Redshift Spectrum 和 AWS Lake Formation - Amazon Redshift

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Redshift Spectrum 和 AWS Lake Formation

本主題說明如何將 Redshift Spectrum 與 Lake Formation 搭配使用。Lake Formation 是一項用於共用分析資料的服務。

您可以使用 AWS Lake Formation 集中定義和強制執行資料庫、資料表和資料欄層級存取政策,以存取存放在 Amazon S3 中的資料。透過啟用 Lake Formation 的 AWS Glue Data Catalog 註冊資料後,您即可使用 Redshift Spectrum 等數種服務來查詢該資料。

Lake Formation 提供資料目錄的安全功能和管理能力。在 Lake Formation 中,您能夠授予和撤銷資料庫、資料表、欄和基礎 Amazon S3 儲存體等資料目錄物件的許可。

重要

您只能在 Lake Formation 可用的 AWS 區域中,將 Redshift Spectrum 與已啟用 Lake Formation 的資料目錄搭配使用。如需可用區域的清單,請參閱AWS 一般參考中的AWS Lake Formation 端點和配額

透過使用 Redshift Spectrum 搭配 Lake Formation,您可以執行以下操作:

  • 使用 Lake Formation 做為集中位置,您可以在其中授予和撤銷對資料湖中所有資料的許可和存取控制許可。Lake Formation 提供許可階層,用以控制對資料目錄中資料庫和資料表的存取權。如需詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的 Lake Formation 許可概觀

  • 建立外部資料表並在資料湖中的資料上執行查詢 資料湖帳戶管理員必須先向 Lake Formation 註冊包含來源資料的現有 Amazon S3 路徑,帳戶中的使用者才可以執行查詢。管理員還需建立資料表,並授予使用者相關許可。您可授予資料庫、資料表或資料欄層級的存取權限。管理員可以使用 Lake Formation 中的資料篩選條件,對儲存在 Amazon S3 中的敏感資料授予精細的存取控制。如需詳細資訊,請參閱使用資料篩選條件來實現列層級和儲存格層級安全

    在資料目錄中註冊資料之後,每當使用者嘗試執行查詢時,Lake Formation 都會驗證該特定主體對資料表的存取權。Lake Formation 會將暫臨時憑證提供給 Redshift Spectrum,並執行查詢。

  • AWS Glue Data Catalog 使用透過 GetCredentials或 取得的IAM憑證針對自動掛載執行 Redshift Spectrum 查詢GetClusterCredentials,並管理資料庫使用者 (IAMR:username 或 IAM:username) 的 Lake Formation 許可。

當您將 Redshift Spectrum 搭配為 Lake Formation 啟用的資料目錄一起使用時,必須具備以下其中一項:

重要

在已啟用 Lake Formation 的資料型錄中使用 Redshift Spectrum 時,您無法連結IAM角色。

若要進一步了解設定與 Redshift Spectrum AWS Lake Formation 搭配使用的必要步驟,請參閱 AWS Lake Formation 開發人員指南 中的教學課程:從 Lake Formation 中的JDBC來源建立資料湖。具體而言,請參閱使用 Amazon Redshift Spectrum 查詢資料湖中的資料,以了解與 Redshift Spectrum 整合的詳細資訊。本主題中使用的資料 AWS 和資源取決於教學課程中的先前步驟。

使用資料篩選條件來實現列層級和儲存格層級安全

您可以在 中定義資料篩選條件 AWS Lake Formation ,以控制 Redshift Spectrum 查詢的資料列層級和儲存格層級對資料目錄中定義資料的存取。若要進行此設定,您需要執行以下任務:

  • 使用以下資訊在 Lake Formation 中建立資料篩選條件:

    • 欄規格,內含要包含在查詢結果中或從查詢結果中排除的欄清單。

    • 列篩選運算式,指定要包含在查詢結果中的列。

    如需如何建立資料篩選條件的相關資訊,請參閱《AWS Lake Formation 開發人員指南》中的 Lake Formation 中的資料篩選條件

  • 在 Amazon Redshift 中建立外部資料表,該資料表會參考已啟用 Lake Formation 的資料目錄中的資料表。如需如何使用 Redshift Spectrum 查詢 Lake Formation 資料表的詳細資訊,請參閱《AWS Lake Formation 開發人員指南》中的使用 Amazon Redshift Spectrum 查詢資料湖中的資料

在 Amazon Redshift 中定義資料表之後,您可以查詢 Lake Formation 資料表,以及存取僅限資料篩選條件允許的列和欄。

如需如何在 Lake Formation 中設定列層級和儲存格層級安全,然後使用 Redshift Spectrum 進行查詢的詳細指南,請參閱使用 Amazon Redshift Spectrum 搭配 AWS Lake Formation中定義的列層級和儲存格層級安全政策