Autoriser les connexions via AWS Lake Formation - Amazon Quick Suite
Activation de la connexion à partir de Lake FormationActivation de la connexion depuis Amazon Quick Suite

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les connexions via AWS Lake Formation

 S’applique à : édition Enterprise 
   Public cible : administrateurs système 

Si vous interrogez des données avec Amazon Athena, vous pouvez utiliser Amazon Quick Sight AWS Lake Formation pour simplifier la façon dont vous sécurisez et vous connectez à vos données. Lake Formation complète le modèle d'autorisations AWS Identity and Access Management (IAM) en fournissant son propre modèle d'autorisations qui est appliqué aux services d' AWS analyse et d'apprentissage automatique. Ce modèle d’autorisations défini de manière centralisée contrôle l’accès aux données à un niveau granulaire par le biais d’un mécanisme simple d’octroi et de révocation. Vous avez la possibilité d’utiliser Lake Formation à la place ou en complément de l’utilisation de politiques délimitées à IAM.

Lorsque vous configurez Lake Formation, vous enregistrez vos sources de données pour lui permettre de déplacer les données vers un nouveau lac de données dans Amazon S3. Lake Formation et Athena fonctionnent parfaitement avec AWS Glue Data Catalog, ce qui permet de les utiliser ensemble en toute simplicité. Les bases de données et les tables Athena sont des conteneurs de métadonnées. Ces conteneurs décrivent le schéma sous-jacent des données, les instructions du langage de définition des données (DDL) et l’emplacement des données dans Amazon S3.

Le schéma suivant montre les relations entre les AWS services concernés.

Une fois Lake Formation configuré, vous pouvez utiliser Amazon Quick Suite pour accéder aux bases de données et aux tables par leur nom ou par le biais de requêtes SQL. Amazon Quick Suite fournit un éditeur complet dans lequel vous pouvez écrire des requêtes SQL. Vous pouvez également utiliser la console Athena, l' AWS CLIéditeur de requêtes ou votre éditeur de requêtes préféré. Pour plus d’informations, consultez la rubrique Accès à Athena dans le Guide de l’utilisateur Amazon Athena.

Utilisez les rubriques ci-dessous pour configurer une connexion à Lake Formation via Lake Formation ou Amazon Quick Suite.

Activation de la connexion à partir de Lake Formation

Avant de commencer à utiliser cette solution avec Quick Suite, assurez-vous que vous pouvez accéder à vos données à l'aide d'Athena with Lake Formation. Après avoir vérifié que la connexion fonctionne via Athena, vous devez uniquement vérifier qu'Amazon Quick Suite peut se connecter à Athena. Cela signifie que vous n’avez pas à résoudre les problèmes de connexion entre les trois produits en même temps. Un moyen simple de tester la connexion consiste à utiliser la console de requête Athena pour exécuter une simple commande SQL, par exemple SELECT 1 FROM table.

Pour configurer Lake Formation, la personne ou l’équipe qui y travaille doit avoir accès pour créer un nouveau rôle IAM et accéder à Lake Formation. Elle a également besoin des informations affichées dans la liste ci-dessous. Pour plus d’informations, consultez la rubrique Configuration de Lake Formation dans le Guide du développeur AWS Lake Formation .

  • Collectez les noms des ressources Amazon (ARNs) des utilisateurs et des groupes de Quick Suite qui ont besoin d'accéder aux données de Lake Formation. Ces utilisateurs doivent être des auteurs ou des administrateurs d'Amazon Quick Suite.

    Pour trouver un utilisateur et un groupe Amazon Quick Suite ARNs

    1. Utilisez le AWS CLI pour rechercher un utilisateur ARNs pour les auteurs et les administrateurs d'Amazon Quick Suite. Pour ce faire, exécutez la commande list-users suivante sur votre terminal (Linux ou Mac) ou dans l’invite de commande (Windows).

      aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1

      La réponse renvoie des informations pour chaque utilisateur. Dans l’exemple ci-dessous, l’Amazon Resource Name (ARN) est indiqué en gras. 

      RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
Status: 200
UserList:
- Active: true
  Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
  Email: SaanviSarkar@example.com
  PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
  Role: ADMIN
  UserName: SaanviSarkar

      Pour éviter d'utiliser le AWS CLI, vous pouvez créer le ARNs pour chaque utilisateur manuellement.

    2. (Facultatif) Utilisez le AWS CLI ARNs pour rechercher des groupes Amazon Quick Suite en exécutant la list-group commande suivante sur votre terminal (Linux ou Mac) ou sur votre invite de commande (Windows).

      aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1

      La réponse renvoie des informations pour chaque groupe. Dans l’exemple ci-dessous, l’ARN est indiqué en gras. 

      GroupList:
- Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
  Description: Data Lake for CXO Balanced Scorecard
  GroupName: DataLake-Scorecard
  PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
RequestId: c1000198-18fa-4277-a1e2-02163288caf6
Status: 200

      Si vous n'avez aucun groupe Amazon Quick Suite, ajoutez-en un en utilisant AWS CLI pour exécuter la create-group commande. Il n'existe actuellement aucune option permettant de le faire depuis la console Amazon Quick Suite. Pour plus d'informations, consultez Création et gestion de groupes dans Amazon Quick Suite.

      Pour éviter d'utiliser le AWS CLI, vous pouvez créer le ARNs pour chaque groupe manuellement.

Activation de la connexion depuis Amazon Quick Suite

Pour travailler avec Lake Formation et Athena, assurez-vous que les autorisations relatives aux AWS ressources sont configurées dans Amazon Quick Suite :

  • Activez l’accès à Amazon Athena.

  • Activez l’accès aux compartiments appropriés dans Amazon S3. Généralement, l’accès à S3 est activé lorsque vous activez Athena. Toutefois, comme vous avez la possibilité de modifier les autorisations S3 en dehors de ce processus, il est conseillé de les vérifier séparément.

Pour plus d'informations sur la façon de vérifier ou de modifier les autorisations AWS des ressources dans Quick Suite, voir Autoriser la découverte automatique des AWS ressources et Accès aux sources de données.