a acessar a tabela, o Lake Formation retornará as credenciais para o aplicativo integrado, que permite o acesso aos dados.

    nota

    O Lake Formation não acessa os dados subjacentes ao vender credenciais.

  5. O serviço integrado lê dados do Amazon S3, filtra as colunas com base nas políticas recebidas e retorna os resultados à entidade principal.

Importante

Lake Formation APIas operações de venda automática de credenciais permitem um modelo de fiscalização distribuída com negação explícita em caso de falha (fail-close). Isso introduz um modelo de segurança tripartido entre clientes, serviços terceirizados e Lake Formation. Os serviços integrados são confiáveis para serem aplicados adequadamente Lake Formation permissões (aplicação distribuída).

O serviço integrado é responsável por filtrar os dados lidos do Amazon S3 com base nas políticas retornadas do Lake Formation antes que os dados filtrados sejam devolvidos ao usuário. Os serviços integrados seguem um modelo de falha de fechamento, o que significa que eles devem falhar na consulta se não conseguirem aplicar o necessário Lake Formation permissões.