本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 混合存取模式
<a name="hybrid-access-mode"></a>

AWS Lake Formation *混合存取模式*支援通往相同 AWS Glue Data Catalog 物件的兩個許可路徑。
 在第一個路徑中，Lake Formation 可讓您選取特定主體，並授予他們 Lake Formation 透過選擇加入存取目錄、資料庫、資料表和檢視的許可。第二個路徑允許所有其他主體透過 Amazon S3 和 AWS Glue 動作的預設 IAM 主體政策存取這些資源。

向 Lake Formation 註冊 Amazon S3 位置時，您可以選擇針對此位置的所有資源強制執行 Lake Formation 許可，或使用混合存取模式。根據預設`CREATE_TABLE`，混合存取模式只會強制執行 、`CREATE_PARTITION`、 `UPDATE_TABLE`許可。當 Amazon S3 位置處於混合模式時，您可以透過選擇該位置下資料目錄物件的主體來啟用 Lake Formation 許可。
這表示 Lake Formation 許可和 IAM 許可都可以控制對該資料的存取。這表示選擇加入主體需要 Lake Formation 許可和 IAM 許可才能存取資料，而non-opted-in主體則會繼續使用 IAM 許可來存取資料。

因此，混合存取模式提供靈活性，為一組特定使用者選擇性地為 Data Catalog 中的目錄、資料庫和資料表啟用 Lake Formation，而不會中斷其他現有使用者或工作負載的存取。

![AWS 帳戶 架構顯示 S3、Glue Lake Formation Athena和 IAM 角色之間的資料流程。](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/hybrid-access-mode-concept.png)


如需注意事項和限制，請參閱 [混合存取模式的考量和限制](notes-hybrid.md)。術語和定義

 以下是 Data Catalog 資源的定義，取決於您如何設定存取許可：

Lake Formation 資源  
 向 Lake Formation 註冊的資源。使用者需要 Lake Formation 許可才能存取資源。

AWS Glue 資源  
未向 Lake Formation 註冊的資源。使用者只需要 IAM 許可即可存取資源，因為它具有`IAMAllowedPrincipals`群組許可。Lake Formation 許可不會強制執行。  
如需`IAMAllowedPrincipals`群組許可的詳細資訊，請參閱 [中繼資料許可](metadata-permissions.md)。

混合資源  
在混合存取模式中註冊的資源。根據存取資源的使用者，資源會動態切換為 Lake Formation 資源或 AWS Glue 資源。

## 常見的混合存取模式使用案例
<a name="hybrid-access-mode-use-cases"></a>

您可以使用混合存取模式，在單一帳戶和跨帳戶資料共用案例中提供存取權：

**單一帳戶案例**
+ **將 AWS Glue 資源轉換為混合資源** – 在此案例中，您目前並未使用 Lake Formation，但想要為 Data Catalog 物件採用 Lake Formation 許可。當您以混合存取模式註冊 Amazon S3 位置時，您可以將 Lake Formation 許可授予選擇加入指向該位置之特定資料庫和資料表的使用者。
+ **將 Lake Formation 資源轉換為混合資源** – 目前，您正在使用 Lake Formation 許可來控制 Data Catalog 資料庫的存取權，但想要使用 Amazon S3 的 IAM 許可提供新主體的存取權，而不會 AWS Glue 中斷現有的 Lake Formation 許可。

  當您將資料位置註冊更新為混合存取模式時，新的主體可以使用 IAM 許可政策存取指向 Amazon S3 位置的資料目錄資料庫，而不會中斷現有使用者的 Lake Formation 許可。

  在更新資料位置註冊以啟用混合存取模式之前，您必須先選擇使用 Lake Formation 許可存取資源的主體。
 這是為了防止目前工作流程的潛在中斷。
 您也需要將資料庫中資料表的`Super`許可授予 `IAMAllowedPrincipal`群組。

**跨帳戶資料共用案例**
+ **使用混合存取模式共用 AWS Glue 資源** – 在此案例中，生產者帳戶在資料庫中具有資料表，目前使用 Amazon S3 AWS Glue 的 IAM 許可政策和動作與取用者帳戶共用。資料庫的資料位置並未向 Lake Formation 註冊。

   在混合存取模式中註冊資料位置之前，您需要將**跨帳戶版本設定**更新為第 4 版。當`IAMAllowedPrincipal`群組具有資源的 AWS RAM 許可時，第 4 版提供跨帳戶共用所需的新`Super`許可政策。對於具有`IAMAllowedPrincipal`群組許可的資源，您可以將 Lake Formation 許可授予外部帳戶，並選擇加入以使用 Lake Formation 許可。收件人帳戶中的資料湖管理員可以將 Lake Formation 許可授予帳戶中的主體，並選擇加入以強制執行 Lake Formation 許可。
+ **使用混合存取模式共用 Lake Formation 資源** – 目前，生產者帳戶在資料庫中具有與強制執行 Lake Formation 許可的取用者帳戶共用的資料表。資料庫的資料位置已向 Lake Formation 註冊。

  在這種情況下，您可以將 Amazon S3 位置註冊更新為混合存取模式，並使用 Amazon S3 儲存貯體政策和 Data Catalog 資源政策，將來自 Amazon S3 的資料和來自 Data Catalog 的中繼資料分享給消費者帳戶中的主體。您需要重新授予現有的 Lake Formation 許可，並在更新 Amazon S3 位置註冊之前選擇加入委託人。此外，您需要將資料庫中資料表的`Super`許可授予 `IAMAllowedPrincipals`群組。

**Topics**
+ [常見的混合存取模式使用案例](#hybrid-access-mode-use-cases)
+ [混合存取模式的運作方式](hybrid-access-workflow.md)
+ [設定混合存取模式 - 常見案例](hybrid-access-setup.md)
+ [從混合存取模式移除主體和資源](delete-hybrid-access.md)
+ [在混合存取模式中檢視主體和資源](view-hybrid-access.md)
+ [其他資源](additional-resources-hybrid.md)