Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des autorisations de Lake Formation et des utilisateurs d'Athena
Lake Formation fournit des informations d'identification pour interroger les magasins de données Simple Storage Service (Amazon S3) qui sont enregistrés dans Lake Formation. Si vous utilisiez auparavant des politiques IAM pour autoriser ou rejeter les autorisations de lecture des emplacements de données dans Simple Storage Service (Amazon S3), vous pouvez utiliser les autorisations Lake Formation à la place. Cependant, d'autres autorisations IAM sont toujours nécessaires.
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique Bonnes pratiques IAM du Guide de l'utilisateur IAM.
Les sections suivantes résument les autorisations requises pour utiliser Athena afin d'interroger les données enregistrées dans Lake Formation. Pour plus d'informations, consultez la rubrique Sécurité dans AWS Lake Formation du Guide du développeur AWS Lake Formation .
Récapitulatif des autorisations
- Autorisations basées sur l'identité pour Lake Formation et Athena
- Autorisations Simple Storage Service (Amazon S3) pour les emplacements des résultats de requêtes Athena
- Appartenances des groupes de travail Athena dans l'historique des requêtes
- Autorisations Lake Formation aux données
- Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
- Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
- Autorisations basées sur les ressources pour les compartiments Simple Storage Service (Amazon S3) dans des comptes externes (facultatif)
Autorisations basées sur l'identité pour Lake Formation et Athena
Toute personne utilisant Athena pour interroger des données enregistrées dans Lake Formation doit disposer d'une politique d'autorisations IAM qui autorise l'action lakeformation:GetDataAccess. AWS politique gérée : AmazonAthenaFullAccess autorise cette action. Si vous utilisez des politiques en ligne, veillez à mettre à jour les politiques d'autorisations afin d'autoriser cette action.
Dans Lake Formation, un administrateur de lac de données a l'autorisation de créer des objets de métadonnées tels que des bases de données et des tables, d'accorder des autorisations Lake Formation à d'autres utilisateurs et d'enregistrer de nouveaux emplacements Simple Storage Service (Amazon S3). Pour enregistrer de nouveaux emplacements, des autorisations sont nécessaires pour le rôle lié au service de Lake Formation. Pour plus d'informations, consultez les rubriques Création d'un administrateur de lac de données et Autorisations de rôles liés à des services pour Lake Formation du Guide du développeur AWS Lake Formation .
Un utilisateur de Lake Formation peut utiliser Athena pour interroger des bases de données, des tables, des colonnes de table et des magasins de données Simple Storage Service (Amazon S3) sous-jacents, en fonction des autorisations Lake Formation qui lui ont été accordées par les administrateurs du lac de données. Les utilisateurs ne peuvent pas créer de bases de données ou de tables, ni enregistrer de nouveaux emplacements Simple Storage Service (Amazon S3) dans Lake Formation. Pour de plus amples informations, consultez Création d'un utilisateur de lac de données dans le Guide du développeur AWS Lake Formation .
Dans Athena, les politiques d'autorisation basées sur l'identité, y compris celles des groupes de travail Athena, contrôlent toujours l'accès aux actions Athena pour les utilisateurs de comptes Amazon Web Services. En outre, l'accès fédéré peut être fourni par l'authentification basée sur SAML disponible avec les pilotes Athena. Pour plus d’informations, consultez Utilisation des groupes de travail pour contrôler l'accès aux requêtes et les coûts, Politiques IAM pour l'accès aux groupes de travail et Activation de l'accès fédéré à l'API Athena.
Pour plus d'informations, consultez la rubrique Octroi d'autorisations Lake Formation du Guide du développeur AWS Lake Formation .
Autorisations Simple Storage Service (Amazon S3) pour les emplacements des résultats de requêtes Athena
Les emplacements des résultats des requêtes dans Simple Storage Service (Amazon S3) pour Athena ne peuvent pas être enregistrés dans Lake Formation. Les autorisations de Lake Formation ne limitent pas l'accès à ces emplacements. À moins que vous ne limitiez l'accès, les utilisateurs d'Athena peuvent accéder aux fichiers de résultats de requêtes et aux métadonnées alors qu'ils ne disposent pas d'autorisations Lake Formation pour les données. Pour éviter cela, nous vous recommandons d'utiliser des groupes de travail pour spécifier l'emplacement des résultats des requêtes et d'aligner l'appartenance à un groupe de travail sur les autorisations de Lake Formation. Vous pouvez ensuite utiliser les politiques d'autorisation IAM pour limiter l'accès aux emplacements des résultats des requêtes. Pour plus d'informations sur les résultats des requêtes, voir Utilisation des résultats des requêtes, des requêtes récentes et des fichiers de sortie.
