Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Partage de données entre comptes dans Lake Formation
<a name="cross-account-permissions"></a>

Les fonctionnalités multi-comptes de Lake Formation permettent aux utilisateurs de partager en toute sécurité des lacs de données distribués entre plusieurs AWS organisations ou directement avec les responsables IAM d'un autre compte Comptes AWS, offrant ainsi un accès détaillé aux métadonnées du catalogue de données et aux données sous-jacentes. Les grandes entreprises en utilisent généralement plusieurs Comptes AWS, et bon nombre de ces comptes peuvent avoir besoin d'accéder à un lac de données géré par un seul Compte AWS. Les utilisateurs et les tâches AWS Glue d'extraction, de transformation et de chargement (ETL) peuvent interroger et joindre des tables sur plusieurs comptes tout en bénéficiant de la protection des données au niveau des tables et des colonnes de Lake Formation.

Lorsque vous accordez des autorisations sur une ressource du catalogue de données à un compte externe ou directement à un responsable IAM d'un autre compte, Lake Formation utilise le service AWS Resource Access Manager (AWS RAM) pour partager la ressource. Si le compte du bénéficiaire appartient à la même organisation que le compte du concédant, la ressource partagée est immédiatement accessible au bénéficiaire. Si le compte du bénéficiaire n'appartient pas à la même organisation, AWS RAM envoie une invitation au compte du bénéficiaire pour qu'il accepte ou rejette la subvention de ressources. Ensuite, pour rendre la ressource partagée disponible, l'administrateur du lac de données du compte bénéficiaire doit utiliser la AWS RAM console ou AWS CLI accepter l'invitation. 

 Lake Formation prend en charge le partage des ressources du catalogue de données avec des comptes externes en mode d'accès hybride. Le mode d'accès hybride offre la flexibilité d'activer de manière sélective les autorisations de Lake Formation pour les bases de données et les tables de votre AWS Glue Data Catalog.
 Avec le mode d'accès hybride, vous disposez désormais d'un chemin incrémentiel qui vous permet de définir les autorisations de Lake Formation pour un ensemble spécifique d'utilisateurs sans interrompre les politiques d'autorisation des autres utilisateurs ou charges de travail existants.

Pour de plus amples informations, veuillez consulter [Mode d'accès hybride](hybrid-access-mode.md). 

**Partage direct entre comptes**  
Les principaux autorisés peuvent partager des ressources de manière explicite avec un directeur IAM sur un compte externe. Cette fonctionnalité est utile lorsqu'un propriétaire de compte souhaite contrôler les utilisateurs du compte externe qui peuvent accéder aux ressources. Les autorisations que recevra le directeur de l'IAM seront une combinaison de subventions directes et de subventions au niveau du compte, qui seront répercutées en cascade sur les principaux. Seul le bénéficiaire de l'autorisation peut consulter les autorisations directes entre comptes. Le principal qui reçoit la part de ressources ne peut pas partager la ressource avec d'autres principaux.

**Méthodes de partage des ressources du catalogue de données**  
Avec une seule opération de subvention Lake Formation, vous pouvez accorder des autorisations entre comptes sur les ressources du catalogue de données suivantes. 
+ Une base de données
+ Un tableau individuel (avec filtrage des colonnes optionnel)
+ Quelques tables sélectionnées
+ Toutes les tables d'une base de données (en utilisant le caractère générique Toutes les tables)

Il existe deux options pour partager vos bases de données et vos tables avec un autre compte Compte AWS ou avec les principaux IAM d'un autre compte.
+ Contrôle d'accès basé sur des balises Lake Formation (LF-TBAC) (recommandé)

  Le contrôle d'accès basé sur les balises de Lake Formation est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Vous pouvez utiliser le contrôle d'accès basé sur des balises pour partager les ressources du catalogue de données (bases de données, tables et colonnes) avec des responsables, des Comptes AWS organisations et des unités organisationnelles IAM externes (). OUs Dans Lake Formation, ces attributs sont appelés balises LF. Pour plus d'informations, voir [Gestion d'un lac de données à l'aide du contrôle d'accès basé sur les balises Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/managing-dl-tutorial.html).
**Note**  
La méthode LF-TBAC d'octroi des autorisations de catalogue de données est utilisée AWS Resource Access Manager pour les autorisations entre comptes.  
Lake Formation prend désormais en charge l'octroi d'autorisations entre comptes aux Organisations et aux unités organisationnelles à l'aide de la méthode LF-TBAC.  
Pour activer cette fonctionnalité, vous devez mettre à jour les **paramètres de version des comptes Cross** vers **la version 3** ou supérieure.  
Pour de plus amples informations, veuillez consulter [Mise à jour des paramètres de version de partage de données entre comptes](optimize-ram.md).
+ Ressources nommées Lake Formation

  La méthode de partage de données entre comptes Lake Formation à l'aide de ressources nommées vous permet d'accorder des autorisations Lake Formation avec une option d'octroi sur les tables et les bases de données du catalogue de données à des responsables externes Comptes AWS, à des organisations ou à des unités organisationnelles IAM. L'opération de subvention partage automatiquement ces ressources.

**Note**  
Vous pouvez également autoriser le AWS Glue robot d'exploration à accéder à un magasin de données dans un autre compte à l'aide des informations d'identification de Lake Formation. Pour plus d'informations, consultez la [section Exploration entre comptes dans le Guide](https://docs.aws.amazon.com/glue/latest/dg/crawler-configuration.html#cross-account-crawling) du AWS Glue développeur.

Les services intégrés tels qu'Athena et Amazon Redshift Spectrum nécessitent des liens de ressources pour pouvoir inclure des ressources partagées dans les requêtes. Pour plus d'informations sur les liens vers des ressources, consultez[Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).

Pour les considérations et les limites, voir[Meilleures pratiques et considérations relatives au partage de données entre comptes](cross-account-notes.md).

**Topics**
+ [Conditions préalables](cross-account-prereqs.md)
+ [Mise à jour des paramètres de version de partage de données entre comptes](optimize-ram.md)
+ [Partage de tables et de bases de données du catalogue de données entre des comptes externes Comptes AWS ou avec des entités IAM](cross-account-data-share-steps.md)
+ [Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)
+ [Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md)
+ [Accès aux données sous-jacentes d'une table partagée](cross-account-read-data.md)
+ [Journalisation entre comptes CloudTrail](cross-account-logging.md)
+ [Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation](hybrid-cross-account.md)
+ [Afficher toutes les subventions entre comptes à l'aide de l'opération GetResourceShares API](cross-account-getresourcepolicies.md)

**Rubriques en relation**  
[Vue d'ensemble des autorisations relatives à Lake Formation](lf-permissions-overview.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
[Création de liens vers des ressources](creating-resource-links.md)
[Résolution des problèmes d'accès entre comptes](troubleshooting.md#trouble-cross-account)

# Conditions préalables
<a name="cross-account-prereqs"></a>

Avant que votre AWS compte puisse partager les ressources du catalogue de données (catalogues, bases de données et tables) avec un autre compte ou des principaux d'un autre compte, et avant de pouvoir accéder aux ressources partagées avec votre compte, les conditions préalables suivantes doivent être remplies.

**Exigences générales en matière de partage de données entre comptes**
+ Pour partager des bases de données et des tables du catalogue de données en mode d'accès hybride et partager des objets dans les catalogues fédérés, vous devez mettre à jour les **paramètres de version entre comptes** vers la **version** 4.
+ Avant d'accorder des autorisations entre comptes sur une ressource de catalogue de données, vous devez révoquer toutes les autorisations de Lake Formation accordées au `IAMAllowedPrincipals` groupe pour cette ressource. Si le principal appelant dispose d'autorisations intercomptes pour accéder à une ressource et que `IAMAllowedPrincipals` cette autorisation existe sur la ressource, Lake Formation lance la requête`AccessDeniedException`. 

