Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi d'autorisations sur les ressources du catalogue de données
Vous pouvez accorder **des autorisations de données** aux principaux AWS Lake Formation afin que ceux-ci puissent créer et gérer les ressources du catalogue de données et accéder aux données sous-jacentes. Vous pouvez accorder **des autorisations Data Lake sur les** catalogues, les bases de données, les tables et les vues. Lorsque vous accordez des autorisations sur des tables, vous pouvez limiter l'accès à des colonnes ou à des lignes de table spécifiques pour un contrôle d'accès encore plus précis.
Vous pouvez accorder des autorisations sur des catalogues, des bases de données, des tables et des vues individuels, ou avec une seule opération d'autorisation, vous pouvez accorder des autorisations sur toutes les bases de données, tables et vues d'un catalogue ou d'une base de données. Si vous accordez des autorisations sur toutes les tables d'une base de données aux principaux IAM, vous accordez implicitement l'`DESCRIBE`autorisation sur la base de données. La base de données apparaît ensuite sur la page **Bases** de données de la console et est renvoyée par l'opération `GetDatabases` d'API. Le même principe s'applique au niveau du catalogue : lorsque vous recevez des autorisations pour les bases de données d'un catalogue, vous obtenez également `DESCRIBE` des autorisations pour ce catalogue.
**Important**
L'`DESCRIBE`autorisation implicite s'applique uniquement lors de l'octroi d'autorisations aux principaux IAM au sein du même AWS compte. Pour les ressources entre comptes, vous devez explicitement accorder `DESCRIBE` des autorisations. L'octroi automatique des `DESCRIBE` autorisations ne s'applique pas lors de l'utilisation du contrôle d'accès basé sur les attributs (ABAC). Lorsque vous accordez des autorisations sur toutes les tables d'une base de données à l'aide d'attributs, Lake Formation n'accorde pas implicitement d'`DESCRIBE`autorisation à la base de données.
Vous pouvez accorder des autorisations en utilisant la méthode des ressources nommées ou la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC).
Vous pouvez accorder des autorisations aux directeurs d'un même compte ou d'une organisation Compte AWS ou à un compte externe. Lorsque vous accordez des autorisations à des comptes ou à des organisations externes, vous partagez des objets du catalogue de données dont vous êtes propriétaire avec ces comptes ou organisations. Les responsables de ces comptes ou organisations peuvent ensuite accéder aux objets du catalogue de données dont vous êtes propriétaire et aux données sous-jacentes.
**Note**
Actuellement, la méthode LF-TBAC prend en charge l'octroi d'autorisations entre comptes aux principaux Comptes AWS, aux organisations et aux unités organisationnelles IAM (). OUs
Lorsque vous accordez des autorisations à des comptes ou à des organisations externes, vous devez inclure l'option d'octroi. Seul l'administrateur du lac de données du compte externe peut accéder aux objets partagés jusqu'à ce qu'il accorde des autorisations sur les objets partagés aux autres principaux du compte externe.
Vous pouvez accorder des autorisations au catalogue de données à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface (AWS CLI).
**Note**
Lorsque vous supprimez un objet du catalogue de données, toutes les autorisations associées à cet objet ne sont plus valides. Le fait de recréer la même ressource avec le même nom ne récupérera pas les autorisations de Lake Formation. Les utilisateurs devront à nouveau configurer de nouvelles autorisations.
**Voir aussi :**
[Partage des tables et des bases de données du catalogue de données entre les AWS comptes](sharing-catalog-resources.md)
[Contrôle d'accès aux métadonnées](access-control-metadata.md)
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
# Autorisations IAM requises pour accorder ou révoquer les autorisations de Lake Formation
Tous les principaux, y compris l'administrateur du lac de données, ont besoin des autorisations Gestion des identités et des accès AWS (IAM) suivantes pour accorder ou révoquer les autorisations de catalogue de AWS Lake Formation données ou les autorisations de localisation des données avec l'API Lake Formation ou le : AWS CLI
+ `lakeformation:GrantPermissions`
+ `lakeformation:BatchGrantPermissions`
+ `lakeformation:RevokePermissions`
+ `lakeformation:BatchRevokePermissions`
+ `glue:GetTable``glue:GetDatabase`, ou `glue:GetCatalog` pour une table, une base de données ou un catalogue auxquels vous accordez des autorisations à l'aide de la méthode de ressource nommée.
**Note**
Les administrateurs des lacs de données disposent d'autorisations implicites pour accorder et révoquer les autorisations relatives à Lake Formation. Mais ils ont toujours besoin des autorisations IAM sur l'octroi de l'autorisation Lake Formation et de la révocation des opérations d'API.
Les rôles IAM dotés d'une politique `AWSLakeFormationDataAdmin` AWS gérée ne peuvent pas ajouter de nouveaux administrateurs de lacs de données, car cette politique contient un refus explicite du fonctionnement de l'API Lake Formation. `PutDataLakeSetting`
La politique IAM suivante est recommandée aux directeurs qui ne sont pas des administrateurs de lacs de données et qui souhaitent accorder ou révoquer des autorisations à l'aide de la console Lake Formation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:ListPermissions",
"lakeformation:GrantPermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchRevokePermissions",
"glue:GetCatalogs",
"glue:GetDatabases",
"glue:SearchTables",
"glue:GetTables",
"glue:GetCatalog",
"glue:GetDatabase",
"glue:GetTable",
"iam:ListUsers",
"iam:ListRoles",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup",
"sso:DescribeInstance"
],
"Resource": "*"
}
]
}
```
------
Toutes les `iam:` autorisations `glue:` et autorisations de cette politique sont disponibles dans la politique AWS gérée`AWSGlueConsoleFullAccess`.
Pour accorder des autorisations à l'aide du contrôle d'accès basé sur les balises Lake Formation (LF-TBAC), les principaux ont besoin d'autorisations IAM supplémentaires. Pour plus d’informations, consultez [Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation](lf-tag-considerations.md) et [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).
**Autorisations entre comptes**
Les utilisateurs qui souhaitent accorder des autorisations entre comptes Lake Formation à l'aide de la méthode des ressources nommées doivent également disposer des autorisations définies dans la politique `AWSLakeFormationCrossAccountManager` AWS gérée.
Les administrateurs des lacs de données ont besoin des mêmes autorisations pour accorder des autorisations entre comptes, ainsi que de l'autorisation AWS Resource Access Manager (AWS RAM) pour autoriser l'octroi d'autorisations aux organisations. Pour de plus amples informations, veuillez consulter [Autorisations d'administrateur du lac de données](permissions-reference.md#persona-dl-admin).
