Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi d'autorisations de données à l'aide de la méthode de ressource nommée
La méthode de ressource nommée Data Catalog permet d'accorder des autorisations à des AWS Glue Data Catalog objets, tels que des catalogues, des bases de données, des tables, des colonnes et des vues, en utilisant une approche centralisée. Il vous permet de définir des politiques basées sur les ressources qui contrôlent l'accès à des ressources spécifiques au sein de votre lac de données.
Lorsque vous utilisez la méthode de ressource nommée pour accorder des autorisations, vous pouvez spécifier le type de ressource et les autorisations que vous souhaitez accorder ou révoquer pour cette ressource. Vous pouvez également révoquer l'autorisation ultérieurement si nécessaire, supprimant ainsi les autorisations des ressources associées.
Vous pouvez accorder des autorisations à l'aide de la AWS Lake Formation console ou du AWS Command Line Interface (AWS CLI). APIs
**Topics**
+ [Octroi d'autorisations de catalogue à l'aide de la méthode de ressource nommée](granting-multi-catalog-permissions.md)
+ [Octroi d’autorisations de base de données via la méthode de ressource nommée](granting-database-permissions.md)
+ [Octroi d'autorisations de table à l'aide de la méthode de ressource nommée](granting-table-permissions.md)
+ [Octroi d'autorisations sur les vues à l'aide de la méthode de ressource nommée](granting-view-permissions.md)
# Octroi d'autorisations de catalogue à l'aide de la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations de catalogue à l'aide de la méthode des ressources nommées.
------
#### [ Console ]
Utilisez la page **Accorder des autorisations** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Type de principal** : vous pouvez accorder des autorisations à des principaux spécifiques ou utiliser des balises d'attribut.
+ **Principaux** : utilisateurs, rôles, utilisateurs et groupes IAM Identity Center, utilisateurs et groupes SAML, AWS comptes, organisations ou unités organisationnelles auxquels accorder les autorisations.
**Principal par attributs** — Ajoutez des paires clé-valeur de balise à partir de balises de IAMroles session IAM. Les principaux dont les attributs correspondent ont accès à la ressource spécifiée.
+ **Balises LF ou ressources de catalogue** : catalogues, bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur un lien de ressource de base de données, voir[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page **Accorder des autorisations**.
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur du catalogue ou utilisateur IAM disposant d'**autorisations Grantable** sur le catalogue.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Catalogues** sous **Catalogue de données**. Ensuite, sur la page **Catalogues**, choisissez un catalogue, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Grant**.
**Note**
Vous pouvez accorder des autorisations sur un catalogue via son lien de ressource. Pour ce faire, sur la page **Catalogues**, choisissez un conteneur de liens de catalogue, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Ensuite, dans la section **Type de principal**, choisissez les principes ou spécifiez les attributs attachés aux principaux.
![\[La section principale des types contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont Principaux et Principaux par attributs. Sous le titre se trouvent les principes.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-catalog-principal-type.png)
****Spécifier les principes****
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**. Sélectionnez **Ajouter** pour ajouter d'autres utilisateurs ou groupes.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
****Principaux par attributs****
**Attributs**
Ajoutez les paires clé-valeur de la balise IAM à partir du rôle IAM.
**Étendue de l'autorisation**
Spécifiez si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources de catalogue, sélectionnez Ressources** de **catalogue de données nommées**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-catalog.png)
1. Choisissez un ou plusieurs catalogues dans la liste des **catalogues**. Vous pouvez également choisir une ou plusieurs **bases de données**, **tables**, **filtres de and/or données**.
1. Dans la section **Autorisations du catalogue**, sélectionnez les autorisations et les autorisations pouvant être accordées. Sous **Autorisations du catalogue**, sélectionnez une ou plusieurs autorisations à octroyer.
![\[La section Permissions est la vignette des autorisations du catalogue. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de catalogue à accorder. Les cases à cocher incluent Super utilisateur, Créer un catalogue, Créer une base de données, Modifier, Supprimer, Décrire et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)
Choisissez **Super utilisateur** pour accorder des privilèges administratifs illimités afin d'effectuer n'importe quelle opération sur toutes les ressources du catalogue (bases de données, tables et vues).