  Cette exigence s'applique uniquement lorsque vous enregistrez l'emplacement des données sous-jacentes en mode Lake Formation. Si vous enregistrez l'emplacement des données en mode hybride, les autorisations de `IAMAllowedPrincipals` groupe peuvent exister sur la base de données ou la table partagée. 
+  Pour les bases de données contenant des tables que vous avez l'intention de partager, vous devez empêcher que les nouvelles tables soient associées par défaut `Super` à`IAMAllowedPrincipals`. Sur la console Lake Formation, modifiez la base de données et désactivez **Utiliser uniquement le contrôle d'accès IAM pour les nouvelles tables de cette base de données ou entrez la AWS CLI commande suivante en** la `database` remplaçant par le nom de la base de données. Si l'emplacement des données sous-jacent est enregistré en mode d'accès hybride, il n'est pas nécessaire de modifier ce paramètre par défaut. En mode d'accès hybride, Lake Formation vous permet d'appliquer de manière sélective les autorisations Lake Formation et les politiques d'autorisations IAM pour Amazon S3 et AWS Glue sur la même ressource.

  ```
  aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  ```
+ Pour accorder des autorisations entre comptes, le concédant doit disposer des autorisations Gestion des identités et des accès AWS (IAM) requises sur et sur le AWS Glue service. AWS RAM La politique AWS gérée `AWSLakeFormationCrossAccountManager` accorde les autorisations requises.

  Les administrateurs de lacs de données des comptes recevant des partages de ressources en utilisant AWS RAM doivent appliquer la politique supplémentaire suivante. Il permet à l'administrateur d'accepter AWS RAM des invitations de partage de ressources. Cela permet également à l'administrateur d'activer le partage des ressources avec les organisations.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Si vous souhaitez partager des ressources du catalogue de données avec AWS Organizations ou des unités organisationnelles, le partage avec les organisations doit être activé dans AWS RAM.

  Pour plus d'informations sur la manière d'activer le partage avec les organisations, voir [Activer le partage avec AWS les organisations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) dans le *Guide de AWS RAM l'utilisateur*.

  Vous devez être `ram:EnableSharingWithAwsOrganization` autorisé à activer le partage avec les organisations.
+ Pour partager des ressources directement avec le principal IAM d'un autre compte, vous devez mettre à jour les **paramètres de version entre comptes** vers la **version 3**. Ce paramètre est disponible sur la page des **paramètres du catalogue de données**. Si vous utilisez **la version 1**, consultez les instructions pour mettre à jour le paramètre[Mise à jour des paramètres de version de partage de données entre comptes](optimize-ram.md).
+ Vous ne pouvez pas partager les ressources du catalogue de données chiffrées avec une clé gérée par le AWS Glue service avec un autre compte. Vous ne pouvez partager que les ressources du catalogue de données chiffrées avec la clé de chiffrement du client, et le compte recevant le partage des ressources doit disposer des autorisations sur la clé de chiffrement du catalogue de données pour déchiffrer les objets.

**Partage de données entre comptes selon les exigences du LF-TBAC**
+  Pour partager les ressources du catalogue de données avec AWS Organizations des unités organisationnelles (OUs), vous devez mettre à jour les **paramètres de version entre comptes** vers **la version 3** ou supérieure. 
+ Pour partager les ressources du catalogue de données avec la version 3 des **paramètres de version entre comptes**, le concédant doit disposer des autorisations IAM définies dans la politique AWS `AWSLakeFormationCrossAccountManager` gérée de votre compte.
+ Si vous utilisez la version 1 ou la version 2 des **paramètres de version entre comptes**, vous devez disposer d'une politique de ressources du catalogue de données (`glue:PutResourcePolicy`) qui active le LF-TBAC. Pour de plus amples informations, veuillez consulter [Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation](hybrid-cross-account.md).
+ Si vous utilisez actuellement une politique de ressources du catalogue de AWS Glue données pour partager des ressources et que vous souhaitez accorder des autorisations entre comptes à l'aide de la version 3 des **paramètres de version entre comptes**, vous devez ajouter l'`glue:ShareResource`autorisation dans les paramètres du catalogue de données à l'aide de l'opération d'`glue:PutResourcePolicy`API, comme indiqué dans la [Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation](hybrid-cross-account.md) section. Cette politique n'est pas requise si votre compte n'a accordé aucune autorisation entre comptes en utilisant la politique de ressources du catalogue de AWS Glue données (`glue:PutResourcePolicy`autorisation d'utilisation des versions 1 et 2) pour accorder un accès entre comptes. 

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ Si votre compte a effectué des partages entre comptes en utilisant la politique de ressources du catalogue de AWS Glue données et que vous utilisez actuellement la méthode des ressources nommées ou le LF-TBAC avec la version 3 des **paramètres entre comptes** pour partager des ressources, qui utilise AWS RAM pour partager des ressources, vous devez définir l'`EnableHybrid`argument sur `'true'` lorsque vous appelez l'opération d'API. `glue:PutResourcePolicy` Pour de plus amples informations, veuillez consulter [Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation](hybrid-cross-account.md).

**Configuration requise pour chaque compte accédant à la ressource partagée**
+ Si vous partagez des ressources avec Comptes AWS, au moins un utilisateur du compte client doit être un administrateur de data lake pour consulter les ressources partagées. Pour plus d'informations sur la création d'un administrateur de lac de données, consultez[Création d'un administrateur de lac de données](initial-lf-config.md#create-data-lake-admin).

  L'administrateur du lac de données peut accorder des autorisations de Lake Formation sur les ressources partagées aux autres principaux du compte. Les autres principaux ne peuvent pas accéder aux ressources partagées tant que l'administrateur du lac de données ne leur a pas accordé d'autorisations sur les ressources.
+ Les services intégrés tels qu'Athena et Redshift Spectrum nécessitent des liens de ressources pour pouvoir inclure des ressources partagées dans les requêtes. Les directeurs doivent créer un lien de ressource dans leur catalogue de données vers une ressource partagée par une autre Compte AWS personne. Pour plus d'informations sur les liens vers des ressources, consultez[Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
+ Lorsqu'une ressource est partagée directement avec un principal IAM, pour interroger la table à l'aide d'Athena, le principal doit créer un lien vers une ressource. Pour créer un lien vers une ressource, le directeur a besoin de la Lake Formation `CREATE_TABLE` `glue:CreateTable` ou `CREATE_DATABASE` de l'autorisation `glue:CreateDatabase` IAM.

  Si le compte producteur partage une table différente dans la même base de données avec le même principal ou un autre principal, ce principal peut immédiatement interroger la table.

**Note**  
Pour l'administrateur du lac de données et pour les principaux auxquels l'administrateur du lac de données a accordé des autorisations, les ressources partagées apparaissent dans le catalogue de données comme s'il s'agissait de ressources locales (détenues). Les tâches d'extraction, de transformation et de chargement (ETL) peuvent accéder aux données sous-jacentes des ressources partagées.  
Pour les ressources partagées, les pages **Tables** et **Bases** de données de la console Lake Formation affichent l'ID de compte du propriétaire.  
Lorsque les données sous-jacentes d'une ressource partagée sont accessibles, les événements du CloudTrail journal sont générés à la fois dans le compte du destinataire de la ressource partagée et dans le compte du propriétaire de la ressource. Les CloudTrail événements peuvent contenir l'ARN du principal qui a accédé aux données, mais uniquement si le compte du destinataire choisit d'inclure l'ARN principal dans les journaux. Pour de plus amples informations, veuillez consulter [Journalisation entre comptes CloudTrail](cross-account-logging.md).

# Mise à jour des paramètres de version de partage de données entre comptes
<a name="optimize-ram"></a>

 Met à AWS Lake Formation jour de temps à autre les paramètres de partage de données entre comptes afin de distinguer les modifications apportées à l' AWS RAM utilisation et de prendre en charge les mises à jour apportées à la fonctionnalité de partage de données entre comptes. Lorsque Lake Formation effectue cette opération, il crée une nouvelle version des **paramètres de version du compte Cross**. 

## Principales différences entre les paramètres des versions multi-comptes
<a name="cross-account-version-diff"></a>