**L'utilisateur administratif**
Un directeur disposant d'autorisations administratives (par exemple, dans le cadre de la politique `AdministratorAccess` AWS gérée) est autorisé à accorder des autorisations à Lake Formation et à créer des administrateurs de lacs de données. Pour refuser à un utilisateur ou à un rôle l'accès aux opérations de l'administrateur de Lake Formation, joignez ou ajoutez à sa politique une `Deny` déclaration concernant les opérations d'API de l'administrateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lakeformation:GetDataLakeSettings",
"lakeformation:PutDataLakeSettings"
],
"Effect": "Deny",
"Resource": [
"*"
]
}
]
}
```
------
**Important**
Pour empêcher les utilisateurs de s'ajouter en tant qu'administrateurs à l'aide d'un script d'extraction, de transformation et de chargement (ETL), assurez-vous que l'accès à ces opérations d'API est refusé à tous les utilisateurs et rôles non administrateurs. La politique `AWSLakeFormationDataAdmin` AWS gérée contient un refus explicite du fonctionnement de l'API Lake Formation, `PutDataLakeSetting` qui empêche les utilisateurs d'ajouter de nouveaux administrateurs de lacs de données.
# Octroi d'autorisations de données à l'aide de la méthode de ressource nommée
La méthode de ressource nommée Data Catalog permet d'accorder des autorisations à des AWS Glue Data Catalog objets, tels que des catalogues, des bases de données, des tables, des colonnes et des vues, en utilisant une approche centralisée. Il vous permet de définir des politiques basées sur les ressources qui contrôlent l'accès à des ressources spécifiques au sein de votre lac de données.
Lorsque vous utilisez la méthode de ressource nommée pour accorder des autorisations, vous pouvez spécifier le type de ressource et les autorisations que vous souhaitez accorder ou révoquer pour cette ressource. Vous pouvez également révoquer l'autorisation ultérieurement si nécessaire, supprimant ainsi les autorisations des ressources associées.
Vous pouvez accorder des autorisations à l'aide de la AWS Lake Formation console ou du AWS Command Line Interface (AWS CLI). APIs
**Topics**
+ [Octroi d'autorisations de catalogue à l'aide de la méthode de ressource nommée](granting-multi-catalog-permissions.md)
+ [Octroi d’autorisations de base de données via la méthode de ressource nommée](granting-database-permissions.md)
+ [Octroi d'autorisations de table à l'aide de la méthode de ressource nommée](granting-table-permissions.md)
+ [Octroi d'autorisations sur les vues à l'aide de la méthode de ressource nommée](granting-view-permissions.md)
# Octroi d'autorisations de catalogue à l'aide de la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations de catalogue à l'aide de la méthode des ressources nommées.
------
#### [ Console ]
Utilisez la page **Accorder des autorisations** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Type de principal** : vous pouvez accorder des autorisations à des principaux spécifiques ou utiliser des balises d'attribut.
+ **Principaux** : utilisateurs, rôles, utilisateurs et groupes IAM Identity Center, utilisateurs et groupes SAML, AWS comptes, organisations ou unités organisationnelles auxquels accorder les autorisations.
**Principal par attributs** — Ajoutez des paires clé-valeur de balise à partir de balises de IAMroles session IAM. Les principaux dont les attributs correspondent ont accès à la ressource spécifiée.
+ **Balises LF ou ressources de catalogue** : catalogues, bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur un lien de ressource de base de données, voir[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page **Accorder des autorisations**.
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur du catalogue ou utilisateur IAM disposant d'**autorisations Grantable** sur le catalogue.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Catalogues** sous **Catalogue de données**. Ensuite, sur la page **Catalogues**, choisissez un catalogue, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Grant**.
**Note**
Vous pouvez accorder des autorisations sur un catalogue via son lien de ressource. Pour ce faire, sur la page **Catalogues**, choisissez un conteneur de liens de catalogue, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Ensuite, dans la section **Type de principal**, choisissez les principes ou spécifiez les attributs attachés aux principaux.
![\[La section principale des types contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont Principaux et Principaux par attributs. Sous le titre se trouvent les principes.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-catalog-principal-type.png)
****Spécifier les principes****
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**. Sélectionnez **Ajouter** pour ajouter d'autres utilisateurs ou groupes.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
****Principaux par attributs****
**Attributs**
Ajoutez les paires clé-valeur de la balise IAM à partir du rôle IAM.
**Étendue de l'autorisation**
Spécifiez si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources de catalogue, sélectionnez Ressources** de **catalogue de données nommées**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-catalog.png)
1. Choisissez un ou plusieurs catalogues dans la liste des **catalogues**. Vous pouvez également choisir une ou plusieurs **bases de données**, **tables**, **filtres de and/or données**.
1. Dans la section **Autorisations du catalogue**, sélectionnez les autorisations et les autorisations pouvant être accordées. Sous **Autorisations du catalogue**, sélectionnez une ou plusieurs autorisations à octroyer.
![\[La section Permissions est la vignette des autorisations du catalogue. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de catalogue à accorder. Les cases à cocher incluent Super utilisateur, Créer un catalogue, Créer une base de données, Modifier, Supprimer, Décrire et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-catalog-permissions-section.png)
Choisissez **Super utilisateur** pour accorder des privilèges administratifs illimités afin d'effectuer n'importe quelle opération sur toutes les ressources du catalogue (bases de données, tables et vues).
**Note**
Après avoir accordé `Create database` ou `Alter` sur un catalogue doté d'une propriété de localisation pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
La page **Autorisations relatives aux données** affiche les détails des autorisations. Si vous avez utilisé **l'option Principaux par attribut** pour accorder des autorisations, vous pouvez afficher l'autorisation accordée `ALLPrincipals` dans la liste.
------
#### [ AWS CLI ]
Pour accorder des autorisations de catalogue à l'aide de AWS CLI, voir[Création de catalogues fédérés Amazon Redshift](create-ns-catalog.md).
------
# Octroi d’autorisations de base de données via la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations de base de données à l'aide de la méthode des ressources nommées.
------
#### [ Console ]
Utilisez la page **Accorder des autorisations** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Type principal** : la section **Principaux** inclut les utilisateurs, les rôles, les utilisateurs et groupes IAM Identity Center, les utilisateurs et groupes SAML, les AWS comptes, les organisations ou les unités organisationnelles habilités à accorder des autorisations. Dans la section **Principaux par attributs**, vous pouvez spécifier la clé et les valeurs des attributs attachés aux rôles IAM.
+ **Balises LF ou ressources du catalogue** : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur un lien de ressource de base de données, voir[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page **Accorder des autorisations**.
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant d'**autorisations Grantable** sur la base de données.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Bases de données** sous **Catalogue de données**. Ensuite, sur la page **Bases** de données, choisissez une base de données, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Grant**.