**Note**
Après avoir accordé `Create database` ou `Alter` sur un catalogue doté d'une propriété de localisation pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
La page **Autorisations relatives aux données** affiche les détails des autorisations. Si vous avez utilisé **l'option Principaux par attribut** pour accorder des autorisations, vous pouvez afficher l'autorisation accordée `ALLPrincipals` dans la liste.
------
#### [ AWS CLI ]
Pour accorder des autorisations de catalogue à l'aide de AWS CLI, voir[Création de catalogues fédérés Amazon Redshift](create-ns-catalog.md).
------
# Octroi d’autorisations de base de données via la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations de base de données à l'aide de la méthode des ressources nommées.
------
#### [ Console ]
Utilisez la page **Accorder des autorisations** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Type principal** : la section **Principaux** inclut les utilisateurs, les rôles, les utilisateurs et groupes IAM Identity Center, les utilisateurs et groupes SAML, les AWS comptes, les organisations ou les unités organisationnelles habilités à accorder des autorisations. Dans la section **Principaux par attributs**, vous pouvez spécifier la clé et les valeurs des attributs attachés aux rôles IAM.
+ **Balises LF ou ressources du catalogue** : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur un lien de ressource de base de données, voir[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page **Accorder des autorisations**.
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant d'**autorisations Grantable** sur la base de données.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Bases de données** sous **Catalogue de données**. Ensuite, sur la page **Bases** de données, choisissez une base de données, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Grant**.
**Note**
Vous pouvez accorder des autorisations sur une base de données via son lien de ressource. Pour ce faire, sur la page **Bases** de données, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Dans la section **Type de principal**, spécifiez les principaux ou accordez des autorisations aux principaux à l'aide d'attributs.
![\[La section Principaux contient quatre vignettes. Chaque vignette contient un bouton d'option et du texte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**. Sélectionnez **Ajouter** pour ajouter d'autres utilisateurs ou groupes.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, il role/user obtient des autorisations d'accès à la ressource.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources de catalogue, sélectionnez Ressources** de **catalogue de données nommées**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. Choisissez une ou plusieurs bases de données dans la liste des **bases de données**. Vous pouvez également choisir un ou plusieurs **filtres de and/or données** de **tables**.
1. Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables. Sous **Autorisations de base** de données, sélectionnez une ou plusieurs autorisations à accorder.
![\[La section Autorisations contient deux vignettes disposées horizontalement. Chaque vignette contient un bouton d'option et du texte. La vignette Autorisations de base de données est sélectionnée. L'autre vignette, Autorisations basées sur les colonnes, est désactivée car elle concerne les autorisations de table. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de base de données à accorder. Les cases à cocher incluent Create Table, Alter, Drop, Describe et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**Note**
Après avoir accordé `Create Table` ou `Alter` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de base de données en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de base de données à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une base de données ou le catalogue de données comme ressource, en fonction de l'autorisation accordée.
Dans les exemples suivants, remplacez-le ** par un identifiant de AWS compte valide.
