本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Lake Formation:運作方式
AWS Lake Formation 提供關聯式資料庫管理系統 (RDBMS) 許可模型,以授予或撤銷對 Data Catalog 資源的存取權,例如 Amazon S3 中具有基礎資料的資料庫、資料表和資料欄。易於管理的 Lake Formation 許可會取代複雜的 Amazon S3 儲存貯體政策和對應的 IAM 政策。
在 Lake Formation 中,您可以在兩個層級實作許可:
+ 對資料庫和資料表等 Data Catalog 資源強制執行中繼資料層級許可
+ 代表整合引擎管理存放在 Amazon S3 中基礎資料的儲存存取許可
## Lake Formation 許可管理工作流程
Lake Formation 與分析引擎整合,以查詢向 Lake Formation 註冊的 Amazon S3 資料存放區和中繼資料物件。下圖說明許可管理如何在 Lake Formation 中運作。
**Lake Formation 許可管理高階步驟**
在 Lake Formation 可以為資料湖中的資料提供存取控制之前,具有管理許可[*的資料湖管理員*](initial-lf-config.md#create-data-lake-admin)或使用者會設定個別 Data Catalog 資料表使用者政策,以允許或拒絕使用 Lake Formation 許可存取 Data Catalog 資料表。
然後,資料湖管理員或管理員委派的使用者會將 Lake Formation 許可授予 Data Catalog 資料庫和資料表上的使用者,並向 Lake Formation 註冊資料表的 Amazon S3 位置。
1. **取得中繼資料** – 委託人 (使用者) 將查詢或 ETL 指令碼提交至[整合式分析引擎](working-with-services.md),例如 Amazon Athena AWS Glue、Amazon EMR 或 Amazon Redshift Spectrum。整合式分析引擎會識別正在請求的資料表,並將中繼資料請求傳送至 Data Catalog。
1. **檢查許可** – Data Catalog 會使用 Lake Formation 檢查使用者的許可,如果使用者有權存取資料表, 會將允許使用者查看的中繼資料傳回引擎。
1. **取得登入**資料 – Data Catalog 可讓引擎知道資料表是否由 Lake Formation 管理。如果基礎資料已向 Lake Formation 註冊,分析引擎會請求 Lake Formation 透過授予暫時存取權來提供資料存取。
1. **取得資料** – 如果使用者獲得存取資料表的授權,Lake Formation 會提供整合式分析引擎的暫時存取權。使用暫時存取,分析引擎會從 Amazon S3 擷取資料,並執行必要的篩選,例如資料欄、資料列或儲存格篩選。當引擎完成執行任務時,會將結果傳回給使用者。此程序稱為[登入資料販賣](using-cred-vending.md)。
如果資料表不是由 Lake Formation 管理,則分析引擎的第二個呼叫會直接對 Amazon S3 進行。相關的 Amazon S3 儲存貯體政策和 IAM 使用者政策會評估資料存取。
每當您使用 IAM 政策時,請務必遵循 IAM 最佳實務。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 中的安全性最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
**Topics**
+ [Lake Formation 許可管理工作流程](#lf-workflow)
+ [中繼資料許可](metadata-permissions.md)
+ [儲存存取管理](storage-permissions.md)
+ [Lake Formation 中的跨帳戶資料共用](cross-data-sharing-lf.md)