Pour plus d'informations sur le fonctionnement du partage de données entre comptes selon les différents **paramètres de version entre comptes**, consultez les sections suivantes.

**Note**  
Pour partager des données avec un autre compte, le donateur doit avoir `AWSLakeFormationCrossAccountManager` géré les autorisations liées à la politique IAM. Il s'agit d'une condition préalable pour toutes les versions.  
La mise à jour des **paramètres de version de plusieurs comptes** n'a aucune incidence sur les autorisations dont dispose le destinataire sur les ressources partagées. Cela s'applique lors de la mise à jour de la version 1 vers la version 2, de la version 2 vers la version 3 et de la version 1 vers la version 3. Consultez les considérations répertoriées ci-dessous lors de la mise à jour des versions. 

**Version 1**  
*Méthode de ressource nommée :* mappe chaque autorisation de Lake Formation accordée entre comptes à un partage de AWS RAM ressources. L'utilisateur (rôle du concédant ou principal) n'a pas besoin d'autorisations supplémentaires.  
*Méthode LF-TBAC : les autorisations accordées entre* comptes sur la Lake Formation ne sont pas AWS RAM utilisées pour partager des données. L'utilisateur doit disposer d'une `glue:PutResourcePolicy` autorisation.  
*Avantages de la mise à jour des versions :* Version initiale, non applicable.  
*Considérations relatives à la mise à jour des versions :* Version initiale - non applicable

**Version 2**  
*Méthode des ressources nommées :* optimise le nombre de partages de AWS RAM ressources en mappant plusieurs autorisations accordées entre comptes avec un seul partage de AWS RAM ressources. L'utilisateur n'a pas besoin d'autorisations supplémentaires.  
*Méthode LF-TBAC : les autorisations accordées entre* comptes sur la Lake Formation ne sont pas AWS RAM utilisées pour partager des données. L'utilisateur doit disposer d'une `glue:PutResourcePolicy` autorisation.  
*Avantages de la mise à jour des versions :* configuration multi-comptes évolutive grâce à une utilisation optimale de la AWS RAM capacité.  
*Considérations à prendre en compte lors de la mise à jour des versions :* les utilisateurs qui souhaitent accorder des autorisations multi-comptes à Lake Formation doivent disposer des autorisations définies dans la politique `AWSLakeFormationCrossAccountManager` AWS gérée. Dans le cas contraire, vous devez disposer `ram:AssociateResourceShare` des `ram:DisassociateResourceShare` autorisations nécessaires pour partager correctement des ressources avec un autre compte.

**Version 3**  
*Méthode des ressources nommées :* optimise le nombre de partages de AWS RAM ressources en mappant plusieurs autorisations accordées entre comptes avec un seul partage de AWS RAM ressources. L'utilisateur n'a pas besoin d'autorisations supplémentaires.  
*Méthode LF-TBAC : Lake Formation* utilise AWS RAM pour les subventions entre comptes. L'utilisateur doit ajouter l'ShareResource instruction glue : à l'`glue:PutResourcePolicy`autorisation. Le destinataire doit accepter les invitations à partager des ressources provenant de AWS RAM.  
*Avantages de la mise à jour des versions :* prend en charge les fonctionnalités suivantes :  
+ Permet de partager des ressources de manière explicite avec un directeur IAM dans un compte externe.

  Pour de plus amples informations, veuillez consulter [Octroi d'autorisations sur les ressources du catalogue de données](granting-catalog-permissions.md).
+ Permet les partages entre comptes à l'aide de la méthode LF-TBAC pour les Organisations ou les unités organisationnelles (). OUs
+ Supprime les frais liés à la gestion de AWS Glue politiques supplémentaires pour les subventions entre comptes.
*Considérations relatives à la mise à jour des versions :* Lorsque vous utilisez la méthode LF-TBAC pour partager des ressources, si le concédant utilise une version inférieure à la version 3 et que le destinataire utilise la version 3 ou supérieure, le concédant reçoit le message d'erreur suivant : « Demande de subvention entre comptes non valide. Le compte client a opté pour la version multi-comptes : v3. Veuillez passer `CrossAccountVersion` `DataLakeSetting` à la version minimale v3 (Service : AmazonDataCatalog ; Code d'état : 400 ; Code d'erreur : InvalidInputException) ». Toutefois, si le concédant utilise la version 3 et que le destinataire utilise la version 1 ou la version 2, les subventions entre comptes utilisant des balises LF sont traitées avec succès.  
Les subventions entre comptes accordées à l'aide de la méthode des ressources nommées sont compatibles entre les différentes versions. Même si le compte du concédant utilise une ancienne version (version 1 ou 2) et que le compte du bénéficiaire utilise une version plus récente (version 3 ou supérieure), la fonctionnalité d'accès entre comptes fonctionne parfaitement sans aucun problème de compatibilité ni erreur.  
Pour partager des ressources directement avec les responsables IAM sur un autre compte, seul le donateur doit utiliser la version 3.  
Les subventions entre comptes accordées à l'aide de la méthode LF-TBAC nécessitent que les utilisateurs disposent d'une politique de AWS Glue Data Catalog ressources dans le compte. Lorsque vous passez à la version 3, le LF-TBAC autorise des utilisations. AWS RAM Pour que les subventions AWS RAM basées sur plusieurs comptes soient couronnées de succès, vous devez ajouter la `glue:ShareResource` déclaration à vos politiques de ressources de catalogue de données existantes, comme indiqué dans la [Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation](hybrid-cross-account.md) section. 

**Version 4**  
Le concédant a besoin de la version 4 ou supérieure pour partager les ressources du catalogue de données en mode d'accès hybride ou pour partager des objets dans un catalogue fédéré.

**Version 5**  
La version 5 entre comptes améliore le partage des ressources entre comptes en vous permettant de partager un nombre illimité de tables avec un autre compte, éliminant ainsi les limites d'association de ressources par type de ressource. Pour commencer, passez à la version 5 multi-comptes via la console ou l'API Lake Formation. Toute nouvelle autorisation accordée entre comptes utilisera automatiquement des modèles génériques dans le partage des ressources au lieu d'associations de ressources individuelles. Toutes les actions entre comptes existantes continuent de fonctionner, et toutes les Lake Formation existantes APIs restent compatibles.  
*Avantages de la mise à jour des versions :* Cross-account v5 améliore le partage entre comptes, vous permettant de partager des centaines de milliers de tables entre comptes.  
*Considérations relatives à la mise à jour des versions : les* nouvelles autorisations après la mise à niveau de la version 5 ajouteront des modèles de ressources génériques aux partages de ressources AWS Resource Manager existants ou créeront de nouveaux partages avec des modèles génériques. Une fois la mise à niveau vers la version 5, la rétrogradation n'est pas prise en charge.

## Optimisez le partage AWS RAM des ressources
<a name="optimize-version"></a>

Les nouvelles versions (version 2 et supérieures) des subventions entre comptes utilisent de manière optimale la AWS RAM capacité afin de maximiser l'utilisation entre comptes. Lorsque vous partagez une ressource avec un responsable externe Compte AWS ou un directeur IAM, Lake Formation peut créer un nouveau partage de ressources ou associer la ressource à un partage existant. En s'associant à des actions existantes, Lake Formation réduit le nombre d'invitations à partager des ressources qu'un consommateur doit accepter. La version 5 optimise encore l'utilisation de la RAM en utilisant des modèles de ressources basés sur des caractères génériques au lieu d'associations de ressources individuelles, réduisant ainsi considérablement les associations de ressources par partage de ressources.

## Activez AWS RAM les partages via TBAC ou partagez les ressources directement avec les principaux
<a name="ram-tbac-direct-iam-version"></a>

Pour partager des ressources directement avec les responsables IAM d'un autre compte ou pour activer les partages entre comptes TBAC vers des Organisations ou des unités organisationnelles, vous devez mettre à jour les **paramètres de version entre comptes vers la version 3**. Pour plus d'informations sur les limites de AWS RAM ressources, consultez[Meilleures pratiques et considérations relatives au partage de données entre comptes](cross-account-notes.md).

### Autorisations requises pour mettre à jour les paramètres des versions entre comptes
<a name="req-permissions-version-update"></a>

 Si un fournisseur d'autorisations entre comptes a `AWSLakeFormationCrossAccountManager` géré les autorisations de politique IAM, aucune configuration d'autorisation supplémentaire n'est requise pour le rôle ou le principal du concédant d'autorisations entre comptes. Toutefois, si le concédant entre comptes n'utilise pas la politique gérée, le rôle ou le principal du concédant doit disposer des autorisations IAM suivantes accordées pour que la nouvelle version de la subvention entre comptes soit couronnée de succès.

------
#### [ JSON ]

****  

