View a markdown version of this page

Octroi d'autorisations de lac de données à l'aide de la LF-TBAC méthode - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations de lac de données à l'aide de la LF-TBAC méthode

Vous pouvez accorder les autorisations DESCRIBE et ASSOCIATE Lake Formation aux principaux LF-Tags afin qu'ils puissent les consulter LF-Tags et les affecter aux ressources du catalogue de données (bases de données, tables, vues et colonnes). Lorsque LF-Tags des ressources du catalogue de données sont affectées, vous pouvez utiliser la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour sécuriser ces ressources. Pour de plus amples informations, veuillez consulter Contrôle d'accès basé sur des balises Lake Formation.

Dans un premier temps, seul l'administrateur du lac de données peut accorder ces autorisations. Si l'administrateur du lac de données accorde ces autorisations avec l'option grant, d'autres principaux peuvent les accorder. Les ASSOCIATE autorisations DESCRIBE et sont expliquées dansMeilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation.

Vous pouvez accorder les ASSOCIATE autorisations DESCRIBE et sur un LF-Tag AWS compte externe. L'administrateur du lac de données de ce compte peut ensuite accorder ces autorisations aux autres principaux du compte. Les principaux auxquels l'administrateur du lac de données du compte externe accorde l'ASSOCIATEautorisation peuvent ensuite attribuer LF-Tags au catalogue de données les ressources que vous avez partagées avec leur compte.

Lorsque vous accordez à un compte externe, vous devez inclure l'option de subvention.

Vous pouvez accorder des autorisations à LF-Tags l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface (AWS CLI).

Note

Les étapes suivantes ne sont pas nécessaires pour les catalogues S3 Tables. Vous pouvez l'utiliser LF-Tags pour accorder des autorisations sur les catalogues de tables S3 existants sans les supprimer ni les recréer.

Activation de la prise en LF-Tags charge des catalogues fédérés existants qui utilisent les autorisations de Lake Formation

Procédez comme suit si vous possédez des catalogues fédérés existants qui utilisent les autorisations de Lake Formation, tels qu'Amazon Redshift Amazon DynamoDB ou des catalogues créés LF-Tags avant que le support ne soit disponible pour les catalogues fédérés.

  1. Supprimer le catalogue existant : appelez l'opération deleteCatalog API pour supprimer le catalogue fédéré existant qui utilise les autorisations de Lake Formation.

  2. Créer un nouveau catalogue fédéré : créez un nouveau catalogue et orientez le nouveau catalogue vers votre catalogue existant namespace/datashare.

    Utiliser un nouveau nom pour le catalogue : ce processus met à jour vos catalogues fédérés préexistants afin de prendre en charge les fonctionnalités. LF-Tag Si vous souhaitez utiliser le même nom de catalogue, contactez AWS l'équipe d'assistance pour obtenir de l'aide.

Octroi d'autorisations au catalogue de données

Utilisez la console Lake Formation ou accordez AWS CLI à Lake Formation des autorisations sur les bases de données, les tables, les vues et les colonnes du catalogue de données à l'aide de la méthode de contrôle d'accès (LF-TBAC) basée sur les balises Lake Formation.

Console

Les étapes suivantes expliquent comment accorder des autorisations à l'aide de la méthode de contrôle d'accès basée sur des balises Lake Formation (LF-TBAC) et de la page Accorder des autorisations au lac de données sur la console Lake Formation. La page est divisée en sections suivantes :

  • Principaux — Les utilisateurs, les rôles et les autorisations Comptes AWS auxquelles accorder des autorisations.

  • LF-Tags ou ressources du catalogue : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.

  • Autorisations — Les autorisations à accorder dans le cadre de la Lake Formation.

  1. Ouvrez la page des autorisations du lac de données Grant.

    Ouvrez la AWS Lake Formation console sur https://console.aws.amazon.com/lakeformation/et connectez-vous en tant qu'administrateur de lac de données ou en tant qu'utilisateur ayant obtenu les autorisations de Lake Formation sur les ressources du catalogue de données LF-TBAC grâce à l'option d'autorisation.

    Dans le volet de navigation, sous Autorisations, sélectionnez Autorisations du lac de données. Ensuite, choisissez Accorder.

  2. Spécifiez les principes.

    Dans la section Principaux, choisissez un type de principal, puis spécifiez les principaux auxquels accorder des autorisations.

    La section Principaux contient quatre vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette IAM Identity Center est sélectionnée et la liste déroulante des utilisateurs et des groupes se trouve sous les vignettes.
    Utilisateurs et rôles IAM

    Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des utilisateurs et des rôles IAM.

    IAM Identity Center

    Choisissez un ou plusieurs utilisateurs ou dans la liste Utilisateurs et groupes.

    Utilisateurs et groupes SAML

    Pour les utilisateurs et les groupes SAML et Quick, entrez un ou plusieurs Amazon Resource Names (ARN) pour les utilisateurs ou les groupes fédérés via SAML, ou des ARN pour les utilisateurs ou les groupes Quick. Appuyez sur Entrée après chaque ARN.

    Pour plus d'informations sur la façon de construire les ARN, consultezSubvention et révocation de Lake Formation AWS CLI commands.

    Note

    L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.