**Note**
Vous pouvez accorder des autorisations sur une base de données via son lien de ressource. Pour ce faire, sur la page **Bases** de données, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Dans la section **Type de principal**, spécifiez les principaux ou accordez des autorisations aux principaux à l'aide d'attributs.
![\[La section Principaux contient quatre vignettes. Chaque vignette contient un bouton d'option et du texte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**. Sélectionnez **Ajouter** pour ajouter d'autres utilisateurs ou groupes.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, il role/user obtient des autorisations d'accès à la ressource.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources de catalogue, sélectionnez Ressources** de **catalogue de données nommées**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. Choisissez une ou plusieurs bases de données dans la liste des **bases de données**. Vous pouvez également choisir un ou plusieurs **filtres de and/or données** de **tables**.
1. Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables. Sous **Autorisations de base** de données, sélectionnez une ou plusieurs autorisations à accorder.
![\[La section Autorisations contient deux vignettes disposées horizontalement. Chaque vignette contient un bouton d'option et du texte. La vignette Autorisations de base de données est sélectionnée. L'autre vignette, Autorisations basées sur les colonnes, est désactivée car elle concerne les autorisations de table. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de base de données à accorder. Les cases à cocher incluent Create Table, Alter, Drop, Describe et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**Note**
Après avoir accordé `Create Table` ou `Alter` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de base de données en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de base de données à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une base de données ou le catalogue de données comme ressource, en fonction de l'autorisation accordée.
Dans les exemples suivants, remplacez-le ** par un identifiant de AWS compte valide.
**Example — Subvention pour créer une base de données**
Cet exemple accorde des autorisations `CREATE_DATABASE` à l'utilisateur`datalake_user1`. Étant donné que la ressource pour laquelle cette autorisation est accordée est le catalogue de données, la commande spécifie une `CatalogResource` structure vide comme `resource` paramètre.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example — Autorisation de créer des tables dans une base de données désignée**
L'exemple suivant octroie la `CREATE_TABLE` base de données `retail` à l'utilisateur`datalake_user1`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à un AWS compte externe avec l'option Grant**
L'exemple suivant octroie `CREATE_TABLE` l'option grant sur la base de données `retail` au compte externe 1111-2222-3333.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à une organisation**
L'exemple suivant octroie `ALTER` à l'organisation l'option grant sur la base `issues` de données`o-abcdefghijkl`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - Accordez `ALLIAMPrincipals` à sur le même compte**
L'exemple suivant accorde `CREATE_TABLE` l'autorisation d'accéder à la base `retail` de données à tous les principaux d'un même compte. Cette option permet à chaque principal du compte de créer une table dans la base de données et de créer un lien de ressource de table permettant aux moteurs de requêtes intégrés d'accéder aux bases de données et aux tables partagées. Cette option est particulièrement utile lorsqu'un directeur reçoit une subvention entre comptes et n'est pas autorisé à créer des liens vers des ressources. Dans ce scénario, l'administrateur du lac de données peut créer une base de données d'espaces réservés et accorder des `CREATE_TABLE` autorisations au `ALLIAMPrincipal` groupe, permettant ainsi à chaque responsable IAM du compte de créer des liens de ressources dans la base de données d'espaces réservés.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - Subvention `ALLIAMPrincipals` à un compte externe**
L'exemple suivant accorde des autorisations `CREATE_TABLE` d'accès à la base `retail` de données à tous les principaux d'un compte externe. Cette option permet à tous les principaux du compte de créer une table dans la base de données.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**Note**
Après avoir accordé `CREATE_TABLE` ou `ALTER` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
------
**Consultez aussi**
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
[Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
# Octroi d'autorisations de table à l'aide de la méthode de ressource nommée
Vous pouvez utiliser la console Lake Formation ou AWS CLI accorder des autorisations Lake Formation sur les tables du catalogue de données. Vous pouvez accorder des autorisations sur des tables individuelles, ou avec une seule opération d'autorisation, vous pouvez accorder des autorisations sur toutes les tables d'une base de données.
Si vous accordez des autorisations sur toutes les tables d'une base de données, vous les accordez implicitement sur la `DESCRIBE` base de données. La base de données apparaît ensuite sur la page **Bases** de données de la console et est renvoyée par l'opération `GetDatabases` d'API. Cette `DESCRIBE` autorisation automatique ne s'applique pas lors de l'utilisation du contrôle d'accès basé sur les attributs (ABAC). Lorsque vous accordez des autorisations sur toutes les tables d'une base de données à l'aide d'attributs, Lake Formation n'accorde pas implicitement d'`DESCRIBE`autorisation à la base de données.
Lorsque vous choisissez `SELECT` l'autorisation à accorder, vous avez la possibilité d'appliquer un filtre de colonne, un filtre de ligne ou un filtre de cellule.
------
#### [ Console ]
Les étapes suivantes expliquent comment accorder des autorisations de table à l'aide de la méthode de ressource nommée et de la page **Accorder des autorisations de lac de données** sur la console Lake Formation. La page est divisée en sections suivantes :
+ **Types de principes** : utilisateurs, rôles, AWS comptes, organisations ou unités organisationnelles auxquels accorder des autorisations. Vous pouvez également accorder des autorisations aux directeurs dont les attributs correspondent.
+ **Balises LF ou ressources du catalogue** : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur le lien d'une ressource de table, consultez[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page Accorder des autorisations.
Ouvrez la AWS Lake Formation console à [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)l'adresse et connectez-vous en tant qu'administrateur du lac de données, créateur de la table ou utilisateur ayant obtenu des autorisations sur la table avec l'option d'autorisation.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sélectionnez **Autorisations relatives aux données** sous **Autorisations**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, choisissez **Tables**. Ensuite, sur la page **Tables**, choisissez un tableau, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Accorder**.
**Note**
Vous pouvez accorder des autorisations sur une table via son lien de ressource. Pour ce faire, sur la page **Tables**, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Ensuite, dans la section **Principaux types**, spécifiez les principaux ou les principaux avec les attributs correspondants pour accorder des autorisations.
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS , AWS organisation** ou **principal IAM**, entrez une ou plusieurs organisations Compte AWS IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième caractère « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, les autorisations d'accès role/user à la ressource sont obtenues.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources du catalogue**, choisissez une base de données. Choisissez ensuite une ou plusieurs tables, ou **toutes les tables**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Les ressources de catalogue de données nommées sont sélectionnées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné. La liste déroulante Table est surmontée d'une vignette contenant le nom de la table sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**Spécifiez les autorisations sans filtrage des données.**
Dans la section **Autorisations**, sélectionnez les autorisations de table à accorder, et sélectionnez éventuellement les autorisations pouvant être accordées.