```
  
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor1",
      "Effect": "Allow",
      "Action": [
         "ram:AssociateResourceShare",
         "ram:DisassociateResourceShare",
         "ram:GetResourceShares"
       ],
     "Resource": "*",
     "Condition": {
       "StringLike": {
         "ram:ResourceShareName": "LakeFormation*"
        }
      }
    }
  ]
}
```

------

## Pour activer la nouvelle version
<a name="version-update-steps"></a>

Procédez comme suit pour mettre à **jour les paramètres de version de plusieurs comptes** via la AWS Lake Formation console ou le AWS CLI.

------
#### [ Console ]

1. Choisissez **la version 2**, **la version 3**, **la version 4** ou **la version 5** dans les **paramètres de version multi-comptes** sur la page des **paramètres du catalogue de données**. Si vous sélectionnez **la version 1**, Lake Formation utilisera le mode de partage des ressources par défaut.   
![\[L'écran affiche les autorisations pour tous les LF-Tags du compte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/cross-account-version-setting.png)

1. Choisissez **Enregistrer**.

------
#### [ AWS Command Line Interface (AWS CLI) ]

Utilisez la `put-data-lake-settings` AWS CLI commande pour définir le `CROSS_ACCOUNT_VERSION` paramètre. Les valeurs acceptées sont 1, 2, 3, 4 et 5.