**Example — Subvention pour créer une base de données**
Cet exemple accorde des autorisations `CREATE_DATABASE` à l'utilisateur`datalake_user1`. Étant donné que la ressource pour laquelle cette autorisation est accordée est le catalogue de données, la commande spécifie une `CatalogResource` structure vide comme `resource` paramètre.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example — Autorisation de créer des tables dans une base de données désignée**
L'exemple suivant octroie la `CREATE_TABLE` base de données `retail` à l'utilisateur`datalake_user1`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à un AWS compte externe avec l'option Grant**
L'exemple suivant octroie `CREATE_TABLE` l'option grant sur la base de données `retail` au compte externe 1111-2222-3333.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à une organisation**
L'exemple suivant octroie `ALTER` à l'organisation l'option grant sur la base `issues` de données`o-abcdefghijkl`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - Accordez `ALLIAMPrincipals` à sur le même compte**
L'exemple suivant accorde `CREATE_TABLE` l'autorisation d'accéder à la base `retail` de données à tous les principaux d'un même compte. Cette option permet à chaque principal du compte de créer une table dans la base de données et de créer un lien de ressource de table permettant aux moteurs de requêtes intégrés d'accéder aux bases de données et aux tables partagées. Cette option est particulièrement utile lorsqu'un directeur reçoit une subvention entre comptes et n'est pas autorisé à créer des liens vers des ressources. Dans ce scénario, l'administrateur du lac de données peut créer une base de données d'espaces réservés et accorder des `CREATE_TABLE` autorisations au `ALLIAMPrincipal` groupe, permettant ainsi à chaque responsable IAM du compte de créer des liens de ressources dans la base de données d'espaces réservés.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - Subvention `ALLIAMPrincipals` à un compte externe**
L'exemple suivant accorde des autorisations `CREATE_TABLE` d'accès à la base `retail` de données à tous les principaux d'un compte externe. Cette option permet à tous les principaux du compte de créer une table dans la base de données.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**Note**
Après avoir accordé `CREATE_TABLE` ou `ALTER` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
------
**Consultez aussi**
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
[Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
# Octroi d'autorisations de table à l'aide de la méthode de ressource nommée
Vous pouvez utiliser la console Lake Formation ou AWS CLI accorder des autorisations Lake Formation sur les tables du catalogue de données. Vous pouvez accorder des autorisations sur des tables individuelles, ou avec une seule opération d'autorisation, vous pouvez accorder des autorisations sur toutes les tables d'une base de données.
Si vous accordez des autorisations sur toutes les tables d'une base de données, vous les accordez implicitement sur la `DESCRIBE` base de données. La base de données apparaît ensuite sur la page **Bases** de données de la console et est renvoyée par l'opération `GetDatabases` d'API. Cette `DESCRIBE` autorisation automatique ne s'applique pas lors de l'utilisation du contrôle d'accès basé sur les attributs (ABAC). Lorsque vous accordez des autorisations sur toutes les tables d'une base de données à l'aide d'attributs, Lake Formation n'accorde pas implicitement d'`DESCRIBE`autorisation à la base de données.
Lorsque vous choisissez `SELECT` l'autorisation à accorder, vous avez la possibilité d'appliquer un filtre de colonne, un filtre de ligne ou un filtre de cellule.
------
#### [ Console ]
Les étapes suivantes expliquent comment accorder des autorisations de table à l'aide de la méthode de ressource nommée et de la page **Accorder des autorisations de lac de données** sur la console Lake Formation. La page est divisée en sections suivantes :
+ **Types de principes** : utilisateurs, rôles, AWS comptes, organisations ou unités organisationnelles auxquels accorder des autorisations. Vous pouvez également accorder des autorisations aux directeurs dont les attributs correspondent.
+ **Balises LF ou ressources du catalogue** : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur le lien d'une ressource de table, consultez[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page Accorder des autorisations.
Ouvrez la AWS Lake Formation console à [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)l'adresse et connectez-vous en tant qu'administrateur du lac de données, créateur de la table ou utilisateur ayant obtenu des autorisations sur la table avec l'option d'autorisation.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sélectionnez **Autorisations relatives aux données** sous **Autorisations**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, choisissez **Tables**. Ensuite, sur la page **Tables**, choisissez un tableau, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Accorder**.
**Note**
Vous pouvez accorder des autorisations sur une table via son lien de ressource. Pour ce faire, sur la page **Tables**, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Ensuite, dans la section **Principaux types**, spécifiez les principaux ou les principaux avec les attributs correspondants pour accorder des autorisations.
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS , AWS organisation** ou **principal IAM**, entrez une ou plusieurs organisations Compte AWS IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième caractère « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, les autorisations d'accès role/user à la ressource sont obtenues.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources du catalogue**, choisissez une base de données. Choisissez ensuite une ou plusieurs tables, ou **toutes les tables**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Les ressources de catalogue de données nommées sont sélectionnées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné. La liste déroulante Table est surmontée d'une vignette contenant le nom de la table sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**Spécifiez les autorisations sans filtrage des données.**
Dans la section **Autorisations**, sélectionnez les autorisations de table à accorder, et sélectionnez éventuellement les autorisations pouvant être accordées.