![\[La section Autorisations relatives aux tables et aux colonnes comporte deux sous-sections : les autorisations relatives aux tables et les autorisations pouvant être accordées. Chaque sous-section comporte une case à cocher pour chaque autorisation de Lake Formation possible : Alter, Insert, Drop, Delete, Select, Describe et Super. La super autorisation est située à droite des autres autorisations et comporte une description : « Cette autorisation permet au principal d'accorder n'importe laquelle des autorisations indiquées sur la gauche et remplace les autorisations pouvant être accordées. »\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
Si vous autorisez **Select**, la section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**, l'option **Accès à toutes les données** étant sélectionnée par défaut. Acceptez la valeur par défaut.
![\[La section contient trois vignettes, disposées horizontalement, chacune dotée d'un bouton d'option et d'une description. Les boutons d'option sont les suivants : accès à toutes les données (sélectionné), accès simple basé sur des colonnes et filtres avancés au niveau des cellules.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. Choisissez **Accorder**.
1.
**Spécifiez l'autorisation de **sélection** avec filtrage des données**
Sélectionnez l'autorisation **Select**. Ne sélectionnez aucune autre autorisation.
La section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**.
1. Effectuez l’une des actions suivantes :
+ Appliquez uniquement un filtrage par colonne simple.
1. Choisissez **Accès simple basé sur des colonnes**.
![\[La section supérieure est la section Autorisations relatives aux tables et aux colonnes. Elle est décrite dans la capture d'écran précédente. Il contient des cases à cocher pour les autorisations de table et les autorisations pouvant être accordées. La section inférieure, Autorisations relatives aux données, comporte trois vignettes disposées horizontalement, où chaque vignette comporte un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Accès simple basé sur des colonnes est sélectionnée. Sous les vignettes se trouve un groupe de boutons d'option portant le libellé Choisir un filtre d'autorisation. Les options sont Inclure les colonnes et Exclure les colonnes. Sous le groupe d'options se trouve une liste déroulante de sélection des colonnes, et en dessous se trouve une sous-section Autorisations pouvant être accordées, qui contient une seule case à cocher intitulée Sélectionner.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. Choisissez d'inclure ou d'exclure des colonnes, puis choisissez les colonnes à inclure ou à exclure.
Seules les listes d'inclusion sont prises en charge lors de l'octroi d'autorisations à un AWS compte ou à une organisation externe.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, activez l'option d'octroi pour l'autorisation Select.
Si vous incluez l'option de subvention, le bénéficiaire de la subvention ne peut accorder des autorisations que sur les colonnes que vous lui accordez.
**Note**
Vous pouvez également appliquer le filtrage des colonnes uniquement en créant un filtre de données qui spécifie un filtre de colonne et spécifie toutes les lignes comme filtre de ligne. Cependant, cela nécessite d'autres étapes.
+ Appliquez un filtrage par colonne, ligne ou cellule.
1. Choisissez Filtres **avancés au niveau des cellules**.
![\[Cette section, intitulée Autorisations relatives aux données, se trouve sous la section Autorisations relatives aux tables. Il comporte trois vignettes disposées horizontalement, chaque vignette ayant un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Filtres avancés au niveau des cellules est sélectionnée. Sous les vignettes se trouve l'étiquette Afficher les autorisations existantes avec un triangle d'exposition sur la gauche. Les autorisations existantes ne sont pas exposées. Ci-dessous se trouve une section intitulée Filtres de données à accorder. À droite du titre se trouvent trois boutons : Actualiser, Gérer les filtres et Créer un nouveau filtre. Sous le titre et les boutons se trouve un champ de texte contenant le texte fictif « Rechercher un filtre ». Vous trouverez ci-dessous un tableau des filtres existants. Chaque ligne comporte une case à cocher sur la gauche. Les en-têtes de colonne sont le nom du filtre, la table, la base de données et l'identifiant du catalogue de tables. Il y a deux rangées. Le nom du filtre dans la première ligne est restrict-pharma. Le nom sur la deuxième ligne est no-pharma.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (Facultatif) Agrandir **Afficher les autorisations existantes**.
1. (Facultatif) Choisissez **Créer un nouveau filtre**.
1. (Facultatif) Pour afficher les détails des filtres répertoriés, créer de nouveaux filtres ou supprimer des filtres existants, choisissez **Gérer les filtres**.
La page **Filtres de données** s'ouvre dans une nouvelle fenêtre de navigateur.
Lorsque vous avez terminé sur la page **Filtres de données**, retournez à la page **Accorder des autorisations** et, si nécessaire, actualisez la page pour afficher les nouveaux filtres de données que vous avez créés.
1. Sélectionnez un ou plusieurs filtres de données à appliquer à la subvention.
**Note**
Si la liste ne contient aucun filtre de données, cela signifie qu'aucun filtre de données n'a été créé pour la table sélectionnée.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de table en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de table à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une table comme ressource.
**Example — Subvention sur une seule table, sans filtrage**
L'exemple suivant accorde `SELECT` et `ALTER` à l'utilisateur `datalake_user1` dans le AWS compte 1111-2222-3333 sur la table de la base de données. `inventory` `retail`
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Si vous accordez l'`ALTER`autorisation sur une table dont les données sous-jacentes se trouvent dans un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
**Example — Subvention sur toutes les tables avec l'option Grant : aucun filtrage**
L'exemple suivant accorde des autorisations `SELECT` avec l'option grant sur toutes les tables de la base de données`retail`.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example — Subvention avec filtrage simple par colonne**
L'exemple suivant accorde des `SELECT` autorisations sur un sous-ensemble de colonnes de la table. `persons` Il utilise un simple filtrage par colonne.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example — Subvention avec filtre de données**
Cet exemple accorde des `SELECT` autorisations sur la `orders` table et applique le filtre de `restrict-pharma` données.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Le contenu du fichier est le suivant`grant-params.json`.
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**Consultez aussi**
[Vue d'ensemble des autorisations relatives à Lake Formation](lf-permissions-overview.md)
[Filtrage des données et sécurité au niveau des cellules dans Lake Formation](data-filtering.md)
[Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md)
[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
# Octroi d'autorisations sur les vues à l'aide de la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations sur les vues à l'aide de la méthode de ressource nommée et de la page **Accorder des autorisations**. La page est divisée selon les sections suivantes :
+ **Principaux types** : utilisateurs IAM, rôles, utilisateurs et groupes de l'IAM Identity Center Comptes AWS, organisations ou unités organisationnelles auxquels octroyer les autorisations. Vous pouvez également accorder des autorisations aux directeurs dont les attributs correspondent.
+ **Balises LF ou ressources du catalogue** : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations : autorisations** à accorder au lac de données.
