Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Octroi d'autorisations de base de données à l'aide de la méthode de ressource
Les étapes suivantes expliquent comment accorder des autorisations de base de données à l'aide de la méthode des ressources nommées.
- Console
-
Utilisez la page Accorder les autorisations du data lake sur la console Lake Formation. La page est divisée selon les sections suivantes :
-
Principaux : utilisateurs, rôles, utilisateurs et groupes IAM Identity Center, utilisateurs et groupes SAML, AWS comptes, organisations ou unités organisationnelles auxquels accorder les autorisations.
-
Balises LF ou ressources du catalogue : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
-
Autorisations — Les autorisations à accorder dans le cadre de la Lake Formation.
Note
Pour accorder des autorisations sur un lien vers une ressource de base de données, consultezOctroi d'autorisations relatives aux liens vers.
Ouvrez la page des autorisations du lac de données Grant.
Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/
et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant des autorisations Grantable sur la base de données. Effectuez l’une des actions suivantes :
-
Dans le volet de navigation, sous Autorisations, sélectionnez Autorisations du lac de données. Choisissez ensuite Grant.
-
Dans le volet de navigation, sélectionnez Bases de données sous Catalogue de données. Ensuite, sur la page Bases de données, choisissez une base de données, puis dans le menu Actions, sous Autorisations, choisissez Grant.
Note
Vous pouvez accorder des autorisations sur une base de données via son lien de ressource. Pour ce faire, sur la page Bases de données, choisissez un lien vers une ressource, puis dans le menu Actions, choisissez Grant on target. Pour plus d’informations, consultez Mode de fonctionnement des liens des ressources dans Lake Formation.
-
-
Ensuite, dans la section Principaux, choisissez un type de principal, puis spécifiez les principaux auxquels accorder les autorisations.
- Utilisateurs et rôles IAM
-
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des utilisateurs et des rôles IAM.
- IAM Identity Center
-
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste Utilisateurs et groupes. Sélectionnez Ajouter pour ajouter d'autres utilisateurs ou groupes.
- Utilisateurs et groupes SAML
-
Pour les QuickSight utilisateurs et les groupes SAML et Amazon, entrez un ou plusieurs Amazon Resource Names (ARN) pour les utilisateurs ou les groupes fédérés via SAML, ou des ARN pour les utilisateurs ou les groupes Amazon. QuickSight Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire les ARN, consultezLake Formation accorde et AWS CLI révoque des commandes.
Note
L'intégration de Lake Formation à Amazon n' QuickSight est prise en charge que pour Amazon QuickSight Enterprise Edition.
- Comptes externes
-
Pour Compte AWS, AWS organisation ou IAM Principal, entrez un ou plusieurs ID de AWS compte, ID d'organisation, ID d'unité organisationnelle ou ARN valides pour l'utilisateur ou le rôle IAM. Appuyez sur Entrée après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
-
Dans la section Balises LF ou ressources de catalogue, sélectionnez Ressources de catalogue de données nommées.
-
Choisissez une ou plusieurs bases de données dans la liste des bases de données. Vous pouvez également choisir un ou plusieurs tableaux et/ou filtres de données.
-
Dans la section Autorisations, sélectionnez les autorisations et les autorisations pouvant être accordées. Sous Autorisations de base de données, sélectionnez une ou plusieurs autorisations à accorder.
Note
Après avoir accordé
Create Table
ouAlter
sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour plus d’informations, consultez Octroi d'autorisations de localisation des données. -
(Facultatif) Sous Autorisations pouvant être accordées, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n'est pas prise en charge lorsque vous accordez des autorisations à un directeur IAM à partir d'un compte externe.
-
Choisissez Grant (Accorder).
-
- AWS CLI
-
Vous pouvez accorder des autorisations de base de données en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
Pour accorder des autorisations de base de données à l'aide du AWS CLI
-
Exécutez une
grant-permissions
commande et spécifiez une base de données ou le catalogue de données comme ressource, en fonction de l'autorisation accordée.Dans les exemples suivants, remplacez-le
<account-id>par un identifiant de AWS compte valide.
Exemple — Subvention pour créer une base de données
Cet exemple accorde des autorisations
CREATE_DATABASE
à l'utilisateurdatalake_user1
. Étant donné que la ressource pour laquelle cette autorisation est accordée est le catalogue de données, la commande spécifie uneCatalogResource
structure vide commeresource
paramètre.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'Exemple — Autorisation de créer des tables dans une base de données désignée
L'exemple suivant octroie la
CREATE_TABLE
base de donnéesretail
à l'utilisateurdatalake_user1
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::
<account-id>
:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'Exemple — Subvention à un AWS compte externe avec l'option Grant
L'exemple suivant octroie
CREATE_TABLE
l'option grant sur la base de donnéesretail
au compte externe 1111-2222-3333.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
Exemple — Subvention à une organisation
L'exemple suivant octroie
ALTER
à l'organisation l'option grant sur la baseissues
de donnéeso-abcdefghijkl
.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
Exemple - Accordez
ALLIAMPrincipals
à sur le même compteL'exemple suivant accorde
CREATE_TABLE
l'autorisation d'accéder à la baseretail
de données à tous les principaux d'un même compte. Cette option permet à chaque principal du compte de créer une table dans la base de données et de créer un lien vers une ressource de table permettant aux moteurs de requêtes intégrés d'accéder aux bases de données et aux tables partagées. Cette option est particulièrement utile lorsqu'un directeur reçoit une subvention entre comptes et n'est pas autorisé à créer des liens vers des ressources. Dans ce scénario, l'administrateur du lac de données peut créer une base de données d'espaces réservés et accorder desCREATE_TABLE
autorisations auALLIAMPrincipal
groupe, permettant ainsi à chaque responsable IAM du compte de créer des liens de ressources dans la base de données d'espaces réservés.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
Exemple - Subvention
ALLIAMPrincipals
à un compte externeL'exemple suivant accorde des autorisations
CREATE_TABLE
d'accès à la baseretail
de données à tous les principaux d'un compte externe. Cette option permet à tous les principaux du compte de créer une table dans la base de données.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
Note
Après avoir accordé
CREATE_TABLE
ouALTER
sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour plus d’informations, consultez Octroi d'autorisations de localisation des données. -