Appartenances des groupes de travail Athena dans l'historique des requêtes
L'historique des requêtes d'Athena présente une liste des requêtes enregistrées et des chaînes de requête complètes. À moins que vous n'utilisiez des groupes de travail pour séparer l'accès aux historiques de requêtes, les utilisateurs d'Athena qui ne sont pas autorisés à interroger les données dans Lake Formation peuvent visualiser les chaînes de requêtes exécutées sur ces données, y compris les noms de colonnes, les critères de sélection, etc. Nous vous recommandons d'utiliser des groupes de travail pour séparer les historiques de requêtes, et d'aligner l'appartenance à un groupe de travail Athena sur les autorisations de Lake Formation pour en limiter l'accès. Pour plus d’informations, consultez Utilisation des groupes de travail pour contrôler l'accès aux requêtes et les coûts.
Autorisations Lake Formation aux données
Outre l'autorisation de base d'utiliser Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations Lake Formation pour accéder aux ressources qu'ils interrogent. Ces autorisations sont accordées et gérées par un administrateur Lake Formation. Pour de plus amples informations, consultez Sécurité et contrôle d'accès aux métadonnées et données dans le Guide du développeur AWS Lake Formation .
Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
Les autorisations Lake Formation sur Simple Storage Service (Amazon S3) ne comprennent pas la possibilité d'écrire sur Simple Storage Service (Amazon S3). Les instructions CTAS (Create Table As Statements) nécessitent un accès en écriture à l'emplacement Simple Storage Service (Amazon S3) des tables. Pour exécuter des requêtes CTAS sur des données enregistrées dans Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations IAM leur permettant d'écrire dans la table des emplacements Simple Storage Service (Amazon S3), en plus des autorisations Lake Formation appropriées leur permettant de lire les emplacements des données. Pour plus d’informations, consultez Création d'une table à partir des résultats des requêtes (CTAS).
Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
Les données sources sous-jacentes dans Simple Storage Service (Amazon S3) et les métadonnées dans le catalogue de données qui sont enregistrées dans Lake Formation peuvent être chiffrées. Il n'y a aucun changement dans la manière dont Athena traite le chiffrement des résultats des requêtes lors de l'utilisation d'Athena pour interroger des données enregistrées dans Lake Formation. Pour plus d’informations, consultez Chiffrement des résultats des requêtes Athena stockées dans Simple Storage Service (Amazon S3).
-
Chiffrement des données source : le chiffrement des données sources des emplacements de données Simple Storage Service (Amazon S3) est pris en charge. Les utilisateurs d'Athena qui interrogent des emplacements Simple Storage Service (Amazon S3) chiffrés enregistrés dans Lake Formation ont besoin d'autorisations pour chiffrer et déchiffrer les données. Pour plus d'informations sur les exigences, voir Options de chiffrement Simple Storage Service (Amazon S3) prises en charge et Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).
-
Chiffrement des métadonnées : le chiffrement des métadonnées dans le catalogue de données est pris en charge. Pour les principals qui utilisent Athena, les politiques basées sur l'identité doivent autoriser les actions
"kms:GenerateDataKey","kms:Decrypt"et"kms:Encrypt"pour la clé utilisée pour chiffrer les métadonnées. Pour plus d'informations, consultez le Chiffrement du catalogue de données dans le Guide du développeur AWS Glue et Accès depuis Athena aux métadonnées cryptées dans le AWS Glue Data Catalog.
Autorisations basées sur les ressources pour les compartiments Simple Storage Service (Amazon S3) dans des comptes externes (facultatif)
Pour interroger un emplacement de données Simple Storage Service (Amazon S3) dans un compte différent, une politique IAM basée sur les ressources (politique de compartiment) doit autoriser l'accès à l'emplacement. Pour plus d’informations, consultez Accès inter-comptes aux compartiments Simple Storage Service (Amazon S3) dans Athena.
Pour plus d'informations sur l'accès à un catalogue de données dans un autre compte, voir Accès au catalogue de données Athena inter-comptes.