## Ouvrez la page **Accorder les autorisations**
1. Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant d'**autorisations Grantable** sur la base de données.
1. Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Views** sous **Catalogue de données**. Ensuite, sur la page **Vues**, choisissez une vue, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Accorder**.
**Note**
Vous pouvez accorder des autorisations sur une vue via son lien de ressource. Pour ce faire, sur la page **Vues**, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
## Spécifiez les principaux types
Dans la section **Principaux types**, choisissez Principaux ou Principaux par attributs. Si vous choisissez Principaux, les options suivantes sont disponibles :
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center **
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
**Voir aussi**
+ [Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)
**Principaux par attributs**
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, les autorisations d'accès role/user à la ressource sont obtenues.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
## Spécifiez les vues
Dans la section **LF-Tags ou ressources du catalogue**, choisissez une ou plusieurs vues pour lesquelles vous souhaitez accorder des autorisations.
1. Choisissez **Ressources de catalogue de données nommées**.
1. Choisissez une ou plusieurs vues dans la liste des **vues**. Vous pouvez également choisir un ou plusieurs catalogues, bases de données, tables, filtres de and/or données.
L'octroi d'autorisations de lac de données au `All tables` sein d'une base de données permettra au bénéficiaire de disposer d'autorisations sur toutes les tables et vues de la base de données.
## Spécifiez les autorisations
Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables.
![\[La section Autorisations comporte un groupe de cases à cocher pour afficher les autorisations à accorder. Les cases à cocher incluent Sélectionner, Décrire, Supprimer et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/view-permissions.png)
1. Sous **Afficher les autorisations**, sélectionnez une ou plusieurs autorisations à accorder.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux dans son domaine. Compte AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
**Voir aussi**
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
[Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)
# Contrôle d'accès basé sur des balises Lake Formation
Le contrôle d'accès basé sur les balises de Lake Formation (LF-TBAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Dans Lake Formation, ces attributs sont appelés balises *LF*. Vous pouvez associer des balises LF aux ressources du catalogue de données et accorder des autorisations aux responsables de Lake Formation sur ces ressources à l'aide de ces balises LF. Lake Formation autorise les opérations sur ces ressources lorsque le principal a accordé l'accès à une valeur de balise qui correspond à la valeur de l'étiquette de ressource.
Le LF-TBAC est utile dans les environnements qui se développent rapidement et dans les situations où la gestion des politiques devient fastidieuse.
La méthode LF-TBAC est recommandée pour accorder des autorisations à Lake Formation lorsqu'il existe un grand nombre d'objets du catalogue de données, notamment des catalogues fédérés, des bases de données, des tables et des vues. Lake Formation prend en charge le contrôle d'accès basé sur des balises pour les catalogues fédérés de tables Amazon S3, les entrepôts de Amazon Redshift données et les sources de données fédérées telles que SQL Server et Amazon DynamoDB Snowflake.
**Note**
Les balises IAM sont différentes des balises LF. Ces étiquettes ne sont pas interchangeables. Les balises LF sont utilisées pour accorder des autorisations à Lake Formation et les balises IAM sont utilisées pour définir les politiques IAM.
## Comment fonctionne le contrôle d'accès basé sur des balises Lake Formation
Chaque balise LF est une paire clé-valeur, telle que ou. `department=sales` `classification=restricted` Une clé peut avoir plusieurs valeurs définies, telles que`department=sales,marketing,engineering,finance`.
Pour utiliser la méthode LF-TBAC, les administrateurs de lacs de données et les ingénieurs de données effectuent les tâches suivantes.
| Sous-tâche | Détails de la tâche |
| --- | --- |
| 1. Définissez les propriétés et les relations des balises LF. | - |
| 2. Créez les créateurs de balises LF dans Lake Formation. | [Ajouter des créateurs de LF-Tag](TBAC-adding-tag-creator.md) |
| 3. Créez le tag LF dans Lake Formation. | [Création de balises LF](TBAC-creating-tags.md) |
| 4. Attribuez des balises LF aux ressources du catalogue de données. | [Affectation de balises LF aux ressources du catalogue de données](TBAC-assigning-tags.md) |
| 5. Accordez des autorisations à d'autres principaux pour attribuer des balises LF aux ressources, éventuellement avec l'option d'octroi. | [Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md) |
| 6. Accordez des expressions LF-Tag aux principaux, éventuellement avec l'option grant. | [Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md) |
| 7. (Recommandé) Après avoir vérifié que les principaux ont accès aux bonnes ressources par le biais de la méthode LF-TBAC, révoquez les autorisations accordées à l'aide de la méthode des ressources nommées. | - |
Imaginons le cas où vous devez accorder des autorisations à trois principaux sur trois bases de données et sept tables.
![\[Trois figures d'utilisateurs se trouvent à gauche, disposées verticalement. Sur la droite se trouvent trois bases de données étiquetées A, B et C, disposées verticalement. La base de données A comporte deux tables étiquetées A.1 et A.2, la base de données B possède les tables B.1 et B.2, et la base de données C possède trois tables étiquetées C.1, C.2 et C.3. Dix-sept flèches connectent les utilisateurs aux bases de données et aux tables, indiquant aux utilisateurs les autorisations relatives aux bases de données et aux tables.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/TBAC_example_discreet.png)
Pour obtenir les autorisations indiquées dans le schéma précédent en utilisant la méthode des ressources nommées, vous devez accorder 17 autorisations, comme suit (en pseudo-code).
```
GRANT CREATE_TABLE ON Database A TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.1 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 1
GRANT SELECT, INSERT ON Table B.2 TO PRINCIPAL 1
...
GRANT SELECT, INSERT ON Table A.2 TO PRINCIPAL 2
GRANT CREATE_TABLE ON Database B TO PRINCIPAL 2
...
GRANT SELECT, INSERT ON Table C.3 TO PRINCIPAL 3
```
Réfléchissez maintenant à la manière dont vous accorderiez des autorisations en utilisant le LF-TBAC. Le schéma suivant indique que vous avez attribué des balises LF aux bases de données et aux tables, et que vous avez accordé des autorisations sur les balises LF aux principaux.
Dans cet exemple, les balises LF représentent des zones du lac de données qui contiennent des analyses pour différents modules d'une suite d'applications de planification des ressources d'entreprise (ERP). Vous pouvez les utiliser pour contrôler l'accès aux données d'analyse des différents modules. Toutes les balises LF ont la clé `module` et les valeurs possibles `Sales``Orders`, et. `Customers` Voici un exemple de balise LF :
```
module=Sales
```
Le diagramme montre uniquement les valeurs des balises LF.
