混合存取模式 - AWS Lake Formation
常見的混合存取模式使用案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

混合存取模式

AWS Lake Formation 混合存取模式支援通往相同 AWS Glue Data Catalog 資料庫、資料表和檢視的兩個許可路徑。
 在第一個路徑中,Lake Formation 可讓您選取特定委託人,並藉由選擇加入授予 Lake Formation 存取資料庫和資料表的許可。第二個路徑允許所有其他主體透過 Amazon S3 和 AWS Glue 動作的預設IAM主體政策來存取這些資源。

向 Lake Formation 註冊 Amazon S3 位置時,您可以選擇在此位置強制執行 Lake Formation 的所有資源許可,或使用混合存取模式。根據預設CREATE_TABLE,混合存取模式只會強制執行 、CREATE_PARTITIONUPDATE_TABLE許可。當 Amazon S3 位置處於混合模式時,您可以選擇該位置下資料庫和資料表的主體來啟用 Lake Formation 許可。


因此,混合存取模式提供了靈活性,可選擇性地為特定一組使用者啟用 Data Catalog 中的資料庫和資料表 Lake Formation,而不會中斷其他現有使用者或工作負載的存取。

AWS 帳戶 architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

如需注意事項和限制,請參閱 混合存取模式的考量和限制

術語和定義

以下是 Data Catalog 資源的定義,取決於您設定存取許可的方式:

Lake Formation 資源

向 Lake Formation 註冊的資源。使用者需要 Lake Formation 許可才能存取 資源。

AWS Glue 資源

未向 Lake Formation 註冊的資源。使用者只需要存取資源的IAM許可,因為具有IAMAllowedPrincipals群組許可。Lake Formation 許可不會強制執行。

如需IAMAllowedPrincipals群組許可的詳細資訊,請參閱 中繼資料許可

混合資源

在混合存取模式中註冊的資源。根據存取資源的使用者,資源會動態切換為 Lake Formation 資源或 AWS Glue 資源。

常見的混合存取模式使用案例

您可以使用混合存取模式,在單一帳戶和跨帳戶資料共用案例中提供存取權:

單一帳戶案例

  • 將 AWS Glue 資源轉換為混合資源 – 在此情況下,您目前未使用 Lake Formation,但想要為 Data Catalog 資料庫和資料表採用 Lake Formation 許可。當您以混合存取模式註冊 Amazon S3 位置時,您可以將 Lake Formation 許可授予選擇特定資料庫和資料表的使用者,以指向該位置。

  • 將 Lake Formation 資源轉換為混合資源 – 目前,您正在使用 Lake Formation 許可來控制 Data Catalog 資料庫的存取權,但想要使用 Amazon S3 的IAM許可提供新主體的存取權,而不會 AWS Glue 中斷現有的 Lake Formation 許可。

    當您將資料位置註冊更新為混合存取模式時,新的主體可以使用IAM許可政策存取指向 Amazon S3 位置的資料目錄資料庫,而不會中斷現有使用者的 Lake Formation 許可。

    在更新資料位置註冊以啟用混合存取模式之前,您需要先選擇目前使用 Lake Formation 許可存取資源的主體。
 這是為了防止目前工作流程的潛在中斷。
 您也需要將資料庫中資料表的Super許可授予 IAMAllowedPrincipal群組。

跨帳戶資料共用案例

  • 使用混合存取模式共用 AWS Glue 資源 – 在此案例中,生產者帳戶在資料庫中具有資料表,目前使用 Amazon S3 和 AWS Glue 動作的IAM許可政策與取用者帳戶共用。資料庫的資料位置未向 Lake Formation 註冊。

    在混合存取模式中註冊資料位置之前,您需要將跨帳戶版本設定更新為版本 4。第 4 版提供當IAMAllowedPrincipal群組擁有 資源 AWS RAM 的許可時,跨帳戶共用所需的新Super許可政策。對於具有IAMAllowedPrincipal群組許可的資源,您可以將 Lake Formation 許可授予外部帳戶,並選擇加入以使用 Lake Formation 許可。收件人帳戶中的資料湖管理員可以將 Lake Formation 許可授予帳戶中的主體,並選擇加入以強制執行 Lake Formation 許可。

  • 使用混合存取模式共用 Lake Formation 資源 – 目前,生產者帳戶在資料庫中具有與強制執行 Lake Formation 許可的取用者帳戶共用的資料表。資料庫的資料位置已向 Lake Formation 註冊。

    在此情況下,您可以將 Amazon S3 位置註冊更新為混合存取模式,並使用 Amazon S3 儲存貯體政策和 Data Catalog 資源政策,將來自 Amazon S3 的資料和來自 Data Catalog 的中繼資料分享給取用者帳戶中的主體。您需要重新授予現有的 Lake Formation 許可,並在更新 Amazon S3 位置註冊之前選擇加入委託人。此外,您需要將資料庫中資料表的Super許可授予 IAMAllowedPrincipals 群組。

主題