![\[La section Autorisations relatives aux tables et aux colonnes comporte deux sous-sections : les autorisations relatives aux tables et les autorisations pouvant être accordées. Chaque sous-section comporte une case à cocher pour chaque autorisation de Lake Formation possible : Alter, Insert, Drop, Delete, Select, Describe et Super. La super autorisation est située à droite des autres autorisations et comporte une description : « Cette autorisation permet au principal d'accorder n'importe laquelle des autorisations indiquées sur la gauche et remplace les autorisations pouvant être accordées. »\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
Si vous autorisez **Select**, la section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**, l'option **Accès à toutes les données** étant sélectionnée par défaut. Acceptez la valeur par défaut.
![\[La section contient trois vignettes, disposées horizontalement, chacune dotée d'un bouton d'option et d'une description. Les boutons d'option sont les suivants : accès à toutes les données (sélectionné), accès simple basé sur des colonnes et filtres avancés au niveau des cellules.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. Choisissez **Accorder**.
1.
**Spécifiez l'autorisation de **sélection** avec filtrage des données**
Sélectionnez l'autorisation **Select**. Ne sélectionnez aucune autre autorisation.
La section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**.
1. Effectuez l’une des actions suivantes :
+ Appliquez uniquement un filtrage par colonne simple.
1. Choisissez **Accès simple basé sur des colonnes**.
![\[La section supérieure est la section Autorisations relatives aux tables et aux colonnes. Elle est décrite dans la capture d'écran précédente. Il contient des cases à cocher pour les autorisations de table et les autorisations pouvant être accordées. La section inférieure, Autorisations relatives aux données, comporte trois vignettes disposées horizontalement, où chaque vignette comporte un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Accès simple basé sur des colonnes est sélectionnée. Sous les vignettes se trouve un groupe de boutons d'option portant le libellé Choisir un filtre d'autorisation. Les options sont Inclure les colonnes et Exclure les colonnes. Sous le groupe d'options se trouve une liste déroulante de sélection des colonnes, et en dessous se trouve une sous-section Autorisations pouvant être accordées, qui contient une seule case à cocher intitulée Sélectionner.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. Choisissez d'inclure ou d'exclure des colonnes, puis choisissez les colonnes à inclure ou à exclure.
Seules les listes d'inclusion sont prises en charge lors de l'octroi d'autorisations à un AWS compte ou à une organisation externe.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, activez l'option d'octroi pour l'autorisation Select.
Si vous incluez l'option de subvention, le bénéficiaire de la subvention ne peut accorder des autorisations que sur les colonnes que vous lui accordez.
**Note**
Vous pouvez également appliquer le filtrage des colonnes uniquement en créant un filtre de données qui spécifie un filtre de colonne et spécifie toutes les lignes comme filtre de ligne. Cependant, cela nécessite d'autres étapes.
+ Appliquez un filtrage par colonne, ligne ou cellule.
1. Choisissez Filtres **avancés au niveau des cellules**.
![\[Cette section, intitulée Autorisations relatives aux données, se trouve sous la section Autorisations relatives aux tables. Il comporte trois vignettes disposées horizontalement, chaque vignette ayant un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Filtres avancés au niveau des cellules est sélectionnée. Sous les vignettes se trouve l'étiquette Afficher les autorisations existantes avec un triangle d'exposition sur la gauche. Les autorisations existantes ne sont pas exposées. Ci-dessous se trouve une section intitulée Filtres de données à accorder. À droite du titre se trouvent trois boutons : Actualiser, Gérer les filtres et Créer un nouveau filtre. Sous le titre et les boutons se trouve un champ de texte contenant le texte fictif « Rechercher un filtre ». Vous trouverez ci-dessous un tableau des filtres existants. Chaque ligne comporte une case à cocher sur la gauche. Les en-têtes de colonne sont le nom du filtre, la table, la base de données et l'identifiant du catalogue de tables. Il y a deux rangées. Le nom du filtre dans la première ligne est restrict-pharma. Le nom sur la deuxième ligne est no-pharma.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (Facultatif) Agrandir **Afficher les autorisations existantes**.
1. (Facultatif) Choisissez **Créer un nouveau filtre**.
1. (Facultatif) Pour afficher les détails des filtres répertoriés, créer de nouveaux filtres ou supprimer des filtres existants, choisissez **Gérer les filtres**.
