Como funciona o modo de acesso híbrido - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona o modo de acesso híbrido

O diagrama a seguir mostra como a autorização do Lake Formation funciona no modo de acesso híbrido quando você consulta os recursos do catálogo de dados.

AWS Lake Formation authorization process flowchart for hybrid access mode queries.

Antes de acessar os dados em seu data lake, um administrador de data lake ou um usuário com permissões administrativas configura políticas de usuário individuais da tabela do catálogo de dados para permitir ou negar o acesso às tabelas em seu catálogo de dados. Em seguida, uma entidade principal que tem as permissões para realizar a operação RegisterResource registra a localização da tabela no Amazon S3 com o Lake Formation no modo de acesso híbrido. O administrador concede permissões do Lake Formation a usuários específicos nos bancos de dados e tabelas do catálogo de dados e os autoriza a usar as permissões do Lake Formation para esses bancos de dados e tabelas no modo de acesso híbrido.

  1. Envia uma consulta - Um diretor envia uma consulta ou um ETL script usando um serviço integrado, como Amazon Athena, Amazon ou AWS Glue Amazon Redshift Spectrum. EMR

  2. Solicita dados - O mecanismo analítico integrado identifica a tabela que está sendo solicitada e envia a solicitação de metadados para o catálogo de dados (GetTable, GetDatabase).

  3. Verifica as permissões - O catálogo de dados verifica as permissões de acesso da entidade principal consultora com o Lake Formation.

    1. Se a tabela não tiver permissões de grupo IAMAllowedPrincipals anexadas, as permissões do Lake Formation serão aplicadas.

    2. Se a entidade principal tiver optado por usar as permissões do Lake Formation no modo de acesso híbrido e a tabela tiver permissões do grupo IAMAllowedPrincipals anexadas, as permissões do Lake Formation serão aplicadas. O mecanismo de consulta aplica os filtros recebidos do Lake Formation e retorna os dados ao usuário.

    3. Se a localização da tabela não estiver registrada no Lake Formation e a entidade principal não tiver optado por usar as permissões do Lake Formation no modo de acesso híbrido, o catálogo de dados verificará se a tabela tem permissões do grupo IAMAllowedPrincipals anexadas a ela. Se essa permissão existir na tabela, todas as entidades principais da conta receberão permissões Super ou All na tabela.

  4. Obter credenciais – O catálogo de dados verifica e informa ao mecanismo se a localização da tabela está registrada no Lake Formation ou não. Se os dados subjacentes estiverem registrados no Lake Formation, o mecanismo analítico solicitará ao Lake Formation credenciais temporárias para acessar os dados no bucket do Amazon S3.

  5. Obter dados – Se a entidade principal estiver autorizada a acessar os dados da tabela, o Lake Formation fornecerá acesso temporário ao mecanismo analítico integrado. Ao usar o acesso temporário, o mecanismo analítico busca os dados do Amazon S3 e executa a filtragem necessária, como filtragem por coluna, linha ou célula. Quando o mecanismo termina de executar o trabalho, ele retorna os resultados para o usuário. Esse processo chamado de fornecimento de credenciais. Para obter mais informações, consulte Integrando serviços de terceiros com Lake Formation.

  6. 
Se a localização dos dados da tabela não estiver registrada no Lake Formation, a segunda chamada do mecanismo analítico será feita diretamente para o Amazon S3. A política de bucket e a política de IAM usuário do Amazon S3 em questão são avaliadas para acesso aos dados. Sempre que você usar IAM políticas, certifique-se de seguir as IAM melhores práticas. Para obter mais informações, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.