```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
    "DataLakeAdmins": [
        {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/test"
        }
    ],
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "Parameters": {
        "CROSS_ACCOUNT_VERSION": "3"
    }
}
```

------

**Important**  
Une fois que vous aurez choisi **la version 2** **ou la version 3**, toutes les nouvelles subventions de **ressources nommées** passeront par le nouveau mode d'attribution entre comptes. Pour utiliser de manière optimale la AWS RAM capacité de vos partages entre comptes existants, nous vous recommandons de révoquer les autorisations accordées avec l'ancienne version et de les réattribuer dans le nouveau mode.

# Partage de tables et de bases de données du catalogue de données entre des comptes externes Comptes AWS ou avec des entités IAM
<a name="cross-account-data-share-steps"></a>

Cette section contient des instructions sur la manière d'accorder des autorisations entre comptes sur les ressources du catalogue de données à un AWS compte externe, à un responsable IAM, à une AWS organisation ou à une unité organisationnelle. L'opération de subvention partage automatiquement ces ressources. 

**Topics**
+ [Partage de données à l'aide du contrôle d'accès basé sur des balises](cross-account-TBAC.md)
+ [Partage de données entre comptes à l'aide de la méthode des ressources nommées](cross-account-named-resource.md)

# Partage de données à l'aide du contrôle d'accès basé sur des balises
<a name="cross-account-TBAC"></a>

AWS Lake Formation le contrôle d'accès basé sur des balises (LF-TBAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Les étapes suivantes expliquent comment accorder des autorisations entre comptes à l'aide de balises LF. 

**Configuration requise sur le producer/grantor compte**

1. Ajoutez des balises LF.

   1. Connectez-vous à la console Lake Formation en tant qu'administrateur de data lake ou créateur de balises LF.

   1. Dans la barre de navigation de gauche, choisissez **Permissions et **LF-Tags et** autorisations**.

   1. Choisissez **Ajouter un tag LF**.

      Pour obtenir des instructions détaillées sur la création de balises LF, consultez. [Création de balises LF](TBAC-creating-tags.md)

1. Accorder ** and/or Describe** **Associate** des autorisations **LF-tag pour les paires clé-valeur** aux principaux IAM de votre compte ou de comptes externes.

   L'octroi d'autorisations sur les paires **clé-valeur des balises LF** permet aux principaux de visualiser les balises LF et de les attribuer aux ressources du catalogue de données (bases de données, tables et colonnes).

1. Ensuite, l'administrateur du lac de données ou un responsable IAM disposant de l'autorisation **Associate** peut attribuer le tag LF aux bases de données, aux tables ou aux colonnes. Pour de plus amples informations, veuillez consulter [Affectation de balises LF aux ressources du catalogue de données](TBAC-assigning-tags.md).

1. Accordez ensuite l'autorisation d'accès aux données à des comptes externes à l'aide d'expressions LF-Tag. Cela permet au bénéficiaire ou au destinataire des autorisations d'accéder aux ressources du catalogue de données qui sont étiquetées avec les mêmes clés et valeurs.

   1. Dans le volet de navigation, sélectionnez **Autorisations** et **autorisations de données**.

   1. Choisissez **Accorder**.

   1. Sur la page **Autorisations d'octroi**, pour **les principaux**, choisissez **External accounts** et entrez l' Compte AWS ID du bénéficiaire ou le rôle IAM du principal ou le nom de ressource Amazon (ARN) du principal (ARN principal) si vous accordez une subvention directe entre comptes à un principal externe. Vous devez appuyer sur **Entrée** après avoir saisi l'identifiant du compte.  
![\[L'écran d'autorisation d'octroi avec un compte externe et des paires clé-valeur LF-Tag spécifiées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/cross-acct-grant-tags.png)

   1. Pour les **balises LF ou les ressources du catalogue**, choisissez **Resources matching by LF-Tags** (recommandé). 

      1. **Choisissez l'option **Paires clé-valeur LF-Tag ou Expressions** LF-Tag enregistrées.**

      1. **Si vous choisissez des **paires clé-valeur LF-Tag**, entrez la clé et la ou les valeurs** du **LF-Tag** associées à la ressource du catalogue de données partagée avec le compte du bénéficiaire. 

         Le bénéficiaire reçoit des autorisations sur les ressources du catalogue de données auxquelles une balise LF correspondante a été attribuée dans l'expression LF-Tag. Si l'expression LF-Tag spécifie plusieurs valeurs par clé de balise, n'importe laquelle des valeurs de balise peut correspondre. 

   1. Choisissez les autorisations au niveau de la base de données ou au niveau de la table à accorder aux ressources qui correspondent à l'expression LF-Tag.
**Important**  
Étant donné que l'administrateur du lac de données doit accorder des autorisations sur les ressources partagées aux principaux du compte bénéficiaire, vous devez toujours accorder des autorisations entre comptes avec l'option d'octroi. 

      Pour de plus amples informations, veuillez consulter [Octroi d'autorisations LF-Tag à l'aide de la console](TBAC-granting-tags-console.md).
**Note**  
Les directeurs qui reçoivent des subventions directes entre comptes n'auront pas l'option Autorisations **accordables**.

**Configuration requise sur le receiving/grantee compte**

1. Connectez-vous à la console Lake Formation en tant qu'administrateur du lac de données du compte client.

1.  Ensuite, recevez le partage des ressources sur le compte du consommateur. 

   1.  Ouvrez la AWS RAM console. 

   1.  Dans le volet de navigation, sous **Partagé avec moi**, choisissez **Resource shares**.

   1.  Sélectionnez les partages de ressources, choisissez **Accepter le partage de ressources**. 

1. Lorsque vous partagez une ressource avec un autre compte, elle appartient toujours au compte du producteur et n'est pas visible dans la console Athena. Pour que la ressource soit visible dans la console Athena, vous devez créer un lien de ressource pointant vers la ressource partagée. Pour obtenir des instructions sur la création d'un lien vers une ressource, consultez [Création d'un lien de ressource vers une table de catalogue de données partagée](create-resource-link-table.md) et [Création d'un lien de ressource vers une base de données de catalogue de données partagée](create-resource-link-database.md)

   1.  Choisissez **Bases de données** ou **tables** dans le catalogue de données.

   1. Sur la Databases/Tables page, choisissez **Create**, **Resource link**. 

   1. Entrez les informations suivantes pour un lien vers une ressource de base de données :
      + **Nom du lien vers la ressource** : nom unique pour le lien vers la ressource.
      + **Catalogue de destination** : catalogue dans lequel vous créez le lien vers la ressource. 
      + **Région de base de données partagée** : région de la base de données partagée avec vous si vous créez le lien de ressource dans une autre région.
      + **Base de données partagée** — Choisissez la base de données partagée.
      + **ID de catalogue de la base de données partagée** : entrez l'ID de catalogue de la base de données partagée.

   1.  Choisissez **Créer**. Vous pouvez voir le lien de ressource nouvellement créé dans la liste des bases de données. 

   De même, vous pouvez créer un lien de ressource vers une table partagée.

1. Accordez maintenant l'autorisation **Describe** sur le lien de la ressource aux principaux IAM avec lesquels vous partagez la ressource.

   1. **Sur la page **Bases de données/tables**, sélectionnez le lien vers la ressource, puis dans le menu **Actions**, choisissez Grant.** 

   1. Dans la section **Accorder des autorisations**, sélectionnez **les utilisateurs et les rôles IAM**.

   1. Choisissez le rôle IAM auquel vous souhaitez accorder l'accès au lien de ressource.

   1. Dans la section Autorisations relatives aux **liens vers les ressources**, sélectionnez **Décrire**.

   1. Choisissez **Accorder**.

1. Ensuite, accordez des **autorisations relatives à la valeur clé-tag LF-Tag** aux principaux du compte client.

   Vous devriez pouvoir trouver les balises LF partagées avec vous dans le compte client de la console Lake Formation, sous **Autorisations, balises **LF** et autorisations**. Vous pouvez associer des balises partagées par le donateur aux ressources partagées depuis le compte du donateur, notamment les bases de données, les tables et les colonnes. Vous pouvez également accorder des autorisations sur les ressources à d'autres principaux.  
![\[L'écran affiche les autorisations relatives aux balises LF dans le compte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/lf-tag-permissions.png)

   1.  Dans le volet de navigation, sous **Autorisations, Autorisations** **relatives aux données**, choisissez **Grant**. 

   1.  Sur la page **Accorder des autorisations**, sélectionnez **Utilisateurs et rôles IAM**. 

   1. Choisissez ensuite les utilisateurs et les rôles IAM de votre compte pour accorder l'accès aux bases de données/tables partagées.

   1. Ensuite, pour les **balises LF ou les ressources du catalogue, choisissez Resources** matching **by LF-Tags**.

   1.  Ensuite, choisissez la clé et les valeurs du tag LF qui est partagé avec vous. 

   1.  Choisissez ensuite les autorisations de base de données et de table que vous souhaitez accorder aux utilisateurs et aux rôles IAM. Vous pouvez également choisir des **autorisations accordables** qui permettent aux utilisateurs et aux rôles IAM d'accorder des autorisations à d'autres utilisateurs/rôles. 

   1.  Choisissez **Accorder**. 

   1. Vous pouvez consulter les autorisations accordées sous **Autorisations relatives aux données** sur la console Lake Formation.

# Partage de données entre comptes à l'aide de la méthode des ressources nommées
<a name="cross-account-named-resource"></a>

Vous pouvez accorder des autorisations directement aux principaux d'un autre AWS compte, ou à un compte externe Comptes AWS ou AWS Organizations. Accorder des autorisations de Lake Formation à des organisations ou à des unités organisationnelles revient à accorder l'autorisation Compte AWS à tous les membres de cette organisation ou unité organisationnelle. 

Lorsque vous accordez des autorisations à des comptes ou à des organisations externes, vous devez inclure l'option **Autorisations pouvant être accordées**. Seul l'administrateur du lac de données du compte externe peut accéder aux ressources partagées jusqu'à ce qu'il accorde des autorisations sur les ressources partagées aux autres principaux du compte externe.

**Note**  
L'option d'**autorisations pouvant être accordées** n'est pas prise en charge lors de l'octroi d'autorisations directement aux principaux IAM à partir de comptes externes.

Suivez les instructions [Octroi d’autorisations de base de données via la méthode de ressource nommée](granting-database-permissions.md) pour accorder des autorisations entre comptes à l'aide de la méthode de ressource nommée.

 La vidéo suivante montre comment partager des données avec une AWS organisation à l'aide de Lake Formation. 

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/S-Mdcmq6oPM?controls=0&)


# Octroi d'autorisations sur une base de données ou une table partagée avec votre compte
<a name="regranting-shared-resources"></a>

Une fois qu'une ressource de catalogue de données appartenant à un autre AWS compte est partagée avec votre AWS compte, en tant qu'administrateur du lac de données, vous pouvez accorder des autorisations sur la ressource partagée aux autres principaux de votre compte. Vous ne pouvez toutefois pas accorder d'autorisations sur la ressource à d'autres AWS comptes ou organisations.

Vous pouvez utiliser la AWS Lake Formation console, l'API ou le AWS Command Line Interface (AWS CLI) pour accorder les autorisations.

**Pour accorder des autorisations sur une base de données partagée (méthode de ressource nommée, console)**
+ Suivez les instructions de la section [Octroi d’autorisations de base de données via la méthode de ressource nommée](granting-database-permissions.md). Dans la liste des **bases de données**, sous **balises LF ou ressources du catalogue**, assurez-vous de sélectionner la base de données dans le compte externe, et non un lien de ressource pour la base de données.

  Si la base de données ne figure pas dans la liste des bases de données, assurez-vous d'avoir accepté l'invitation de partage de ressources AWS Resource Access Manager (AWS RAM) pour la base de données. Pour de plus amples informations, veuillez consulter [Acceptation d'une invitation de partage de ressources de AWS RAM](accepting-ram-invite.md).

  De plus, pour les `ALTER` autorisations `CREATE_TABLE` et, suivez les [Octroi d'autorisations de localisation des données (même compte)](granting-location-permissions-local.md) instructions fournies et assurez-vous de saisir l'identifiant du compte propriétaire dans le champ **Emplacement du compte enregistré**.

**Pour accorder des autorisations sur une table partagée (méthode de ressource nommée, console)**
+ Suivez les instructions de la section [Octroi d'autorisations de table à l'aide de la méthode de ressource nommée](granting-table-permissions.md). Dans la liste des **bases de données**, sous **balises LF ou ressources du catalogue**, assurez-vous de sélectionner la base de données dans le compte externe, et non un lien de ressource pour la base de données.

  Si le tableau ne figure pas dans la liste des tableaux, assurez-vous d'avoir accepté l'invitation de partage de AWS RAM ressources pour le tableau. Pour de plus amples informations, veuillez consulter [Acceptation d'une invitation de partage de ressources de AWS RAM](accepting-ram-invite.md).

  De plus, pour `ALTER` obtenir l'autorisation, suivez les [Octroi d'autorisations de localisation des données (même compte)](granting-location-permissions-local.md) instructions fournies et assurez-vous de saisir l'identifiant du compte propriétaire dans le champ **Emplacement du compte enregistré**.

**Pour accorder des autorisations sur des ressources partagées (méthode LF-TBAC, console)**
+ Suivez les instructions de la section [Octroi d'autorisations au catalogue de données](granting-catalog-perms-TBAC.md#granting-cat-perms-TBAC-console). Dans la section **Balises LF ou ressources du catalogue**, accordez l'expression de balise LF exacte que le compte externe a accordée à votre compte, ou un sous-ensemble de cette expression.

  Par exemple, si un compte externe a accordé l'expression LF-tag `module=customers AND environment=production` à votre compte avec l'option d'attribution, en tant qu'administrateur du lac de données, vous pouvez accorder cette même expression, `module=customers` ou `environment=production` à un mandant de votre compte. Vous ne pouvez accorder que les mêmes autorisations ou un sous-ensemble des autorisations de Lake Formation (par exemple,`SELECT`,`ALTER`, etc.) qui ont été accordées aux ressources via l'expression LF-Tag.

**Pour accorder des autorisations sur une table partagée (méthode de ressource nommée, AWS CLI)**
+ Utilisez une commande similaire à la suivante. Dans cet exemple :
  + L'identifiant de votre AWS compte est 1111-2222-3333.
  + Le compte propriétaire de la table et qui l'a attribuée à votre compte est le 1234-5678-9012.
  + L'`SELECT`autorisation est accordée à l'utilisateur sur la table `pageviews` partagée`datalake_user1`. Cet utilisateur est le principal de votre compte.
  + La `pageviews` table se trouve dans la `analytics` base de données, qui appartient au compte 1234-5678-9012.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "Table": {"CatalogId":"123456789012", "DatabaseName":"analytics", "Name":"pageviews"}}'
  ```