    Comptes externes

    Pour Comptes AWS AWS l'organisation ou le principal IAM, entrez un ou plusieurs Compte AWS identifiants, identifiants d'organisation, identifiants d'unité organisationnelle ou ARN valides pour l'utilisateur ou le rôle IAM. Appuyez sur Entrée après chaque identifiant.

    Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.

    L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.

  3. Spécifiez le LF-Tags.

    Assurez-vous que l' LF-Tagsoption Ressources correspondantes est sélectionnée. Choisissez des paires LF-Tag clé-valeur ou des expressions enregistrées LF-Tag .

    1. Si vous choisissez l'option paires LF-Tag clé-valeur, choisissez les clés et les valeurs.

      Si vous choisissez plusieurs valeurs, vous créez une LF-Tag expression à l'aide d'un OR opérateur. Cela signifie que si l'une des LF-Tag valeurs correspond à une ressource LF-Tag attribuée à une ressource de catalogue de données, des autorisations vous sont accordées sur cette ressource.

      La LF-Tag section des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont Ressources mises en correspondance par LF-Tags (recommandé) et Ressources de catalogue de données nommées. Les ressources correspondant à LF-Tags sont sélectionnées. Sous les vignettes se trouvent un champ clé et un champ valeurs disposés horizontalement. Le champ Clé contient « module » et le champ Valeurs est une liste déroulante contenant trois entrées : Commandes, Ventes et Clients. Chaque entrée est associée à une case à cocher. La case à cocher pour les clients est sélectionnée. À droite de ces deux champs se trouve un bouton Supprimer. En bas se trouve un LF-Tag bouton Ajouter, qui indique que vous pouvez ajouter une autre ligne contenant les champs Clé et Valeurs ainsi qu'un bouton Supprimer.
    2. (Facultatif) Choisissez à nouveau Ajouter une paire LF-Tag clé-valeur pour en spécifier une autre. LF-Tag

      Si vous en spécifiez plusieurs LF-Tag, vous créez une LF-Tag expression à l'aide d'un AND opérateur. Le principal reçoit des autorisations sur une ressource de catalogue de données uniquement si une correspondance a été attribuée LF-Tag à la ressource LF-Tag dans l' LF-Tag expression.

    3. Choisissez l'option Enregistrer en tant que nouvelle expression pour réutiliser l'expression.

      Vous devez Create LF-Tag expression enregistrer les expressions.

      Pour plus d'informations sur LF-Tag les expressions, consultezGestion des LF-Tag expressions pour le contrôle d'accès aux métadonnées.

  4. Spécifiez les autorisations.

    Spécifiez les autorisations que vous souhaitez accorder au principal pour faire correspondre les ressources du catalogue de données. Les ressources correspondantes sont les ressources attribuées LF-Tags qui correspondent à l'une des LF-Tag expressions accordées au principal.

    Vous pouvez spécifier les autorisations à accorder sur les bases de données correspondantes, les tables correspondantes et les vues correspondantes.

    Deux sections de la page sont affichées. La section Autorisations de base de données contient des cases à cocher pour les autorisations de base de données et les autorisations pouvant être accordées. Sous la section Base de données, la section Autorisations relatives aux tables affiche les cases à cocher pour les autorisations relatives aux tables et aux autorisations pouvant être accordées.

    Sous Autorisations de base de données, sélectionnez les autorisations de base de données à accorder au principal sur les bases de données correspondantes.

    Sous Autorisations relatives aux tables, sélectionnez les autorisations de table ou de vue à accorder au principal sur les tables et les vues correspondantes.

    Vous pouvez également choisir SelectDescribe, et Drop les autorisations dans le tableau, les autorisations à appliquer aux vues.

  5. Choisissez Accorder.

AWS CLI

Vous pouvez utiliser la méthode AWS Command Line Interface (AWS CLI) et la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour accorder à Lake Formation des autorisations sur les bases de données, les tables et les colonnes du catalogue de données.

Octroi d'autorisations de lac de données à l'aide du AWS CLI et la LF-TBAC méthode
  • Utilisez la commande grant-permissions.

    Exemple

    L'exemple suivant accorde l' LF-Tag expression « module=* » (toutes les valeurs de la LF-Tag clémodule) à l'utilisateurdatalake_user1. Cet utilisateur aura l'CREATE_TABLEautorisation d'accéder à toutes les bases de données correspondantes, c'est-à-dire aux bases de données auxquelles la LF-Tag clé a été attribuéemodule, quelle que soit la valeur.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'
    Exemple

    L'exemple suivant accorde l' LF-Tag expression « (level=director) AND (region=west OR region=south) » à l'utilisateurdatalake_user1. Cet utilisateur aura les DROP autorisations SELECTALTER, et avec l'option d'autorisation sur les tables correspondantes, c'est-à-dire les tables auxquelles les deux level=director et (region=westouregion=south) ont été assignés.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
    Exemple

    L'exemple suivant accorde l' LF-Tag expression « module=orders » au AWS compte 1234-5678-9012. L'administrateur du lac de données de ce compte peut ensuite accorder l'expression module=orders « » aux principaux de son compte. Ces principaux auront alors l'CREATE_TABLEautorisation de faire correspondre les bases de données détenues par le compte 1111-2222-3333 et partagées avec le compte 1234-5678-9012 en utilisant soit la méthode de ressource nommée, soit la méthode. LF-TBAC

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'