La page **Filtres de données** s'ouvre dans une nouvelle fenêtre de navigateur.
Lorsque vous avez terminé sur la page **Filtres de données**, retournez à la page **Accorder des autorisations** et, si nécessaire, actualisez la page pour afficher les nouveaux filtres de données que vous avez créés.
1. Sélectionnez un ou plusieurs filtres de données à appliquer à la subvention.
**Note**
Si la liste ne contient aucun filtre de données, cela signifie qu'aucun filtre de données n'a été créé pour la table sélectionnée.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de table en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de table à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une table comme ressource.
**Example — Subvention sur une seule table, sans filtrage**
L'exemple suivant accorde `SELECT` et `ALTER` à l'utilisateur `datalake_user1` dans le AWS compte 1111-2222-3333 sur la table de la base de données. `inventory` `retail`
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Si vous accordez l'`ALTER`autorisation sur une table dont les données sous-jacentes se trouvent dans un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
**Example — Subvention sur toutes les tables avec l'option Grant : aucun filtrage**
L'exemple suivant accorde des autorisations `SELECT` avec l'option grant sur toutes les tables de la base de données`retail`.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example — Subvention avec filtrage simple par colonne**
L'exemple suivant accorde des `SELECT` autorisations sur un sous-ensemble de colonnes de la table. `persons` Il utilise un simple filtrage par colonne.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example — Subvention avec filtre de données**
Cet exemple accorde des `SELECT` autorisations sur la `orders` table et applique le filtre de `restrict-pharma` données.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Le contenu du fichier est le suivant`grant-params.json`.
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**Consultez aussi**
[Vue d'ensemble des autorisations relatives à Lake Formation](lf-permissions-overview.md)
[Filtrage des données et sécurité au niveau des cellules dans Lake Formation](data-filtering.md)
[Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md)
[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
# Octroi d'autorisations sur les vues à l'aide de la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations sur les vues à l'aide de la méthode de ressource nommée et de la page **Accorder des autorisations**. La page est divisée selon les sections suivantes :
+ **Principaux types** : utilisateurs IAM, rôles, utilisateurs et groupes de l'IAM Identity Center Comptes AWS, organisations ou unités organisationnelles auxquels octroyer les autorisations. Vous pouvez également accorder des autorisations aux directeurs dont les attributs correspondent.
+ **Balises LF ou ressources du catalogue** : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations : autorisations** à accorder au lac de données.
## Ouvrez la page **Accorder les autorisations**
1. Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant d'**autorisations Grantable** sur la base de données.
1. Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Views** sous **Catalogue de données**. Ensuite, sur la page **Vues**, choisissez une vue, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Accorder**.
**Note**
Vous pouvez accorder des autorisations sur une vue via son lien de ressource. Pour ce faire, sur la page **Vues**, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
## Spécifiez les principaux types
Dans la section **Principaux types**, choisissez Principaux ou Principaux par attributs. Si vous choisissez Principaux, les options suivantes sont disponibles :
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center **
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
**Voir aussi**
+ [Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
**Principaux par attributs**
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, les autorisations d'accès role/user à la ressource sont obtenues.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
## Spécifiez les vues
Dans la section **LF-Tags ou ressources du catalogue**, choisissez une ou plusieurs vues pour lesquelles vous souhaitez accorder des autorisations.
1. Choisissez **Ressources de catalogue de données nommées**.
1. Choisissez une ou plusieurs vues dans la liste des **vues**. Vous pouvez également choisir un ou plusieurs catalogues, bases de données, tables, filtres de and/or données.
L'octroi d'autorisations de lac de données au `All tables` sein d'une base de données permettra au bénéficiaire de disposer d'autorisations sur toutes les tables et vues de la base de données.
## Spécifiez les autorisations
Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables.
![\[La section Autorisations comporte un groupe de cases à cocher pour afficher les autorisations à accorder. Les cases à cocher incluent Sélectionner, Décrire, Supprimer et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/view-permissions.png)
1. Sous **Afficher les autorisations**, sélectionnez une ou plusieurs autorisations à accorder.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux dans son domaine. Compte AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
**Voir aussi**
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
[Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)