  Notez que le compte propriétaire doit être spécifié dans la `CatalogId` propriété de l'`resource`argument.

# Octroi d'autorisations relatives aux liens vers
<a name="granting-link-permissions"></a>

Suivez ces étapes pour accorder AWS Lake Formation des autorisations sur un ou plusieurs liens de ressources à un responsable de votre AWS compte.

Après avoir créé un lien vers une ressource, vous êtes le seul à pouvoir le consulter et y accéder. (Cela suppose que **l'option Utiliser uniquement le contrôle d'accès IAM pour les nouvelles tables de cette base de données** n'est pas activée pour la base de données.) Pour permettre aux autres utilisateurs de votre compte d'accéder au lien de la ressource, accordez au moins l'`DESCRIBE`autorisation.

**Important**  
L'octroi d'autorisations sur un lien de ressource n'accorde pas d'autorisations sur la base de données ou la table cible (liée). Vous devez accorder des autorisations à la cible séparément.

Vous pouvez accorder des autorisations à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface (AWS CLI).

------
#### [ console ]

**Pour accorder des autorisations relatives aux liens vers des ressources à l'aide de la console Lake Formation**

1. Effectuez l’une des actions suivantes :
   + Pour les liens vers des ressources de base de données, suivez les étapes [Octroi d’autorisations de base de données via la méthode de ressource nommée](granting-database-permissions.md) décrites dans. pour effectuer les opérations suivantes :

     1.  Sélectionnez le lien vers la ressource dans la liste des bases de données sous Catalogue de données, **Bases de données**. 

     1.  Choisissez **Grant** pour ouvrir la page **Accorder les autorisations**.

     1.  Spécifiez les principaux auxquels accorder les autorisations.

     1.  Les champs **Catalogues** et **Bases de données** sont renseignés.
   + Pour les liens vers les ressources des tables, suivez [Octroi d'autorisations de table à l'aide de la méthode de ressource nommée](granting-table-permissions.md) les étapes décrites ci-dessous :

     1.  Sélectionnez le lien vers la ressource dans la liste des tables sous Catalogue de données, **Tables**.

     1. Ouvrez la page **Accorder des autorisations**.

     1.  Spécifiez les principes.

     1.  Les champs **Catalogues**, **Bases de données**, **Tables** sont renseignés.

     1.  Spécifiez les principes.

1. Sous **Autorisations**, sélectionnez les autorisations à accorder. Sélectionnez éventuellement les autorisations pouvant être accordées.  
![\[La section Permissions contient une seule vignette. Les vignettes comportent un groupe de cases à cocher pour les autorisations à accorder sur les liens vers des ressources. Les cases à cocher incluent Supprimer et Décrire. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-resource-link-permissions-TBAC.png)

1. Choisissez **Accorder**.

------
#### [ AWS CLI ]

**Pour accorder des autorisations de lien vers des ressources à l'aide de AWS CLI**
+ Exécutez la `grant-permissions` commande en spécifiant un lien de ressource comme ressource.  
**Example**  

  Cet exemple accorde `DESCRIBE` à l'utilisateur `datalake_user1` sur la table un lien de ressource `incidents-link` dans la base de données du AWS compte `issues` 1111-2222-3333.

  ```
  1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
  ```

------

**Voir aussi :**  
 [Création de liens vers des ressources](creating-resource-links.md) 
 [Référence des autorisations de Lake Formation](lf-permissions-reference.md) 

