本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Lake Formation 应用程序集成的工作原理 本节介绍如何使用应用程序集成 API 操作将第三方应用程序(查询引擎)与 Lake Formation 集成。 ![\[Lake Formation data access workflow with user authentication and service integration.\]](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/credential-vending-new.png) 1. Lake Formation 管理员执行以下活动: + 通过提供具有访问 Amazon S3 位置处数据的适当权限的 IAM 角色(用于售卖凭证)向 Lake Formation 注册该位置 + 注册第三方应用程序,使其能够调用 Lake Formation 的凭证售卖 API 操作。请参阅 [注册第三方查询引擎](register-query-engine.md)。 + 向用户授予访问数据库和表的权限 例如,如果您要发布的用户会话数据集中的一些列包含个人身份信息 (PII) 以限制访问,则您可以为这些列分配一个名为“分类”,值为“敏感”的 [LF-TBAC](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html.html) 标签。接下来,您可以定义一种权限,允许业务分析师访问用户会话数据,但那些标有*分类 = 敏感*的列除外。 1. 主体(用户)向集成服务提交查询。 1. 集成应用程序向 Lake Formation 发送请求,要求它提供表信息和用于访问表的凭证。 1. 如果查询主体有权访问该表,Lake Formation 会将凭证返回到允许访问数据的集成应用程序。 **注意** Lake Formation 在售卖凭证时不会访问底层数据。 1. 该集成服务读取来自 Amazon S3 的数据,根据它收到的策略筛选列,然后将结果返回给主体。 **重要** Lake Formation凭证售卖 API 操作支持**分布式强制实施,并采用失败时显式拒绝(失败关闭)模型**。这在客户、第三方服务和 Lake Formation 之间引入了一个三方安全模型。集成服务值得信赖,可以正确强制实施 Lake Formation 权限(分布式强制实施)。 集成服务负责根据 Lake Formation 返回的策略筛选从 Amazon S3 读取的数据,然后再将筛选后的数据返回给用户。集成服务遵循失败关闭模型,这意味着如果它们无法强制实施所需的 Lake Formation 权限,则必定会使查询失败。