Octroi d'autorisations de base de données à l'aide de la méthode de ressource - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations de base de données à l'aide de la méthode de ressource

Les étapes suivantes expliquent comment accorder des autorisations de base de données à l'aide de la méthode des ressources nommées.

Console

Utilisez la page Accorder les autorisations du data lake sur la console Lake Formation. La page est divisée selon les sections suivantes :

  • Principaux : utilisateurs, rôles, utilisateurs et groupes IAM Identity Center, utilisateurs et groupes SAML, AWS comptes, organisations ou unités organisationnelles auxquels accorder les autorisations.

  • Balises LF ou ressources du catalogue : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.

  • Autorisations — Les autorisations à accorder dans le cadre de la Lake Formation.

Note

Pour accorder des autorisations sur un lien vers une ressource de base de données, consultezOctroi d'autorisations relatives aux liens vers.

  1. Ouvrez la page des autorisations du lac de données Grant.

    Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/ et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant des autorisations Grantable sur la base de données.

    Effectuez l’une des actions suivantes :

    • Dans le volet de navigation, sous Autorisations, sélectionnez Autorisations du lac de données. Choisissez ensuite Grant.

    • Dans le volet de navigation, sélectionnez Bases de données sous Catalogue de données. Ensuite, sur la page Bases de données, choisissez une base de données, puis dans le menu Actions, sous Autorisations, choisissez Grant.

    Note

    Vous pouvez accorder des autorisations sur une base de données via son lien de ressource. Pour ce faire, sur la page Bases de données, choisissez un lien vers une ressource, puis dans le menu Actions, choisissez Grant on target. Pour plus d’informations, consultez Mode de fonctionnement des liens des ressources dans Lake Formation.

  2. Ensuite, dans la section Principaux, choisissez un type de principal, puis spécifiez les principaux auxquels accorder les autorisations.

    La section Principaux contient quatre vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette Utilisateurs et groupes de l'IAM Identity Center est sélectionnée, et la liste déroulante des utilisateurs et des groupes se trouve sous le texte suivant.
    Utilisateurs et rôles IAM

    Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des utilisateurs et des rôles IAM.

    IAM Identity Center

    Choisissez un ou plusieurs utilisateurs ou groupes dans la liste Utilisateurs et groupes. Sélectionnez Ajouter pour ajouter d'autres utilisateurs ou groupes.

    Utilisateurs et groupes SAML

    Pour les QuickSight utilisateurs et les groupes SAML et Amazon, entrez un ou plusieurs Amazon Resource Names (ARN) pour les utilisateurs ou les groupes fédérés via SAML, ou des ARN pour les utilisateurs ou les groupes Amazon. QuickSight Appuyez sur Entrée après chaque ARN.

    Pour plus d'informations sur la façon de construire les ARN, consultezLake Formation accorde et AWS CLI révoque des commandes.

    Note

    L'intégration de Lake Formation à Amazon n' QuickSight est prise en charge que pour Amazon QuickSight Enterprise Edition.

    Comptes externes

    Pour Compte AWS, AWS organisation ou IAM Principal, entrez un ou plusieurs ID de AWS compte, ID d'organisation, ID d'unité organisationnelle ou ARN valides pour l'utilisateur ou le rôle IAM. Appuyez sur Entrée après chaque identifiant.

    Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.

    L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.

  3. Dans la section Balises LF ou ressources de catalogue, sélectionnez Ressources de catalogue de données nommées.

    La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.

  4. Choisissez une ou plusieurs bases de données dans la liste des bases de données. Vous pouvez également choisir un ou plusieurs tableaux et/ou filtres de données.

  5. Dans la section Autorisations, sélectionnez les autorisations et les autorisations pouvant être accordées. Sous Autorisations de base de données, sélectionnez une ou plusieurs autorisations à accorder.

    La section Autorisations contient deux vignettes disposées horizontalement. Chaque vignette contient un bouton d'option et du texte. La vignette Autorisations de base de données est sélectionnée. L'autre vignette, Autorisations basées sur les colonnes, est désactivée car elle concerne les autorisations de table. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de base de données à accorder. Les cases à cocher incluent Create Table, Alter, Drop, Describe et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.
    Note

    Après avoir accordé Create Table ou Alter sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour plus d’informations, consultez Octroi d'autorisations de localisation des données.

  6. (Facultatif) Sous Autorisations pouvant être accordées, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n'est pas prise en charge lorsque vous accordez des autorisations à un directeur IAM à partir d'un compte externe.

  7. Choisissez Grant (Accorder).

AWS CLI

Vous pouvez accorder des autorisations de base de données en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).

Pour accorder des autorisations de base de données à l'aide du AWS CLI

  • Exécutez une grant-permissions commande et spécifiez une base de données ou le catalogue de données comme ressource, en fonction de l'autorisation accordée.

    Dans les exemples suivants, remplacez-le <account-id>par un identifiant de AWS compte valide.

    Exemple — Subvention pour créer une base de données

    Cet exemple accorde des autorisations CREATE_DATABASE à l'utilisateurdatalake_user1. Étant donné que la ressource pour laquelle cette autorisation est accordée est le catalogue de données, la commande spécifie une CatalogResource structure vide comme resource paramètre.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
    Exemple — Autorisation de créer des tables dans une base de données désignée

    L'exemple suivant octroie la CREATE_TABLE base de données retail à l'utilisateurdatalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    Exemple — Subvention à un AWS compte externe avec l'option Grant

    L'exemple suivant octroie CREATE_TABLE l'option grant sur la base de données retail au compte externe 1111-2222-3333.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    Exemple — Subvention à une organisation

    L'exemple suivant octroie ALTER à l'organisation l'option grant sur la base issues de donnéeso-abcdefghijkl.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
    Exemple - Accordez ALLIAMPrincipals à sur le même compte

    L'exemple suivant accorde CREATE_TABLE l'autorisation d'accéder à la base retail de données à tous les principaux d'un même compte. Cette option permet à chaque principal du compte de créer une table dans la base de données et de créer un lien vers une ressource de table permettant aux moteurs de requêtes intégrés d'accéder aux bases de données et aux tables partagées. Cette option est particulièrement utile lorsqu'un directeur reçoit une subvention entre comptes et n'est pas autorisé à créer des liens vers des ressources. Dans ce scénario, l'administrateur du lac de données peut créer une base de données d'espaces réservés et accorder des CREATE_TABLE autorisations au ALLIAMPrincipal groupe, permettant ainsi à chaque responsable IAM du compte de créer des liens de ressources dans la base de données d'espaces réservés. 

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
    Exemple - Subvention ALLIAMPrincipals à un compte externe

    L'exemple suivant accorde des autorisations CREATE_TABLE d'accès à la base retail de données à tous les principaux d'un compte externe. Cette option permet à tous les principaux du compte de créer une table dans la base de données.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
Note

Après avoir accordé CREATE_TABLE ou ALTER sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour plus d’informations, consultez Octroi d'autorisations de localisation des données.

Consultez aussi