# Accès aux données sous-jacentes d'une table partagée
<a name="cross-account-read-data"></a>

Supposons que le AWS compte A partage une table du catalogue de données `SELECT` avec le compte B, par exemple, en octroyant au compte B. Pour que le principal du compte B puisse lire les données sous-jacentes de la table partagée, les conditions suivantes doivent être remplies :
+ L'administrateur du lac de données du compte B doit accepter le partage. (Cela n'est pas nécessaire si les comptes A et B appartiennent à la même organisation ou si la subvention a été accordée selon la méthode de contrôle d'accès basée sur les balises Lake Formation.)
+ L'administrateur du lac de données doit réaccorder au principal l'`SELECT`autorisation Lake Formation accordée par le compte A sur la table partagée.
+ Le principal doit disposer des autorisations IAM suivantes sur la table, la base de données qui la contient et le compte A Data Catalog.
**Note**  
Dans la politique IAM suivante :  
Remplacez *<account-id-A>* par le AWS numéro de compte du compte A.
Remplacez *<region>* par une région valide.
Remplacez *<database>* par le nom de la base de données du compte A qui contient la table partagée.
Remplacez *<table>* par le nom de la table partagée.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "glue:GetTable",
              "glue:GetTables",
              "glue:GetPartition",
              "glue:GetPartitions",
              "glue:BatchGetPartition",
              "glue:GetDatabase",
              "glue:GetDatabases"
             ],
             "Resource": [
              "arn:aws:glue:us-east-1:111122223333:table/<database>/<table>",
              "arn:aws:glue:us-east-1:111122223333:database/<database>",
              "arn:aws:glue:us-east-1:111122223333:catalog"
             ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "lakeformation:GetDataAccess"
             ],
            "Resource": [
              "*"
             ]
      }
     ]
  }
  ```

------

**Voir aussi :**  
[Acceptation d'une invitation de partage de ressources de AWS RAM](accepting-ram-invite.md)

# Journalisation entre comptes CloudTrail
<a name="cross-account-logging"></a>

Lake Formation fournit une piste d'audit centralisée de tous les accès entre comptes aux données de votre lac de données. Lorsqu'un AWS compte destinataire accède aux données d'une table partagée, Lake Formation copie l' CloudTrail événement dans les CloudTrail journaux du compte propriétaire. Les événements copiés incluent des requêtes portant sur les données par des services intégrés tels qu' Amazon Athena Amazon Redshift Spectrum, et des accès aux AWS Glue données par des tâches.

CloudTrail les événements relatifs aux opérations entre comptes sur les ressources du catalogue de données sont copiés de la même manière.

En tant que propriétaire de ressources, si vous activez la journalisation au niveau des objets dans Amazon S3, vous pouvez exécuter des requêtes associant des événements S3 à CloudTrail des événements Lake Formation CloudTrail afin de déterminer les comptes qui ont accédé à vos compartiments S3.

**Topics**
+ [Inclure les identités principales dans les journaux intercomptes CloudTrail](#cross-account-logging-optin)
+ [Consultation des CloudTrail journaux pour l'accès entre comptes Amazon S3](#cross-account-logging-s3)

## Inclure les identités principales dans les journaux intercomptes CloudTrail
<a name="cross-account-logging-optin"></a>

Par défaut, les CloudTrail événements intercomptes ajoutés aux journaux du destinataire de la ressource partagée et copiés dans les journaux du propriétaire de la ressource contiennent uniquement l'identifiant AWS principal du compte externe, et non le nom de ressource Amazon (ARN) lisible par l'homme du principal (ARN principal). Lorsque vous partagez des ressources dans des limites fiables, par exemple au sein d'une même organisation ou d'une même équipe, vous pouvez choisir d'inclure l'ARN principal dans les CloudTrail événements. Les comptes propriétaires des ressources peuvent ensuite suivre les principaux des comptes destinataires qui accèdent à leurs propres ressources.

**Important**  
En tant que destinataire de ressources partagées, pour voir l'ARN principal dans les événements de vos propres CloudTrail journaux, vous devez choisir de partager l'ARN principal avec le compte du propriétaire.  
Si l'accès aux données se fait via un lien de ressource, deux événements sont enregistrés dans le compte du destinataire de la ressource partagée : un pour l'accès au lien de ressource et un pour l'accès à la ressource cible. L'événement pour l'accès au lien de ressource *inclut* l'ARN principal. L'événement pour l'accès à la ressource cible n'inclut pas l'ARN principal sans l'opt-in. L'événement d'accès au lien de ressource n'est pas copié sur le compte du propriétaire.

Ce qui suit est un extrait d'un CloudTrail événement multicompte par défaut (sans opt-in). Le compte effectuant l'accès aux données est le 1111-2222-3333. Il s'agit du journal affiché à la fois dans le compte d'appel et dans le compte du propriétaire de la ressource. Lake Formation remplit les journaux dans les deux comptes dans le cas de comptes croisés.

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

En tant que consommateur de ressources partagées, lorsque vous choisissez d'inclure l'ARN principal, l'extrait devient le suivant. Le `lakeFormationPrincipal` champ représente le rôle final ou l'utilisateur exécutant la requête via Amazon Athena, Amazon Redshift Spectrum ou des jobs. AWS Glue

```
{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
```

**Pour choisir d'inclure le principal ARNs dans les journaux intercomptes CloudTrail**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant qu'`Administrator`utilisateur ou en tant qu'utilisateur avec la politique `Administrator Access` IAM.

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Sur la page des **paramètres du catalogue de données**, dans la AWS CloudTrail section **Autorisations par défaut pour**, pour **les propriétaires de ressources**, entrez un ou plusieurs comptes de propriétaire de AWS ressources IDs.

   Appuyez sur **Entrée** après chaque identifiant de compte.

1. Choisissez **Enregistrer**.

   Désormais, les CloudTrail événements entre comptes stockés dans les journaux du destinataire de la ressource partagée et du propriétaire de la ressource contiennent l'ARN principal.

## Consultation des CloudTrail journaux pour l'accès entre comptes Amazon S3
<a name="cross-account-logging-s3"></a>

En tant que propriétaire de ressources partagées, vous pouvez interroger les CloudTrail journaux S3 pour déterminer les comptes qui ont accédé à vos compartiments Amazon S3 (à condition que vous ayez activé la journalisation au niveau des objets dans Amazon S3). Cela s'applique uniquement aux sites S3 que vous avez enregistrés auprès de Lake Formation. Si les consommateurs de ressources partagées choisissent d'inclure le principal ARNs dans les CloudTrail journaux de Lake Formation, vous pouvez déterminer les rôles ou les utilisateurs qui ont accédé aux compartiments.

Lorsque vous exécutez des requêtes avec Amazon Athena, vous pouvez joindre les CloudTrail événements Lake Formation et les CloudTrail événements S3 sur la propriété du nom de session. Les requêtes peuvent également filtrer les événements Lake Formation sur `eventName="GetDataAccess"` et les événements S3 sur `eventName="Get Object"` ou`eventName="Put Object"`.

Ce qui suit est un extrait d'un CloudTrail événement inter-comptes de Lake Formation au cours duquel les données d'un emplacement S3 enregistré ont été consultées.

```
{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}
```

La valeur de la `lakeFormationRoleSessionName` `AWSLF-00-GL-111122223333-B8JSAjo5QA` clé peut être jointe au nom de session dans la `principalId` clé de l' CloudTrail événement S3. Ce qui suit est un extrait de l' CloudTrail événement S3. Il indique l'emplacement du nom de session.

