Verwenden Sie Athena zum Abfragen von Daten, die in AWS Lake Formation registriert sind
AWS Lake Formation ermöglicht es Ihnen, Zugriffsrichtlinien auf Datenbank-, Tabellen- und Spaltenebene zu definieren und durchzusetzen, wenn Sie Athena-Abfragen verwenden, um Daten zu lesen, die in Amazon S3 gespeichert sind oder über föderierte Datenquellen abgerufen werden. Lake Formation bietet eine Autorisierungs- und Governance-Schicht für Daten, die in Amazon S3 oder föderierten Datenkatalogen gespeichert sind. Sie können in Lake Formation eine Hierarchie von Berechtigungen verwenden, um Berechtigungen zum Lesen von Datenkatalogobjekten wie Datenbanken, Tabellen und Spalten zu erteilen oder zu widerrufen. Lake Formation vereinfacht die Verwaltung von Berechtigungen und ermöglicht Ihnen die Implementierung einer detaillierten Zugriffskontrolle (FGAC) für Ihre Daten.
Mit Athena können Sie sowohl Daten abfragen, die in Lake Formation registriert sind, als auch Daten, die nicht in Lake Formation registriert sind.
Sie gelten, wenn Sie Athena verwenden, um Quelldaten aus Amazon-S3-Standorten oder Datenkataloge abzufragen, die in Lake Formation registriert sind. Lake-Formation-Berechtigungen gelten auch, wenn Sie Datenbanken und Tabellen erstellen, die auf registrierte Amazon-S3-Datenspeicherorte oder Datenkataloge verweisen.
Lake-Formation-Berechtigungen gelten weder beim Schreiben von Objekten noch beim Abfragen von Daten oder Metadaten, die nicht bei Lake Formation registriert sind. Für Quelldatenund Metadaten, die nicht bei Lake Formation registriert sind, wird der Zugriff durch IAM-Berechtigungsrichtlinien und AWS Glue-Aktionen bestimmt. Athena Abfrageergebnisorte in Amazon S3 können nicht bei Lake Formation registriert werden, und IAM-Berechtigungsrichtlinien für Amazon S3 steuern den Zugriff. Darüber hinaus gelten die Berechtigungen für Lake Formation nicht für den Athena-Abfrageverlauf. Sie können Athena-Workgroups verwenden, um den Zugriff auf den Abfrageverlauf zu steuern.
Weitere Informationen zu Lake Formation finden Sie unter Häufig gestellte Fragen zu Lake Formation
Lake-Formation-Berechtigungen auf vorhandene Datenbanken und Tabellen anwenden
Wenn Sie noch nicht mit Athena vertraut sind und den Zugriff auf Abfragedaten mit Lake Formation konfigurieren, müssen Sie keine IAM-Richtlinien konfigurieren, damit Benutzer Daten lesen und Metadaten erstellen können. Sie können Berechtigungen mit Lake Formation verwalten.
Das Registrieren von Daten in Lake Formation und das Aktualisieren von IAM-Berechtigungsrichtlinien ist nicht erforderlich. Wenn Daten nicht bei Lake Formation registriert sind, können Athena-Benutzer mit entsprechenden Berechtigungen weiterhin Daten abfragen, die nicht bei Lake Formation registriert sind.
Wenn Sie Athena-Benutzer haben, die Amazon-S3-Daten abfragen, die nicht bei Lake Formation registriert sind, können Sie die IAM-Berechtigungen für Amazon S3 – und ggf. das AWS Glue Data Catalog – aktualisieren, sodass Sie mit den Lake-Formation-Berechtigungen den Benutzerzugriff zentral verwalten können. Wenn Sie die Berechtigung zum Lesen von Amazon-S3-Datenverzeichnissen erhalten möchten, können Sie ressourcen- und identitätsbasierte Richtlinien aktualisieren, um Amazon-S3-Berechtigungen zu ändern. Wenn Sie für den Zugriff auf Metadaten Richtlinien auf Ressourcenebene für eine differenzierte Zugriffskontrolle mit AWS Glue konfiguriert haben, können Sie stattdessen Lake-Formation-Berechtigungen für die Zugriffsverwaltung verwenden.
Weitere Informationen finden Sie unter Zugriff auf Datenbanken und Tabellen in AWS Glue Data Catalog konfigurieren und Upgraden von AWS Glue-Datenberechtigungen auf das AWS Lake Formation-Modell im AWS Lake Formation-Entwicklerhandbuch.
Themen
