Gerenciar o acesso às do armazenamento - AWS Lake Formation

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o acesso às do armazenamento

O Lake Formation usa a funcionalidade de fornecimento de credenciais para conceder acesso temporário aos dados do Amazon S3. O fornecimento de credenciais, ou fornecimento de tokens, é um padrão comum que disponibiliza credenciais temporárias a usuários, serviços ou alguma outra entidade com o objetivo de conceder acesso de curto prazo a um recurso.

A Lake Formation aproveita esse padrão para fornecer acesso de curto prazo a serviços de AWS análise, como o Athena, para acessar dados em nome do responsável pela chamada. Ao conceder permissões, os usuários não precisam atualizar suas políticas IAM ou políticas de bucket do Amazon S3 e não precisam de acesso direto ao Amazon S3.

O diagrama a seguir mostra como o Lake Formation fornece acesso temporário aos locais registrados:

Diagram showing Lake Formation's process for providing temporary access to registered locations.

  1. Um principal (usuário) insere uma consulta ou solicitação de dados para uma tabela por meio de um serviço integrado confiável, como Athena, Amazon, EMR Redshift Spectrum ou. AWS Glue

  2. O serviço integrado verifica a autorização da Lake Formation para a tabela e as colunas solicitadas e determina a autorização. Se o usuário não estiver autorizado, o Lake Formation nega o acesso aos dados e a consulta falhará.

  3. Depois que a autorização é bem-sucedida e a autorização de armazenamento é ativada para a tabela e o usuário, o serviço integrado recupera as credenciais temporárias do Lake Formation para acessar os dados.

  4. O serviço integrado usa as credenciais temporárias do Lake Formation para solicitar objetos do Amazon S3.

  5. O Amazon S3 fornece objetos do Amazon S3 para o serviço integrado. Os objetos do Amazon S3 contêm todos os dados da tabela.

  6. O serviço integrado executa a aplicação necessária das políticas do Lake Formation, como filtragem em nível de coluna, nível de linha e/ou nível de célula. O serviço integrado processa as consultas e retorna os resultados ao usuário.

Habilite a aplicação de permissões em nível de armazenamento para tabelas do catálogo de dados

Por padrão, a imposição em nível de armazenamento não está habilitada para tabelas no catálogo de dados. Para permitir a fiscalização em nível de armazenamento, você deve registrar a localização dos seus dados de origem no Amazon S3 no Lake Formation e fornecer uma função. IAM As permissões em nível de armazenamento serão habilitadas para todas as tabelas com o mesmo caminho de localização da tabela ou prefixo da localização do Amazon S3.

Quando um serviço integrado solicita acesso ao local de dados em nome de um usuário, o serviço Lake Formation assume essa função e retorna as credenciais ao serviço solicitado com permissões reduzidas ao recurso para que o acesso aos dados possa ser feito. A IAM função registrada deve ter todo o acesso necessário à localização do Amazon S3, incluindo AWS KMS as chaves.

Para obter mais informações, consulte Registrando uma localização do Amazon S3.

AWS Serviços suportados

AWS serviços analíticos, como Athena, Redshift Spectrum, EMR AWS Glue Amazon Amazon QuickSight,,,, e se integram ao AWS Lake Formation Amazon SageMaker usando as operações de venda automática de credenciais do Lake Formation. API Para ver uma lista completa dos AWS serviços que se integram ao Lake Formation e o nível de granularidade e os formatos de tabela que eles oferecem suporte, consulte. Trabalhando com outros AWS serviços