```
{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}
```

Le nom de session est formaté comme suit :

```
AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
```

**`version-number`**  
La version de ce format, actuellement`00`. Si le format du nom de session change, la prochaine version sera la suivante`01`.

**`query-engine-code`**  
Indique l'entité qui a accédé aux données. Les valeurs actuelles sont les suivantes :      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/cross-account-logging.html)

**`account-id`**  
L'identifiant du AWS compte qui a demandé les informations d'identification à Lake Formation.

**`suffix`**  
Chaîne générée de manière aléatoire.

# Gestion des autorisations entre comptes à l'aide des deux AWS Glue et de Lake Formation
<a name="hybrid-cross-account"></a>

Il est possible d'accorder un accès entre comptes aux ressources du catalogue de données et aux données sous-jacentes en utilisant l'un AWS Glue ou AWS Lake Formation l'autre des deux.

DansAWS Glue, vous accordez des autorisations entre comptes en créant ou en mettant à jour une politique de ressources du catalogue de données. Dans Lake Formation, vous accordez des autorisations entre comptes en utilisant le modèle d'`GRANT/REVOKE`autorisations Lake Formation et le fonctionnement de l'`Grant Permissions`API.

**Astuce**  
Nous vous recommandons de vous fier uniquement aux autorisations de Lake Formation pour sécuriser votre lac de données.

Vous pouvez consulter les subventions multicomptes de Lake Formation à l'aide de la console Lake Formation ou de la console AWS Resource Access Manager (AWS RAM). Toutefois, ces pages de console n'affichent pas les autorisations entre comptes accordées par la politique de ressources du catalogue de AWS Glue données. De même, vous pouvez consulter les autorisations entre comptes dans la politique de ressources du catalogue de données à l'aide de la page **Paramètres** de la AWS Glue console, mais cette page n'affiche pas les autorisations entre comptes accordées via Lake Formation.

Pour vous assurer de ne manquer aucune subvention lorsque vous consultez et gérez les autorisations entre comptes, Lake Formation vous AWS Glue demande d'effectuer les actions suivantes pour indiquer que vous êtes au courant et que vous autorisez les subventions croisées par Lake Formation et. AWS Glue

**Lorsque vous accordez des autorisations entre comptes à l'aide de la politique de ressources du catalogue de AWS Glue données**  
Si votre compte (compte du donateur ou compte du producteur) n'a accordé aucune subvention entre comptes destinée AWS RAM à partager les ressources, vous pouvez enregistrer une politique de ressources du catalogue de données comme d'habitude dans. AWS Glue Toutefois, si des subventions impliquant AWS RAM des partages de ressources ont déjà été accordées, vous devez effectuer l'une des opérations suivantes pour garantir le succès de l'enregistrement de la politique de ressources :
+ Lorsque vous enregistrez la politique de ressources sur la page **Paramètres** de la AWS Glue console, celle-ci émet une alerte indiquant que les autorisations définies dans la politique s'ajouteront à celles accordées à l'aide de la console Lake Formation. Vous devez choisir **Proceed** pour enregistrer la politique.
+ Lorsque vous enregistrez la politique de ressources à l'aide de l'opération `glue:PutResourcePolicy` API, vous devez définir le `EnableHybrid` champ sur `TRUE` « » (type = chaîne).

  Pour mettre à jour une politique de ressources existante, utilisez l'opération `glue:GetResourcePolicy` API pour récupérer d'abord votre politique actuelle, puis modifiez-la selon vos besoins avant de l'appeler`glue:PutResourcePolicy`. 
**Note**  
Lorsque vous créez AWS Glue des politiques de ressources pour l'accès entre comptes, accordez uniquement les autorisations minimales requises pour votre cas d'utilisation spécifique.

  *Pour plus d'informations, consultez [PutResourcePolicy Action (Python : put\$1resource\$1policy)](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-PutResourcePolicy) dans le manuel du développeur.AWS Glue *

**Lorsque vous accordez des autorisations entre comptes à l'aide de la méthode des ressources nommées de Lake Formation**  
S'il n'y a aucune politique de ressources du catalogue de données sur votre compte (compte producteur), les subventions croisées de Lake Formation que vous accordez se poursuivent comme d'habitude. Toutefois, s'il existe une politique de ressources pour le catalogue de données, vous devez y ajouter l'instruction suivante pour permettre à vos subventions entre comptes de réussir si elles sont accordées avec la méthode de ressource nommée. *<region>*Remplacez-le par un nom de région valide et *<account-id>* par votre numéro de AWS compte (numéro de compte producteur).

```
    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }
```

Sans cette déclaration supplémentaire, la subvention Lake Formation est acceptée, mais elle est bloquée et le compte du bénéficiaire ne peut pas accéder à la ressource accordée. AWS RAM

**Important**  
Lorsque vous utilisez la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) pour accorder des autorisations entre comptes, vous devez disposer d'une politique de ressources du catalogue de données avec au moins les autorisations spécifiées dans. [Conditions préalables](cross-account-prereqs.md)

**Voir aussi :**  
[Contrôle d'accès aux métadonnées](access-control-metadata.md)(pour une discussion sur la méthode des ressources nommées par rapport à la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC)).
[Affichage des tables et des bases de données partagées du catalogue de données](viewing-available-shared-resources.md)
[Utilisation des paramètres du catalogue de données sur la AWS Glue console](https://docs.aws.amazon.com/glue/latest/dg/console-data-catalog-settings.html) dans le *manuel du AWS Glue développeur*
[Octroi d'un accès entre comptes](https://docs.aws.amazon.com/glue/latest/dg/cross-account-access.html) dans le *guide du AWS Glue développeur* (pour des exemples de politiques relatives aux ressources du catalogue de données)

# Afficher toutes les subventions entre comptes à l'aide de l'opération GetResourceShares API
<a name="cross-account-getresourcepolicies"></a>

Si votre entreprise accorde des autorisations entre comptes en utilisant à la fois une politique de AWS Glue Data Catalog ressources et des subventions de Lake Formation, le seul moyen de consulter toutes les autorisations entre comptes en un seul endroit est d'utiliser l'opération `glue:GetResourceShares` API.

Lorsque vous accordez des autorisations à Lake Formation sur plusieurs comptes à l'aide de la méthode des ressources nommées, AWS Resource Access Manager (AWS RAM) crée une politique de ressources Gestion des identités et des accès AWS (IAM) et l'enregistre dans votre AWS compte. La politique accorde les autorisations requises pour accéder à la ressource. AWS RAM crée une politique de ressources distincte pour chaque subvention intercomptes. Vous pouvez consulter toutes ces politiques à l'aide de l'opération `glue:GetResourceShares` API.

**Note**  
Cette opération renvoie également la politique de ressources du catalogue de données. Toutefois, si vous avez activé le chiffrement des métadonnées dans les paramètres du catalogue de données et que vous n'êtes pas autorisé à utiliser la AWS KMS clé, l'opération ne renverra pas la politique de ressources du catalogue de données.

**Pour voir toutes les subventions entre comptes**
+ Entrez la AWS CLI commande suivante.

  ```
  aws glue get-resource-policies
  ```

Voici un exemple de politique de ressources qui AWS RAM crée et stocke lorsque vous accordez des autorisations sur une table `t` dans la base de données `db1` au AWS compte 1111-2222-3333.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "glue:GetTable",
         "glue:GetTables",
         "glue:GetTableVersion",         
         "glue:GetTableVersions",
         "glue:GetPartition", 
         "glue:GetPartitions",
         "glue:BatchGetPartition",
         "glue:SearchTables"
       ],
      "Principal": {"AWS": [
        "111122223333"
      ]},
      "Resource": [
      "arn:aws:glue:us-east-1:111122223333:table/db1/t"
     ]
    }
  ]
}
```

------

**Voir aussi :**  
[GetResourceShares Action (Python : get\$1resource\$1policies](https://docs.aws.amazon.com/glue/latest/dg/aws-glue-api-jobs-security.html#aws-glue-api-jobs-security-GetResourcePolicies)*) dans le manuel du développeur AWS Glue *