Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôle d'accès basé sur les attributs
Dans AWS Lake Formation, vous pouvez accorder l'accès à AWS Glue Data Catalog des objets tels que des catalogues, des bases de données, des tables et des filtres de données à l'aide d'attributs qui sont des balises IAM et des balises de session associées à des entités IAM telles que les rôles et les utilisateurs.
Pour plus d'informations sur l'utilisation des balises de session, voir [assume-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) dans le guide de l' AWS CLI utilisateur.
Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS appelle ces *balises* d'attributs. Vous pouvez utiliser ABAC pour accorder l'accès aux principaux au sein du même compte ou d'un autre compte sur les ressources du catalogue de données. Tout principal IAM dont les clés et les valeurs de balise IAM ou de balise de session correspondent accède à la ressource. Vous devez disposer d'autorisations pouvant être accordées sur les ressources pour octroyer ces subventions.
ABAC vous permet d'accorder l'accès à plusieurs utilisateurs en même temps. Lorsque de nouveaux utilisateurs rejoignent l'organisation, leur accès aux données peut être déterminé automatiquement en fonction de leurs attributs, tels que leur fonction ou leur service, sans que les administrateurs n'aient à attribuer manuellement des rôles ou des autorisations spécifiques. En utilisant des attributs plutôt que des rôles, ABAC fournit une méthode plus rationalisée et plus facile à gérer pour gérer l'accès aux données dans divers systèmes et environnements, améliorant ainsi la gouvernance et la conformité des données.
Pour plus d'informations sur la définition des attributs, voir [Définir des autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html).
Pour plus d'informations sur les limites, les considérations et les AWS régions prises en charge, consultez[Considérations relatives au contrôle d'accès basé sur les attributs, limites et régions prises en charge](abac-considerations.md).
**Topics**
+ [
# Conditions préalables à l'octroi d'autorisations à l'aide d'attributs
](abac-prerequisites.md)
+ [
# Octroi d'autorisations à l'aide du contrôle d'accès basé sur les attributs
](abac-granting-permissions.md)
# Conditions préalables à l'octroi d'autorisations à l'aide d'attributs
Pour accorder des autorisations à l'aide du contrôle d'accès basé sur les attributs (ABAC), vous devez remplir les conditions préalables suivantes :
+ Mettez à jour les **paramètres** du **catalogue de données** pour activer les autorisations de Lake Formation pour les objets du catalogue de données. Pour plus d'informations, consultez la section [Modifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#setup-change-cat-settings).
+ Définissez les paramètres de version multi-comptes sur deux ou plus.
+ [Attachez des attributs](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) aux entités IAM qui nécessitent un accès.
+ Seul un administrateur de lac de données ou un utilisateur IAM disposant des autorisations requises peut accorder l'accès aux objets du catalogue de données. Pour plus d'informations sur les autorisations requises, consultez la section [Autorisations IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/required-permissions-for-grant.html).
# Octroi d'autorisations à l'aide du contrôle d'accès basé sur les attributs
Cette rubrique décrit les étapes à suivre pour accorder des autorisations d'accès basées sur les attributs aux ressources du catalogue de données. Vous pouvez utiliser la console Lake Formation ou l'interface de ligne de AWS commande (AWS CLI).
## Octroi d'autorisations à l'aide d'ABAC ()AWS Management Console
1. Ouvrez la console Lake Formation à l'[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)adresse et connectez-vous en tant qu'administrateur du lac de données, créateur de ressources ou utilisateur IAM disposant d'**autorisations accordables sur** la ressource.
1. Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations du lac de données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Catalogues** sous **Catalogue de données**. Choisissez ensuite un objet de catalogue (catalogues, bases de données, tables et filtres de données), puis dans le menu **Actions**, sous **Autorisations**, sélectionnez **Accorder**.
1. Sur la page **Accorder des autorisations**, sélectionnez **Principaux par attribut**.
1. Spécifiez la clé et les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire à l'aide d'un `OR` opérateur. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, il role/user obtient des autorisations d'accès à la ressource.
Si vous spécifiez plusieurs balises d'attribut, vous créez une expression d'attribut à l'aide d'un `AND` opérateur. Le principal n'obtient des autorisations sur une ressource de catalogue de données que si une balise correspondante role/user a été attribuée à l'IAM pour chaque balise d'attribut de l'expression d'attribut.
Passez en revue l'expression de politique Cedar résultante affichée dans la console.
![\[Dans la boîte de dialogue Accorder des autorisations, une expression d'attribut est créée.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/abac-grant-permissions.png)
1. Choisissez l'étendue des autorisations. Si les bénéficiaires appartiennent à un compte externe, choisissez **Compte externe** et entrez l'identifiant du AWS compte.
1. Choisissez ensuite le compte Data Catalog ou des comptes externes. Vous devez disposer des autorisations pouvant être accordées correspondantes sur les ressources pour terminer avec succès les autorisations accordées.
1. Spécifiez les actions que vous souhaitez autoriser les principaux (utilisateurs ou rôles) dotés d'attributs correspondants à effectuer. L'accès est accordé aux entités IAM auxquelles ont été attribuées des balises et des valeurs correspondant à au moins une des expressions d'attributs que vous avez spécifiées. Vérifiez l'expression de politique Cedar dans la console. Pour plus d'informations sur le cèdre, voir [Qu'est-ce que le cèdre ? \$1 Référence linguistique des politiques de Cedar GuideLink](https://docs.cedarpolicy.com/).
1. Choisissez ensuite les ressources du catalogue de données auxquelles vous souhaitez accorder l'accès. Vous pouvez définir ces autorisations pour différentes ressources du catalogue de données, notamment les catalogues, les bases de données, les tables et les filtres de données.
1. Choisissez **Accorder**.
Cette approche vous permet de contrôler l'accès en fonction des attributs, en veillant à ce que seuls les utilisateurs ou les rôles dotés des balises appropriées puissent effectuer des actions spécifiques sur les ressources désignées.
## Octroi d'autorisations à l'aide d'ABAC ()AWS CLI
L'exemple suivant montre une expression d'attribut qui doit être respectée pour recevoir toutes les autorisations disponibles sur la ressource. Vous pouvez également spécifier des autorisations individuelles telles que `Select``Describe`, ou`Drop`. L'expression utilise l'expression de politique Cedar. Pour plus d'informations sur le cèdre, voir [Qu'est-ce que le cèdre ? \$1 Référence linguistique des politiques de Cedar GuideLink](https://docs.cedarpolicy.com/).
Cette condition vérifie si le principal IAM possède une `department` balise et si la valeur de la `department` balise est égale à`sales`.
```
aws lakeformation grant-permissions
--principal '{"DataLakePrincipalIdentifier": "111122223333:IAMPrincipals"}' \
--resource '{"Database": {"CatalogId": 111122223333, "Name": "abac-db"}}' \
--permissions ALL \
--condition '{"Expression": "context.iam.principalTags.hasTag(\"department\") \
&& context.iam.principalTags.getTag(\"department\") == \"sales\""}'
```