Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Partage de données à l'aide du contrôle d'accès basé sur des balises AWS Lake Formation le contrôle d'accès basé sur des balises (LF-TBAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Les étapes suivantes expliquent comment accorder des autorisations entre comptes à l'aide de balises LF. **Configuration requise sur le producer/grantor compte** 1. Ajoutez des balises LF. 1. Connectez-vous à la console Lake Formation en tant qu'administrateur de data lake ou créateur de balises LF. 1. Dans la barre de navigation de gauche, choisissez **Permissions et **LF-Tags et** autorisations**. 1. Choisissez **Ajouter un tag LF**. Pour obtenir des instructions détaillées sur la création de balises LF, consultez. [Création de balises LF](TBAC-creating-tags.md) 1. Accorder ** and/or Describe** **Associate** des autorisations **LF-tag pour les paires clé-valeur** aux principaux IAM de votre compte ou de comptes externes. L'octroi d'autorisations sur les paires **clé-valeur des balises LF** permet aux principaux de visualiser les balises LF et de les attribuer aux ressources du catalogue de données (bases de données, tables et colonnes). 1. Ensuite, l'administrateur du lac de données ou un responsable IAM disposant de l'autorisation **Associate** peut attribuer le tag LF aux bases de données, aux tables ou aux colonnes. Pour de plus amples informations, veuillez consulter [Affectation de balises LF aux ressources du catalogue de données](TBAC-assigning-tags.md). 1. Accordez ensuite l'autorisation d'accès aux données à des comptes externes à l'aide d'expressions LF-Tag. Cela permet au bénéficiaire ou au destinataire des autorisations d'accéder aux ressources du catalogue de données qui sont étiquetées avec les mêmes clés et valeurs. 1. Dans le volet de navigation, sélectionnez **Autorisations** et **autorisations de données**. 1. Choisissez **Accorder**. 1. Sur la page **Autorisations d'octroi**, pour **les principaux**, choisissez **External accounts** et entrez l' Compte AWS ID du bénéficiaire ou le rôle IAM du principal ou le nom de ressource Amazon (ARN) du principal (ARN principal) si vous accordez une subvention directe entre comptes à un principal externe. Vous devez appuyer sur **Entrée** après avoir saisi l'identifiant du compte. ![\[L'écran d'autorisation d'octroi avec un compte externe et des paires clé-valeur LF-Tag spécifiées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/cross-acct-grant-tags.png) 1. Pour les **balises LF ou les ressources du catalogue**, choisissez **Resources matching by LF-Tags** (recommandé). 1. **Choisissez l'option **Paires clé-valeur LF-Tag ou Expressions** LF-Tag enregistrées.** 1. **Si vous choisissez des **paires clé-valeur LF-Tag**, entrez la clé et la ou les valeurs** du **LF-Tag** associées à la ressource du catalogue de données partagée avec le compte du bénéficiaire. Le bénéficiaire reçoit des autorisations sur les ressources du catalogue de données auxquelles une balise LF correspondante a été attribuée dans l'expression LF-Tag. Si l'expression LF-Tag spécifie plusieurs valeurs par clé de balise, n'importe laquelle des valeurs de balise peut correspondre. 1. Choisissez les autorisations au niveau de la base de données ou au niveau de la table à accorder aux ressources qui correspondent à l'expression LF-Tag. **Important** Étant donné que l'administrateur du lac de données doit accorder des autorisations sur les ressources partagées aux principaux du compte bénéficiaire, vous devez toujours accorder des autorisations entre comptes avec l'option d'octroi. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations LF-Tag à l'aide de la console](TBAC-granting-tags-console.md). **Note** Les directeurs qui reçoivent des subventions directes entre comptes n'auront pas l'option Autorisations **accordables**. **Configuration requise sur le receiving/grantee compte** 1. Connectez-vous à la console Lake Formation en tant qu'administrateur du lac de données du compte client. 1. Ensuite, recevez le partage des ressources sur le compte du consommateur. 