![\[Comme dans le schéma précédent, trois figures d'utilisateurs se trouvent à gauche, disposées verticalement, et à droite se trouvent trois bases de données étiquetées A, B et C, disposées verticalement. La base de données A comporte deux tables étiquetées A.1 et A.2, la base de données B possède les tables B.1 et B.2, et la base de données C possède trois tables étiquetées C.1, C.2 et C.3. Aucune flèche ne sépare les utilisateurs des bases de données et des tables. Au lieu de cela, les « drapeaux » étiquetés à côté des utilisateurs indiquent que l'utilisateur 1 a reçu les LF-Tags Sales and Customers, l'utilisateur 2 a reçu les commandes LF-Tag et l'utilisateur 3 a reçu les LF-Tag Customers. Les drapeaux situés à côté des bases de données et des tables indiquent les affectations suivantes des balises FLF aux bases de données et aux tables : Base de données A : Ventes. Tableau A1 : Un indicateur grisé indique que les ventes ont été héritées de la base de données A. Tableau A2 : Commandes, mais un indicateur grisé indique que les ventes ont été héritées de la base de données A. Base de données B : Commandes. Les tables B.1 et B.2 héritent des commandes, et la table B.2 contient les clients. La base de données C possède des clients et les tables C.1, C.2 et C.3 héritent des clients. Les tables C n'ont aucune autre affectation.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/TBAC_example_tags.png)
**Attributions de balises aux ressources et à l'héritage du catalogue de données**
Les tables héritent des balises LF des bases de données et les colonnes héritent des balises LF des tables. Les valeurs héritées peuvent être remplacées. Dans le schéma précédent, les balises LF grisées sont héritées.
En raison de l'héritage, l'administrateur du lac de données doit uniquement attribuer les cinq balises LF suivantes aux ressources (en pseudo-code).
```
ASSIGN TAGS module=Sales TO database A
ASSIGN TAGS module=Orders TO table A.2
ASSIGN TAGS module=Orders TO database B
ASSIGN TAGS module=Customers TO table B.2
ASSIGN TAGS module=Customers TO database C
```
**Tag : subventions aux directeurs d'école**
Après avoir attribué des balises LF aux bases de données et aux tables, l'administrateur du lac de données ne doit accorder que quatre balises LF aux principaux, comme suit (en pseudo-code).
```
GRANT TAGS module=Sales TO Principal 1
GRANT TAGS module=Customers TO Principal 1
GRANT TAGS module=Orders TO Principal 2
GRANT TAGS module=Customers TO Principal 3
```
Désormais, un principal doté de la `module=Sales` balise LF peut accéder aux ressources du catalogue de données avec la `module=Sales` balise LF (par exemple, la base de données A), un principal doté de la balise `module=Customers` LF peut accéder aux ressources avec la `module=Customers` balise LF, etc.
Les commandes d'autorisation précédentes sont incomplètes. En effet, bien qu'ils indiquent par le biais de balises LF les ressources du catalogue de données sur lesquelles les principaux sont autorisés, ils n'indiquent pas exactement quelles autorisations de Lake Formation (telles que`SELECT`,`ALTER`) les principaux ont sur ces ressources. Par conséquent, les commandes de pseudo-code suivantes sont une représentation plus précise de la manière dont les autorisations Lake Formation sont accordées sur les ressources du catalogue de données via des balises LF.
```
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Sales TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Sales TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 1
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 1
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Orders TO Principal 2
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Orders TO Principal 2
GRANT (CREATE_TABLE ON DATABASES) ON TAGS module=Customers TO Principal 3
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=Customers TO Principal 3
```
**Assemblage : autorisations résultantes sur les ressources**
Compte tenu des balises LF attribuées aux bases de données et aux tables dans le schéma précédent, et des balises LF accordées aux principaux dans le diagramme, le tableau suivant répertorie les autorisations de Lake Formation dont disposent les principaux sur les bases de données et les tables.
| Principal | Autorisations accordées via des balises LF |
| --- | --- |
| Principal 1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/tag-based-access-control.html) |
| Principal 2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/tag-based-access-control.html) |
| Principal 3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/tag-based-access-control.html) |
**Conclusion**
Dans cet exemple simple, à l'aide de cinq opérations d'attribution et de huit opérations de subvention, l'administrateur du lac de données a pu spécifier 17 autorisations. Lorsqu'il existe des dizaines de bases de données et des centaines de tables, l'avantage de la méthode LF-TBAC par rapport à la méthode des ressources nommées devient évident. Dans le cas hypothétique de la nécessité d'accorder à chaque principal l'accès à chaque ressource, et où `n(P)` sont le nombre de principaux et `n(R)` le nombre de ressources :
+ Avec la méthode des ressources nommées, le nombre de subventions requises est de `n(P)` ✕`n(R)`.
+ Avec la méthode LF-TBAC, en utilisant un seul tag LF, le total du nombre de subventions aux directeurs et d'affectations aux ressources est de \$1. `n(P)` `n(R)`
**Consultez aussi**
[Gestion des balises LF pour le contrôle d'accès aux métadonnées](managing-tags.md)
[Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md)
**Topics**
+ [Comment fonctionne le contrôle d'accès basé sur des balises Lake Formation](#how-TBAC-works)
+ [Gestion des balises LF pour le contrôle d'accès aux métadonnées](managing-tags.md)
+ [Gestion des expressions LF-Tag pour le contrôle d'accès aux métadonnées](managing-tag-expressions.md)
+ [Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
# Gestion des balises LF pour le contrôle d'accès aux métadonnées
Pour utiliser la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) afin de sécuriser les objets du catalogue de données tels que les catalogues, les bases de données, les tables, les vues et les colonnes, vous créez des balises LF, vous les attribuez aux ressources et vous accordez des autorisations LF-Tag aux principaux.
Avant de pouvoir attribuer des balises LF aux objets du catalogue de données ou accorder des autorisations aux principaux, vous devez définir des balises LF. Seul un administrateur de lac de données ou un directeur disposant des autorisations de création de balises LF peut créer des balises LF.
**Créateurs de LF-Tag**
Le créateur de balises LF est un administrateur principal non administrateur autorisé à créer et à gérer des balises LF. Les administrateurs de data lake peuvent ajouter des créateurs de balises LF à l'aide de la console Lake Formation ou de la CLI. Les créateurs de balises LF ont des autorisations implicites de Lake Formation pour mettre à jour et supprimer les balises LF, pour attribuer des balises LF aux ressources et pour accorder des autorisations de balise LF et des autorisations de valeur de balise LF à d'autres directeurs.
Grâce aux rôles de créateur de balises LF, les administrateurs des lacs de données peuvent déléguer des tâches de gestion des balises, telles que la création et la mise à jour des clés et des valeurs des balises, à des personnes qui ne sont pas des administrateurs principaux. Les administrateurs de lacs de données peuvent également accorder aux créateurs de balises LF des autorisations susceptibles d'être accordées`Create LF-Tag`. Ensuite, le créateur de balises LF peut accorder l'autorisation de créer des balises LF à d'autres personnes principales.
