

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 混合访问模式
<a name="hybrid-access-mode"></a>

AWS Lake Formation *混合访问模式*支持对相同 AWS Glue Data Catalog 对象的两种权限路径。  在第一条途径中，Lake Formation 允许您选择特定的主体，并通过选择操作向他们授予用于访问目录、数据库、表和视图的 Lake Formation 权限。第二种途径允许所有其他委托人通过 Amazon S3 的默认 IAM 委托人策略和 AWS Glue 操作访问这些资源。

在 Lake Formation 中注册 Amazon S3 位置时，您可以选择对该位置的所有资源强制实施 Lake Formation 权限，也可以选择使用混合访问模式。默认情况下，混合访问模式仅强制实施 `CREATE_TABLE`、`CREATE_PARTITION`、`UPDATE_TABLE` 权限。当 Amazon S3 位置处于混合模式时，您可以通过为该位置下的 Data Catalog 对象选择主体来启用 Lake Formation 权限。这意味着 Lake Formation 权限和 IAM 权限都可以控制对该数据的访问。这意味着选择加入的委托人将需要 Lake Formation 权限和 IAM 权限才能访问数据，而 non-opted-in委托人将继续仅使用 IAM 权限访问数据。

因此，通过混合访问模式，您可以灵活且有选择性地为一组特定用户针对 Data Catalog 中的目录、数据库和表启用 Lake Formation，而不会中断其他现有用户或工作负载的访问。

![AWS 账户 架构显示 S3、Glue、 Lake Formation Athena、和 IAM 角色之间的数据流。](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/hybrid-access-mode-concept.png)


有关注意事项和限制，请参阅[混合访问模式注意事项和限制](notes-hybrid.md)。术语和定义

 以下是基于您对访问权限的设置方式的数据目录资源定义：

Lake Formation 资源  
 已向 Lake Formation 注册的资源。用户需要 Lake Formation 权限才能访问该资源。

AWS Glue 资源  
未向 Lake Formation 注册的资源。用户只需 IAM 权限即可访问该资源，因为它具有 `IAMAllowedPrincipals` 组权限。Lake Formation 权限不会被强制实施。  
有关 `IAMAllowedPrincipals` 组权限的更多信息，请参阅[元数据权限](metadata-permissions.md)。

混合资源  
在混合访问模式下注册的资源。根据访问资源的用户，该资源会在充当 Lake Formation 资源或 AWS Glue 资源之间动态切换。

## 常见的混合访问模式使用案例
<a name="hybrid-access-mode-use-cases"></a>

您可以在单账户和跨账户数据共享场景中使用混合访问模式提供访问权限：

**单账户场景**
+ 将@@ ** AWS Glue 资源转换为混合**资源-在这种情况下，您当前未使用 Lake Formation，但希望对数据目录对象采用 Lake Formation 权限。当您在混合访问模式下注册 Amazon S3 位置时，您可以向选择使用指向该位置的特定数据库和表的用户授予 Lake Formation 权限。
+ **将 Lake Formation 资源转换为混合资源** – 目前，您正在使用 Lake Formation 权限控制对数据目录数据库的访问，但希望在不中断现有 Lake Formation 权限的情况下，使用适用于 Amazon S3 和 AWS Glue 的 IAM 权限为新主体提供访问权限。

  当您将数据位置注册更新为混合访问模式时，新的主体可以使用 IAM 权限策略访问指向 Amazon S3 位置的数据目录数据库，而不会中断现有用户的 Lake Formation 权限。

  在更新数据位置注册以启用混合访问模式之前，您需要先选择当前使用 Lake Formation 权限访问资源的主体。  这是为了防止当前工作流可能出现中断。  您还需要向 `IAMAllowedPrincipal` 组授予对数据库中表的 `Super` 权限。

**跨账户数据共享场景**
+ **使用混合访问模式共享 AWS Glue 资源**-在这种情况下，创建者账户在数据库中拥有表，这些表当前使用针对 Amazon S3 和 AWS Glue 操作的 IAM 权限策略与消费者账户共享。数据库的数据位置未在 Lake Formation 中注册。

   在混合访问模式下注册数据位置之前，您需要将**跨账户版本设置**更新为版本 4。版本 4 提供了`IAMAllowedPrincipal`群组拥有资源 AWS RAM 权限时跨账户共享所需的新`Super`权限策略。对于那些具有 `IAMAllowedPrincipal` 组权限的资源，您可以向外部账户授予 Lake Formation 权限，并选择他们以使他们可以使用 Lake Formation 权限。接收方账户中的数据湖管理员可以向账户中的主体授予 Lake Formation 权限，并选择他们以强制实施 Lake Formation 权限。
+ **使用混合访问模式共享 Lake Formation 资源** — 当前，制作者账户拥有与强制实施 Lake Formation 权限的使用者账户共享的数据库中的表。数据库的数据位置在 Lake Formation 中注册。

  在这种情况下，您可以将 Amazon S3 位置注册更新为混合访问模式，并针对使用者账户中的主体使用 Amazon S3 存储桶策略和数据目录资源策略来共享来自 Amazon S3 的数据和来自数据目录的元数据。在更新 Amazon S3 位置注册之前，您需要重新授予现有的 Lake Formation 权限并选择主体。此外，您还需要向 `IAMAllowedPrincipals` 组授予对数据库中表的 `Super` 权限。

**Topics**
+ [常见的混合访问模式使用案例](#hybrid-access-mode-use-cases)
+ [混合访问模式的工作原理](hybrid-access-workflow.md)
+ [设置混合访问模式 - 常见场景](hybrid-access-setup.md)
+ [从混合访问模式下删除主体和资源](delete-hybrid-access.md)
+ [在混合访问模式下查看主体和资源](view-hybrid-access.md)
+ [其他资源](additional-resources-hybrid.md)