本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 混合存取模式的運作方式 下圖顯示當您查詢 Data Catalog 資源時,Lake Formation 授權如何在混合存取模式中運作。 ![流程圖顯示混合存取模式中 Lake Formation 的授權程序,以及決策點和資料流程路徑。](http://docs.aws.amazon.com/zh_tw/lake-formation/latest/dg/images/hybrid-workflow.png) 在存取資料湖中的資料之前,具有管理許可的資料湖管理員或使用者會設定個別 Data Catalog 資料表使用者政策,以允許或拒絕存取 Data Catalog 中的資料表。然後,具有執行`RegisterResource`操作許可的主體會將資料表的 Amazon S3 位置向 Lake Formation 註冊為混合存取模式。如果資料位置未向 Lake Formation 註冊,管理員會將 Lake Formation 許可授予 Data Catalog 資料庫和資料表上的特定使用者,並選擇讓他們在混合存取模式下使用這些資料庫和資料表的 Lake Formation 許可。 1. **提交查詢** - 委託人使用整合的服務提交查詢或 ETL 指令碼,例如 Amazon Athena AWS Glue、Amazon EMR 或 Amazon Redshift Spectrum。 1. **請求資料** - 整合式分析引擎會識別正在請求的資料表,並將中繼資料請求傳送至 Data Catalog (`GetTable`、`GetDatabase`)。 1. **檢查許可** - Data Catalog 會使用 Lake Formation 驗證查詢主體的存取許可。 1. 如果資料表未連接`IAMAllowedPrincipals`群組許可,則會強制執行 Lake Formation 許可。 1. 如果委託人已選擇在混合存取模式中使用 Lake Formation 許可,且資料表已連接`IAMAllowedPrincipals`群組許可,則會強制執行 Lake Formation 許可。查詢引擎會套用從 Lake Formation 收到的篩選條件,並將資料傳回給使用者。 1. 如果資料表位置未向 Lake Formation 註冊,且委託人尚未選擇在混合存取模式中使用 Lake Formation 許可,則 Data Catalog 會檢查資料表是否已連接`IAMAllowedPrincipals`群組許可。如果此許可存在於資料表上,則帳戶中的所有主體都會取得資料表上的 `Super`或 `All`許可。 除非資料位置已向 Lake Formation 註冊,否則即使選擇加入,Lake Formation 登入資料販賣也無法使用。 1. **取得憑證** – Data Catalog 會檢查並告知引擎資料表位置是否已向 Lake Formation 註冊。如果基礎資料已向 Lake Formation 註冊,分析引擎會請求 Lake Formation 提供臨時憑證,以存取 Amazon S3 儲存貯體中的資料。 1. **取得資料** – 如果委託人有權存取資料表資料,Lake Formation 會提供整合式分析引擎的暫時存取權。使用暫時存取,分析引擎會從 Amazon S3 擷取資料,並執行必要的篩選,例如資料欄、資料列或儲存格篩選。當引擎完成執行任務時,會將結果傳回給使用者。此程序稱為憑證販售程序。如需詳細資訊,
 請參閱 [將第三方服務與 整合 Lake Formation](Integrating-with-LakeFormation.md)。 1. 
如果資料表的資料位置未向 Lake Formation 註冊,則分析引擎的第二個呼叫會直接對 Amazon S3 進行。相關的 Amazon S3 儲存貯體政策和 IAM 使用者政策會評估資料存取。每當您使用 IAM 政策時,請務必遵循 IAM 最佳實務。如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。