1. Ouvrez la AWS RAM console. 1. Dans le volet de navigation, sous **Partagé avec moi**, choisissez **Resource shares**. 1. Sélectionnez les partages de ressources, choisissez **Accepter le partage de ressources**. 1. Lorsque vous partagez une ressource avec un autre compte, elle appartient toujours au compte du producteur et n'est pas visible dans la console Athena. Pour que la ressource soit visible dans la console Athena, vous devez créer un lien de ressource pointant vers la ressource partagée. Pour obtenir des instructions sur la création d'un lien vers une ressource, consultez [Création d'un lien de ressource vers une table de catalogue de données partagée](create-resource-link-table.md) et [Création d'un lien de ressource vers une base de données de catalogue de données partagée](create-resource-link-database.md) 1. Choisissez **Bases de données** ou **tables** dans le catalogue de données. 1. Sur la Databases/Tables page, choisissez **Create**, **Resource link**. 1. Entrez les informations suivantes pour un lien vers une ressource de base de données : + **Nom du lien vers la ressource** : nom unique pour le lien vers la ressource. + **Catalogue de destination** : catalogue dans lequel vous créez le lien vers la ressource. + **Région de base de données partagée** : région de la base de données partagée avec vous si vous créez le lien de ressource dans une autre région. + **Base de données partagée** — Choisissez la base de données partagée. + **ID de catalogue de la base de données partagée** : entrez l'ID de catalogue de la base de données partagée. 1. Choisissez **Créer**. Vous pouvez voir le lien de ressource nouvellement créé dans la liste des bases de données. De même, vous pouvez créer un lien de ressource vers une table partagée. 1. Accordez maintenant l'autorisation **Describe** sur le lien de la ressource aux principaux IAM avec lesquels vous partagez la ressource. 1. **Sur la page **Bases de données/tables**, sélectionnez le lien vers la ressource, puis dans le menu **Actions**, choisissez Grant.** 1. Dans la section **Accorder des autorisations**, sélectionnez **les utilisateurs et les rôles IAM**. 1. Choisissez le rôle IAM auquel vous souhaitez accorder l'accès au lien de ressource. 1. Dans la section Autorisations relatives aux **liens vers les ressources**, sélectionnez **Décrire**. 1. Choisissez **Accorder**. 1. Ensuite, accordez des **autorisations relatives à la valeur clé-tag LF-Tag** aux principaux du compte client. Vous devriez pouvoir trouver les balises LF partagées avec vous dans le compte client de la console Lake Formation, sous **Autorisations, balises **LF** et autorisations**. Vous pouvez associer des balises partagées par le donateur aux ressources partagées depuis le compte du donateur, notamment les bases de données, les tables et les colonnes. Vous pouvez également accorder des autorisations sur les ressources à d'autres principaux. ![\[L'écran affiche les autorisations relatives aux balises LF dans le compte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/lf-tag-permissions.png) 1. Dans le volet de navigation, sous **Autorisations, Autorisations** **relatives aux données**, choisissez **Grant**. 1. Sur la page **Accorder des autorisations**, sélectionnez **Utilisateurs et rôles IAM**. 1. Choisissez ensuite les utilisateurs et les rôles IAM de votre compte pour accorder l'accès aux bases de données/tables partagées. 1. Ensuite, pour les **balises LF ou les ressources du catalogue, choisissez Resources** matching **by LF-Tags**. 1. Ensuite, choisissez la clé et les valeurs du tag LF qui est partagé avec vous. 1. Choisissez ensuite les autorisations de base de données et de table que vous souhaitez accorder aux utilisateurs et aux rôles IAM. Vous pouvez également choisir des **autorisations accordables** qui permettent aux utilisateurs et aux rôles IAM d'accorder des autorisations à d'autres utilisateurs/rôles. 1. Choisissez **Accorder**. 1. Vous pouvez consulter les autorisations accordées sous **Autorisations relatives aux données** sur la console Lake Formation.