So greift Athena auf Daten zu, die bei Lake Formation angemeldet sind - Amazon Athena

So greift Athena auf Daten zu, die bei Lake Formation angemeldet sind

Der in diesem Abschnitt beschriebene Zugriffs-Workflow gilt nur, wenn Sie Athena-Abfragen für Amazon-S3-Standorte, Datenkataloge oder Metadatenobjekte ausführen, die in Lake Formation registriert sind. Weitere Informationen finden Sie unter Anmelden eines Data Lake im AWS Lake Formation-Entwicklerhandbuch. Zusätzlich zum Registrieren von Daten wendet der Lake-Formation-Administrator Lake-Formation-Berechtigungen an, die den Zugriff auf Metadaten im Datenkatalog, AWS Glue Data Catalog, oder den Datenspeicherort in Amazon S3 gewähren oder entziehen. Weitere Informationen finden Sie unter Sicherheit und Zugriffskontrolle für Metadaten und Daten im AWS Lake Formation-Entwicklerhandbuch.

Jedes Mal, wenn ein Athena-Prinzipal (Benutzer, Gruppe oder Rolle) eine Abfrage zu Daten ausführt, die mit Lake Formation registriert wurden, überprüft Lake Formation, ob der Prinzipal über die entsprechenden Lake-Formation-Berechtigungen für die Datenbank, Tabelle und den Speicherort der Datenquelle für die Abfrage verfügt. Wenn der Prinzipal Zugriff hat, vergibt Lake Formation temporäre Anmeldeinformationen an Athena, und die Abfrage wird ausgeführt.

Das folgende Diagramm zeigt, wie der Verkauf von Anmeldeinformationen in Athena auf Abfragebasis für eine hypothetische SELECT-Abfrage für eine Tabelle mit einem in Lake Formation registrierten Amazon-S3-Standort oder Datenkatalog funktioniert:

Ablauf für die Ausgabe von Anmeldeinformationen für eine Abfrage in einer Athena-Tabelle.

  1. Ein Prinzipal führt eine SELECT-Abfrage in Athena aus.

  2. Athena analysiert die Abfrage und überprüft die Lake-Formation-Berechtigungen, um festzustellen, ob dem Prinzipal Zugriff auf die Tabelle und die Tabellenspalten gewährt wurde.

  3. Wenn der Prinzipal Zugriff hat, fordert Athena Anmeldeinformationen von Lake Formation an. Wenn der Prinzipal keinen Zugriff hat, gibt Athena einen Fehler für „Zugriff verweigert“ aus.

  4. Lake Formation gibt Athena Anmeldeinformationen aus, die beim Lesen von Daten aus Amazon S3 oder Katalog verwendet werden können, zusammen mit der Liste der zulässigen Spalten.

  5. Athena verwendet die temporären Anmeldeinformationen von Lake Formation, um die Daten aus Amazon S3 oder Katalog abzufragen. Nachdem die Abfrage abgeschlossen ist, verwirft Athena die Anmeldeinformationen.