Vous pouvez accorder deux types d'autorisations sur les LF-Tags :
+ Autorisations LF-Tag - `Create LF-Tag``Alter`, et. `Drop` Ces autorisations sont requises pour créer, mettre à jour et supprimer des balises LF.
Les administrateurs du lac de données et les créateurs de balises LF disposent implicitement de ces autorisations sur les balises LF qu'ils créent et peuvent accorder ces autorisations explicitement aux principaux pour gérer les balises dans le lac de données.
+ Autorisations de paire clé-valeur LF-Tag -`Assign`, et. `Describe` `Grant with LF-Tag expressions` Ces autorisations sont nécessaires pour attribuer des balises LF aux objets du catalogue de données et pour accorder des autorisations sur les ressources aux principaux à l'aide du contrôle d'accès basé sur les balises Lake Formation. Les créateurs de balises LF reçoivent implicitement ces autorisations lors de la création de balises LF.
Après avoir reçu l'`Create LF-Tag`autorisation et créé avec succès les balises LF, le créateur de balises LF peut attribuer des balises LF aux ressources et accorder des autorisations de balises LF (`Create LF-Tag`, `Alter``Drop`, et) à d'autres entités non administratives pour gérer les balises dans le lac de données. Vous pouvez gérer les balises LF à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface ()AWS CLI.
**Note**
Les administrateurs des lacs de données disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF, attribuer des balises LF aux ressources et accorder des autorisations LF-Tag aux principaux.
Pour connaître les meilleures pratiques et les considérations, voir [Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation](lf-tag-considerations.md)
**Topics**
+ [Ajouter des créateurs de LF-Tag](TBAC-adding-tag-creator.md)
+ [Création de balises LF](TBAC-creating-tags.md)
+ [Mise à jour des balises LF](TBAC-updating-tags.md)
+ [Suppression des balises LF](TBAC-deleting-tags.md)
+ [Répertorier les balises LF](TBAC-listing-tags.md)
+ [Affectation de balises LF aux ressources du catalogue de données](TBAC-assigning-tags.md)
+ [Afficher les balises LF attribuées à une ressource](TBAC-view-resource-tags.md)
+ [Afficher les ressources auxquelles un tag LF est attribué](TBAC-view-tag-resources.md)
+ [Cycle de vie d'un LF-Tag](#lf-tag-life-cycle)
+ [Comparaison entre le contrôle d'accès basé sur les balises Lake Formation et le contrôle d'accès basé sur les attributs IAM](#TBAC-comparison-ABAC)
**Consultez aussi**
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)
# Ajouter des créateurs de LF-Tag
Par défaut, les administrateurs des lacs de données peuvent créer, mettre à jour et supprimer des balises LF, attribuer des balises aux objets du catalogue de données et accorder des autorisations de balises aux principaux. Si vous souhaitez déléguer les opérations de création et de gestion des balises à des administrateurs non administrateurs, l'administrateur du lac de données peut créer des rôles de créateur de balises LF et `Create LF-Tag` autoriser Lake Formation à accéder à ces rôles. Avec une `Create LF-Tag` autorisation pouvant être accordée, les créateurs de balises LF peuvent déléguer les tâches de création et de maintenance des balises à d'autres personnes non administratives.
Pour que les administrateurs de lacs de données puissent attribuer des balises LF aux ressources du catalogue de données, ils doivent s'octroyer des autorisations d'association sur les balises LF qu'ils n'ont pas créées.
**Note**
Les autorisations accordées entre comptes ne peuvent inclure que `Describe` des `Associate` autorisations. Vous ne pouvez pas accorder `Create LF-Tag``Drop`,`Alter`, et `Grant with LFTag expressions` autorisations aux principaux d'un autre compte.
**Topics**
+ [Autorisations IAM requises pour créer des balises LF](#tag-creator-permissions)
+ [Ajouter des créateurs de LF-Tag](#add-lf-tag-creator)
**Consultez aussi**
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)
## Autorisations IAM requises pour créer des balises LF
Vous devez configurer les autorisations pour permettre à un directeur de Lake Formation de créer des balises LF. Ajoutez la déclaration suivante à la politique d'autorisation pour le principal qui doit être un créateur de balises LF.
**Note**
Bien que les administrateurs des lacs de données disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF, pour attribuer des balises LF aux ressources et pour accorder des balises LF aux principaux, les administrateurs des lacs de données ont également besoin des autorisations IAM suivantes.
Pour de plus amples informations, veuillez consulter [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
```
Les principaux qui attribuent des balises LF aux ressources et accordent des balises LF aux principaux doivent avoir les mêmes autorisations, à l'exception des autorisations, et. `CreateLFTag` `UpdateLFTag` `DeleteLFTag`
## Ajouter des créateurs de LF-Tag
Un créateur de balise LF peut créer une balise LF, mettre à jour la clé et les valeurs de balise, supprimer des balises, associer des balises aux ressources du catalogue de données et accorder des autorisations sur les ressources du catalogue de données aux principaux à l'aide de la méthode LF-TBAC. Le créateur du LF-Tag peut également accorder ces autorisations aux principaux.
Vous pouvez créer des rôles de créateur de balises LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ console ]
**Pour ajouter un créateur de balises LF**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du datalake.
1. Dans le volet de navigation, sous **Permissions, sélectionnez **LF-Tags and** permissions**.
**Sur la page des **balises LF et des autorisations**, choisissez la section des créateurs de balises **LF, puis choisissez Ajouter des créateurs de balises** LF.**
![\[LF-Tag creator details form with Utilisateur IAM selection and permission options.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/add-lf-tag-creator.png)
1. Sur la page **Ajouter des créateurs de balises LF**, choisissez un rôle ou un utilisateur IAM disposant des autorisations requises pour créer des balises LF.
