Octroi d'autorisations de data lake à l'aide de la TBAC méthode LF- - AWS Lake Formation
Octroi d'autorisations de catalogue de données à l'aide de la TBAC méthode LF-

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations de data lake à l'aide de la TBAC méthode LF-

Vous pouvez accorder les autorisations DESCRIBE et ASSOCIATE Lake Formation sur les balises LF aux principaux afin qu'ils puissent visualiser les balises LF et les attribuer aux ressources du catalogue de données (bases de données, tables, vues et colonnes). Lorsque des balises LF sont attribuées aux ressources du catalogue de données, vous pouvez utiliser la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour sécuriser ces ressources. Pour de plus amples informations, veuillez consulter Contrôle d'accès basé sur des balises Lake Formation.

Dans un premier temps, seul l'administrateur du lac de données peut accorder ces autorisations. Si l'administrateur du lac de données accorde ces autorisations avec l'option d'octroi, d'autres principaux peuvent les accorder. Les ASSOCIATE autorisations DESCRIBE et sont expliquées dansMeilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation.

Vous pouvez accorder les ASSOCIATE autorisations DESCRIBE et sur un LF-Tag à un compte externe AWS . L'administrateur du lac de données de ce compte peut ensuite accorder ces autorisations aux autres principaux du compte. Les principaux auxquels l'administrateur du lac de données du compte externe accorde l'ASSOCIATEautorisation peuvent ensuite attribuer des balises LF aux ressources du catalogue de données que vous avez partagées avec leur compte.

Lorsque vous accordez à un compte externe, vous devez inclure l'option de subvention.

Vous pouvez accorder des autorisations sur les balises LF à l'aide de la AWS Lake Formation console, duAPI, ou du AWS Command Line Interface ()AWS CLI.

Consultez aussi

Octroi d'autorisations au catalogue de données

Utilisez la console Lake Formation ou accordez AWS CLI à Lake Formation des autorisations sur les bases de données, les tables, les vues et les colonnes du catalogue de données à l'aide de la méthode de contrôle d'accès basée sur les balises (LF-TBAC) de Lake Formation.

Console

Les étapes suivantes expliquent comment accorder des autorisations à l'aide de la méthode de contrôle d'accès basé sur des balises (LF-TBAC) de Lake Formation et de la page Accorder des autorisations aux lacs de données sur la console Lake Formation. La page est divisée selon les sections suivantes :

  • Principaux — Les utilisateurs, les rôles et les autorisations Comptes AWS auxquelles accorder des autorisations.

  • Balises LF ou ressources du catalogue : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.

  • Autorisations — Les autorisations à accorder dans le cadre de la Lake Formation.

  1. Ouvrez la page des autorisations du lac de données Grant.

    Ouvrez la AWS Lake Formation console sur https://console.aws.amazon.com/lakeformation/et connectez-vous en tant qu'administrateur de lac de données ou en tant qu'utilisateur ayant obtenu les autorisations de Lake Formation sur les ressources du catalogue de données via LF- TBAC avec l'option d'autorisation.

    Dans le volet de navigation, sous Autorisations, sélectionnez Autorisations du lac de données. Choisissez ensuite Grant.

  2. Spécifiez les principes.

    Dans la section Principaux, choisissez un type de principal, puis spécifiez les principaux auxquels accorder des autorisations.

    La section Principaux contient quatre vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette IAM Identity Center est sélectionnée et la liste déroulante des utilisateurs et des groupes se trouve en dessous des vignettes.
    IAMutilisateurs et rôles

    Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des IAMutilisateurs et des rôles.

    IAMCentre d'identité

    Choisissez un ou plusieurs utilisateurs ou dans la liste Utilisateurs et groupes.

    Utilisateurs et groupes SAML

    Pour les QuickSight utilisateurs SAML et les groupes Amazon, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés par le biais deSAML, ou ARNs pour QuickSight les utilisateurs ou groupes Amazon. Appuyez sur Entrée après chacune d'ellesARN.

    Pour plus d'informations sur la façon de construire leARNs, voirLake Formation accorde et AWS CLI révoque des commandes.

    Note

    L'intégration de Lake Formation à Amazon QuickSight n'est prise en charge que pour Amazon QuickSight Enterprise Edition.

    Comptes externes

    Pour Comptes AWS, AWS organisation ou IAMprincipal, entrez une ou plusieurs organisations Compte AWS IDsIDs, unités organisationnellesIDs, IAM utilisateurs ou rôles valides. ARN Appuyez sur Entrée après chaque identifiant.

    Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.

    L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.

  3. Spécifiez les balises LF.

    Assurez-vous que l'option Resources matched by LF-Tags est sélectionnée. Choisissez Ajouter un tag LF.

    1. Choisissez une clé et des valeurs LF-Tag.

      Si vous choisissez plusieurs valeurs, vous créez une expression LF-Tag à l'aide d'un OR opérateur. Cela signifie que si l'une des valeurs de balise LF correspond à une balise LF attribuée à une ressource de catalogue de données, des autorisations sur cette ressource vous sont accordées.

      La section LF-Tag ou ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF (recommandé) et Ressources de catalogue de données nommées. Les ressources correspondant aux balises LF sont sélectionnées. Sous les vignettes se trouvent un champ clé et un champ valeurs disposés horizontalement. Le champ Clé contient « module » et le champ Valeurs est une liste déroulante contenant trois entrées : Commandes, Ventes et Clients. Chaque entrée est associée à une case à cocher. La case à cocher pour les clients est sélectionnée. À droite de ces deux champs se trouve un bouton Supprimer. En bas se trouve un bouton Ajouter une balise LF, indiquant que vous pouvez ajouter une autre ligne contenant les champs Clé et Valeurs et un bouton Supprimer.

    2. (Facultatif) Choisissez à nouveau Ajouter un tag LF pour en spécifier un autre.

      Si vous spécifiez plusieurs balises LF, vous créez une expression de balise LF à l'aide d'un opérateur. AND Le principal n'obtient des autorisations sur une ressource de catalogue de données que si une balise LF correspondante a été attribuée à la ressource pour chaque balise LF de l'expression LF-Tag.

  4. Spécifiez les autorisations.

    Spécifiez les autorisations que vous souhaitez accorder au principal pour faire correspondre les ressources du catalogue de données. Les ressources correspondantes sont les ressources auxquelles des balises LF ont été attribuées qui correspondent à l'une des expressions de balise LF accordées au principal.

    Vous pouvez spécifier les autorisations à accorder sur les bases de données correspondantes, les tables correspondantes et les vues correspondantes.

    Deux sections de la page sont affichées. La section Autorisations de base de données contient des cases à cocher pour les autorisations de base de données et les autorisations pouvant être accordées. Sous la section Base de données, la section Autorisations relatives aux tables affiche les cases à cocher pour les autorisations relatives aux tables et aux autorisations pouvant être accordées.

    Sous Autorisations de base de données, sélectionnez les autorisations de base de données à accorder au principal sur les bases de données correspondantes.

    Sous Autorisations relatives aux tables, sélectionnez les autorisations de table ou de vue à accorder au principal sur les tables et les vues correspondantes.

    Vous pouvez également choisir SelectDescribe, et Drop les autorisations dans le tableau, les autorisations à appliquer aux vues.

  5. Choisissez Grant (Accorder).

AWS CLI

Vous pouvez utiliser la méthode AWS Command Line Interface (AWS CLI) et la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour accorder à Lake Formation des autorisations sur les bases de données, les tables et les colonnes du catalogue de données.

Octroi d'autorisations de data lake à l'aide de la méthode AWS CLI et de la TBAC méthode LF-

  • Utilisez la commande grant-permissions.

    L'exemple suivant accorde l'expression LF-tag « module=* » (toutes les valeurs de la clé module LF-Tag) à l'utilisateur. datalake_user1 Cet utilisateur aura l'CREATE_TABLEautorisation d'accéder à toutes les bases de données correspondantes, c'est-à-dire aux bases de données auxquelles a été attribuée la balise LF avec la clémodule, quelle que soit la valeur.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    L'exemple suivant accorde l'expression LF-tag « (level=director) AND (region=west OR region=south) » à l'utilisateur. datalake_user1 Cet utilisateur aura les DROP autorisations SELECTALTER, et avec l'option d'autorisation sur les tables correspondantes, c'est-à-dire les tables auxquelles les deux level=director et (region=westouregion=south) ont été assignés.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    L'exemple suivant accorde l'expression LF-tag « module=orders » au AWS compte 1234-5678-9012. L'administrateur du lac de données de ce compte peut ensuite accorder l'expression module=orders « » aux principaux de son compte. Ces principaux auront alors l'CREATE_TABLEautorisation de faire correspondre les bases de données détenues par le compte 1111-2222-3333 et partagées avec le compte 1234-5678-9012 en utilisant soit la méthode des ressources nommées, soit la méthode LF-. TBAC

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'