

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Enregistrement d'un emplacement Amazon S3 chiffré
<a name="register-encrypted"></a>

Lake Formation s'intègre à [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) pour vous permettre de configurer plus facilement d'autres services intégrés pour chiffrer et déchiffrer les données sur les sites Amazon Simple Storage Service (Amazon S3).

Ils Clés gérées par AWS sont tous deux gérés par AWS KMS keys le client et pris en charge. Actuellement, le côté client n' encryption/decryption est pris en charge qu'avec Athena.

Vous devez spécifier un rôle Gestion des identités et des accès AWS (IAM) lorsque vous enregistrez un emplacement Amazon S3. Pour les sites Amazon S3 chiffrés, le rôle doit être autorisé à chiffrer et à déchiffrer les données avec le AWS KMS key, ou la politique de clé KMS doit accorder des autorisations sur la clé du rôle.

**Important**  
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les **demandeurs sont activés**. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.

Lake Formation utilise un rôle lié à un service pour enregistrer l'emplacement de vos données. Ce rôle présente toutefois plusieurs [limites](service-linked-role-limitations.md). En raison de ces contraintes, nous recommandons plutôt de créer et d'utiliser un rôle IAM personnalisé pour plus de flexibilité et de contrôle. Le rôle personnalisé que vous créez pour enregistrer l'emplacement doit répondre aux exigences spécifiées dans[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md).

**Important**  
Si vous avez utilisé un Clé gérée par AWS pour chiffrer l'emplacement Amazon S3, vous ne pouvez pas utiliser le rôle lié au service Lake Formation. Vous devez utiliser un rôle personnalisé et ajouter des autorisations IAM sur la clé du rôle. Les détails sont fournis plus loin dans cette section.

Les procédures suivantes expliquent comment enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client ou d'un Clé gérée par AWS.
+ [Enregistrement d'un emplacement chiffré à l'aide d'une clé gérée par le client](#proc-register-cust-cmk)
+ [Enregistrer une position cryptée avec un Clé gérée par AWS](#proc-register-aws-cmk)

**Avant de commencer**  
Passez en revue [les exigences relatives au rôle utilisé pour enregistrer l'emplacement](registration-role.md).<a name="proc-register-cust-cmk"></a>

**Pour enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client**
**Note**  
Si la clé KMS ou l'emplacement Amazon S3 ne se trouvent pas dans le même AWS compte que le catalogue de données, suivez [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md) plutôt les instructions indiquées.

1. Ouvrez la AWS KMS console à l'[https://console---aws.amazon.com.rproxy.govskope.caadresse /kms](https://console.aws.amazon.com/kms) et connectez-vous en tant qu'utilisateur administratif Gestion des identités et des accès AWS (IAM) ou en tant qu'utilisateur pouvant modifier la politique de clé KMS utilisée pour chiffrer l'emplacement.

1. Dans le volet de navigation, sélectionnez **Clés gérées par le client**, puis choisissez le nom de la clé KMS souhaitée.

1. Sur la page de détails des clés KMS, choisissez l'onglet **Politique clé**, puis effectuez l'une des opérations suivantes pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation en tant qu'utilisateur clé KMS :
   + **Si la vue par défaut s'affiche** (avec les sections **Administrateurs clés****, Suppression** des **clés, Utilisateurs clés** et **Autres AWS comptes**), dans la section **Utilisateurs clés**, ajoutez votre rôle personnalisé ou le rôle lié au service Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
   + **Si la politique clé (JSON) s'affiche**, modifiez la politique pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation `AWSServiceRoleForLakeFormationDataAccess` à l'objet « Autoriser l'utilisation de la clé », comme indiqué dans l'exemple suivant.
**Note**  
Si cet objet est manquant, ajoutez-le avec les autorisations indiquées dans l'exemple. L'exemple utilise le rôle lié à un service.

     ```
             ...
             {
                 "Sid": "Allow use of the key",
                 "Effect": "Allow",
                 "Principal": {
                     "AWS": [
                         "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
                         "arn:aws:iam::111122223333:user/keyuser"
                     ]
                 },
                 "Action": [
                     "kms:Encrypt",
                     "kms:Decrypt",
                     "kms:ReEncrypt*",
                     "kms:GenerateDataKey*",
                     "kms:DescribeKey"
                 ],
                 "Resource": "*"
             },
             ...
     ```

1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.

1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.

1. Choisissez **Register location**, puis **Browse** pour sélectionner un chemin Amazon Simple Storage Service (Amazon S3).

1. (Facultatif, mais fortement recommandé) Choisissez **Vérifier les autorisations de localisation** pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations. 

   L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.

1. Pour le **rôle IAM**, choisissez soit le rôle `AWSServiceRoleForLakeFormationDataAccess` lié au service (par défaut), soit votre rôle personnalisé qui répond aux. [Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md)

1. Choisissez **Enregistrer l'emplacement**.

Pour de plus amples informations sur le rôle lié à un service, veuillez consulter [Autorisations de rôle liées à un service pour Lake Formation](service-linked-roles.md#service-linked-role-permissions).<a name="proc-register-aws-cmk"></a>

**Pour enregistrer une position Amazon S3 chiffrée à l'aide d'un Clé gérée par AWS**
**Important**  
Si l'emplacement Amazon S3 n'est pas enregistré dans le même AWS compte que le catalogue de données, suivez [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md) plutôt les instructions indiquées dans la section.

1. Créez un rôle IAM à utiliser pour enregistrer l'emplacement. Assurez-vous qu'il répond aux exigences répertoriées dans[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md).

1. Ajoutez la politique intégrée suivante au rôle. Il accorde des autorisations sur la clé du rôle. La `Resource` spécification doit indiquer le nom de ressource Amazon (ARN) du Clé gérée par AWS. Vous pouvez obtenir l'ARN depuis la AWS KMS console. Pour obtenir le bon ARN, assurez-vous de vous connecter à la AWS KMS console avec le même AWS compte et la même région Clé gérée par AWS que ceux utilisés pour chiffrer l'emplacement.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "kms:Encrypt",
           "kms:Decrypt",
           "kms:ReEncrypt*",
           "kms:GenerateDataKey*",
           "kms:DescribeKey"
         ],
         "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
       }
     ]
   }
   ```

------

   Vous pouvez utiliser des alias de clé KMS au lieu de l'ID de clé - `arn:aws:kms:region:account-id:key/alias/your-key-alias`

   Pour plus d'informations, consultez la AWS KMS section [Alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) du Guide du AWS Key Management Service développeur.

1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.

1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.

1. Choisissez **Register location**, puis **Browse** pour sélectionner un chemin Amazon S3.

1. (Facultatif, mais fortement recommandé) Choisissez **Vérifier les autorisations de localisation** pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations. 

   L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.

1. Pour le **rôle IAM**, choisissez le rôle que vous avez créé à l'étape 1.

1. Choisissez **Enregistrer l'emplacement**.