Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte

AWS Lake Formation vous permet d'enregistrer des sites AWS Amazon Simple Storage Service (Amazon S3) sur plusieurs comptes. Par exemple, s'il AWS Glue Data Catalog se trouve dans le compte A, un utilisateur du compte A peut enregistrer un compartiment Amazon S3 dans le compte B.

L'enregistrement d'un compartiment Amazon S3 dans le AWS compte B à l'aide d'un rôle AWS Identity and Access Management (IAM) dans le AWS compte A nécessite les autorisations suivantes :

  • Le rôle du compte A doit accorder des autorisations sur le compartiment du compte B.

  • La politique de compartiment du compte B doit accorder des autorisations d'accès au rôle dans le compte A.

Important

Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les demandeurs sont activés. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.

Vous ne pouvez pas utiliser le rôle lié au service Lake Formation pour enregistrer une position sur un autre compte. Vous devez plutôt utiliser un rôle défini par l'utilisateur. Le rôle doit répondre aux exigences deExigences relatives aux rôles utilisés pour enregistrer des sites. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Autorisations de rôle liées à un service pour Lake Formation.

Avant de commencer

Passez en revue les exigences relatives au rôle utilisé pour enregistrer l'emplacement.

Pour enregistrer une position dans un autre AWS compte
Note

Si l'emplacement est crypté, suivez Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes plutôt les instructions indiquées.

La procédure suivante suppose qu'un mandant du compte 1111-2222-3333, qui contient le catalogue de données, souhaite enregistrer le compartiment Amazon S3, qui se trouve dans le compte awsexamplebucket1 1234-5678-9012.

  1. Dans le compte 1111-2222-3333, connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/iam/

  2. Créez un nouveau rôle ou consultez un rôle existant qui répond aux exigences deExigences relatives aux rôles utilisés pour enregistrer des sites. Assurez-vous que le rôle accorde des autorisations à Amazon S3 surawsexamplebucket1.

  3. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/. Connectez-vous avec le compte 1234-5678-9012.

  4. Dans la liste Nom du compartiment, choisissez le nom du compartiment,awsexamplebucket1.

  5. Choisissez Autorisations.

  6. Sur la page Autorisations, choisissez Bucket Policy.

  7. Dans l'éditeur de politique Bucket, collez la politique suivante. Remplacez <role-name>par le nom de votre rôle.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::111122223333:role/<role-name>"
            },
            "Action":"s3:ListBucket",
            "Resource":"arn:aws:s3:::awsexamplebucket1"
        },
        {
            "Effect":"Allow",
            "Principal": {
                "AWS":"arn:aws:iam::111122223333:role/<role-name>"
            },
            "Action": [
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource":"arn:aws:s3:::awsexamplebucket1/*"
        }
    ]
}

  8. Choisissez Enregistrer.

  9. Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/. Connectez-vous au compte 1111-2222-3333 en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant des autorisations suffisantes pour enregistrer des emplacements.

  10. Dans le volet de navigation, sous Administration, sélectionnez Data lake locations.

  11. Sur la page des emplacements des Data Lake, choisissez Enregistrer l'emplacement.

  12. Sur la page Enregistrer l'emplacement, pour le chemin Amazon S3, entrez le nom du compartiments3://awsexamplebucket1.

    Note

    Vous devez saisir le nom du bucket car les buckets multi-comptes n'apparaissent pas dans la liste lorsque vous choisissez Browse.

  13. Pour le rôle IAM, choisissez votre rôle.

  14. Choisissez Enregistrer l'emplacement.