本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Lake Formation 應用程式整合的運作方式 本節說明如何使用應用程式整合 API 操作,將第三方應用程式 (查詢引擎) 與 整合Lake Formation。 ![\[Lake Formation data access workflow with user authentication and service integration.\]](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/credential-vending-new.png) 1. Lake Formation 管理員會執行下列活動: + 向 Lake Formation 註冊 Amazon S3 位置,方法是提供具有適當許可的 IAM 角色 (用於販賣登入資料),以存取 Amazon S3 位置內的資料 + 註冊第三方應用程式,以便能夠呼叫 Lake Formation 的憑證販賣 API 操作。請參閱 [註冊第三方查詢引擎](register-query-engine.md) + 授予使用者存取資料庫和資料表的許可 例如,如果您想要發佈使用者工作階段資料集,其中包含一些包含個人身分識別資訊 (PII) 的資料欄,以限制存取,您可以為這些資料欄指派名為「分類」且值為「敏感」的 [LF-TBAC](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html.html) 標籤。接下來,您將定義許可,允許業務分析師存取使用者工作階段資料,但排除標記為*分類 = 敏感*的資料欄。 1. 委託人 (使用者) 向整合服務提交查詢。 1. 整合的應用程式會將請求傳送至 Lake Formation,要求資料表資訊和登入資料來存取資料表。 1. 如果查詢委託人有權存取資料表,Lake Formation 會將登入資料傳回整合式應用程式,以允許資料存取。 **注意** 傳送登入資料時,Lake Formation 無法存取基礎資料。 1. 整合的服務會從 Amazon S3 讀取資料、根據收到的政策篩選資料欄,並將結果傳回給委託人。 **重要** Lake Formation 憑證販賣 API 操作會**啟用分散式強制執行,並明確拒絕失敗 (關閉失敗) 模型。**這引入了客戶、第三方服務和 Lake Formation 之間的第三方安全模型。受信任的整合式服務可正確強制執行Lake Formation許可 (分散式強制執行)。 整合服務負責根據從 傳回的政策篩選從 Amazon S3 讀取的資料,Lake Formation然後再將篩選的資料傳回給使用者。整合式服務遵循關閉失敗模型,這表示如果他們無法強制執行必要的Lake Formation許可,則必須讓查詢失敗。