1. Activez `Create LF-Tag` la case à cocher d'autorisation.
1. (Facultatif) Pour permettre aux principaux sélectionnés d'accorder des `Create LF-Tag` autorisations aux principaux, choisissez Autorisation accordable. `Create LF-Tag`
1. Choisissez **Ajouter**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTag"
],
"PermissionsWithGrantOption": [
"CreateLFTag"
]
}
```
------
Les autorisations disponibles pour un rôle de créateur de balises LF sont les suivantes :
| Autorisations | Description |
| --- | --- |
| Drop | Un directeur disposant de cette autorisation sur un tag LF peut supprimer un tag LF du lac de données. Le principal obtient une Describe autorisation implicite sur toutes les valeurs de balise d'une ressource LF-Tag. |
| Alter | Un directeur disposant de cette autorisation sur une balise LF peut ajouter ou supprimer une valeur de balise à une balise LF. Le principal obtient une Alter autorisation implicite sur toutes les valeurs de balise d'une balise LF. |
| Describe | Un directeur disposant de cette autorisation sur un LF-Tag peut voir le LF-Tag et ses valeurs lorsqu'il attribue des LF-Tags à des ressources ou accorde des autorisations sur des LF-Tags. Vous pouvez accorder une autorisation Describe sur toutes les valeurs clés ou sur des valeurs spécifiques. |
| Associate | Un directeur disposant de cette autorisation sur une balise LF peut attribuer la balise LF à une ressource de catalogue de données. Accorder Associate implicitement des subventionsDescribe. |
| Grant with LF-Tag expression | Un directeur disposant de cette autorisation sur un tag LF peut accorder des autorisations sur les ressources d'un catalogue de données à l'aide de la clé et des valeurs du tag LF. Accorder Grant with LF-Tag expression implicitement des subventionsDescribe. |
Ces autorisations peuvent être accordées. Un directeur qui a obtenu ces autorisations avec l'option d'octroi peut les accorder à d'autres principaux.
# Création de balises LF
Toutes les balises LF doivent être définies dans Lake Formation avant de pouvoir être utilisées. Une balise LF se compose d'une clé et d'une ou de plusieurs valeurs possibles pour la clé.
Une fois que l'administrateur du lac de données a configuré les autorisations IAM et Lake Formation requises pour le rôle de créateur de balises LF, le principal peut créer une balise LF. Le créateur de la balise LF obtient l'autorisation implicite de mettre à jour ou de supprimer toute valeur de balise de la balise LF et de supprimer la balise LF.
Vous pouvez créer des balises LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour créer un LF-Tag**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que principal avec les autorisations de création de balises LF ou en tant qu'administrateur du lac de données.
1. **Dans le volet de navigation, sous **Permissions**, **LF-Tags et permissions**, choisissez LF-Tags.**
La page **LF-Tags apparaît**.
![\[La page comporte un tableau à 4 colonnes avec les en-têtes de colonne Key, Values, ID de compte du propriétaire et autorisations LF-Tag. Le tableau comporte 2 lignes. Au-dessus du tableau se trouvent 4 boutons disposés horizontalement : Supprimer (grisé), Modifier (grisé), Accorder des autorisations (grisé) et Ajouter une balise. La page comporte également un champ de recherche avec le texte fictif « Rechercher une étiquette ». À droite du champ de recherche se trouve un sélecteur de page affichant la valeur « 1 » entre les boutons gauche et droit, ainsi qu'une icône de paramètres.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/policy-tags-page-2.png)
1. Choisissez **Ajouter un tag LF**.
1. Dans la boîte de dialogue **Ajouter une balise LF**, entrez une clé et une ou plusieurs valeurs.
Chaque clé doit avoir au moins une valeur. Pour saisir plusieurs valeurs, entrez une liste séparée par des virgules puis appuyez sur **Entrée, ou entrez** une valeur à la fois et choisissez **Ajouter** après chacune d'elles. Le nombre maximum de valeurs autorisées est de 1 000.
1. Choisissez **Ajouter une balise**.
------
#### [ AWS CLI ]
**Pour créer un LF-Tag**
+ Entrez une `create-lf-tag` commande.
L'exemple suivant crée une balise LF avec une clé `module` et des valeurs `Customers` et. `Orders`
```
aws lakeformation create-lf-tag --tag-key module --tag-values Customers Orders
```
------
En tant que créateur de balise, le principal obtient l'`Alter`autorisation d'utiliser cette balise LF et peut mettre à jour ou supprimer toute valeur de balise de cette balise LF. Le créateur principal du tag LF peut également `Alter` autoriser un autre principal à mettre à jour et à supprimer les valeurs des balises sur ce tag LF.
# Mise à jour des balises LF
Vous mettez à jour une balise LF sur laquelle vous avez l'`Alter`autorisation en ajoutant ou en supprimant des valeurs clés autorisées. Vous ne pouvez pas modifier la touche LF-Tag. Pour modifier la clé, supprimez le tag LF et ajoutez-en un avec la clé requise. Outre l'`Alter`autorisation, vous avez également besoin de l'autorisation `lakeformation:UpdateLFTag` IAM pour mettre à jour les valeurs.
Lorsque vous supprimez une valeur de balise LF, aucune vérification n'est effectuée pour vérifier la présence de cette valeur de balise LF sur aucune ressource du catalogue de données. Si la valeur de balise LF supprimée est associée à une ressource, elle n'est plus visible pour cette ressource, et les principaux auxquels des autorisations ont été accordées sur cette paire clé-valeur ne disposent plus de ces autorisations.
Avant de supprimer une valeur de balise LF, vous pouvez éventuellement utiliser la [`remove-lf-tags-from-resource`commande](TBAC-assigning-tags.md#remove-tag-command) pour supprimer la balise LF des ressources du catalogue de données contenant la valeur que vous souhaitez supprimer, puis reétiqueter la ressource avec les valeurs que vous souhaitez conserver.
Seuls les administrateurs du lac de données, le créateur du tag LF et les principaux détenteurs d'`Alter`autorisations sur le tag LF peuvent mettre à jour un tag LF.
Vous pouvez mettre à jour une balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour mettre à jour un LF-Tag (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données, créateur du tag LF ou principal `Alter` autorisé à utiliser le tag LF.
1. **Dans le volet de navigation, sous **Permissions**, **LF-Tags et permissions**, choisissez LF-Tags.**
1. **Sur la page **Balises LF**, sélectionnez une balise LF, puis choisissez Modifier.**
1. Dans la boîte de dialogue **Modifier le tag LF**, ajoutez ou supprimez des valeurs du tag LF.
Pour ajouter plusieurs valeurs, dans le champ **Valeurs**, entrez une liste séparée par des virgules et appuyez sur **Entrée, ou entrez** une valeur à la fois ou choisissez **Ajouter** après chacune d'elles.
1. Choisissez **Enregistrer**.
------
#### [ AWS CLI ]
**Pour mettre à jour un LF-Tag ()AWS CLI**
+ Entrez une `update-lf-tag` commande. Fournissez l'un des arguments suivants ou les deux :
+ `--tag-values-to-add`
+ `--tag-values-to-delete`
**Example**
L'exemple suivant remplace la valeur `vp` par la valeur de `vice-president` la clé LF-Tag. `level`
```
aws lakeformation update-lf-tag --tag-key level --tag-values-to-add vice-president
--tag-values-to-delete vp
```
------
# Suppression des balises LF
Vous pouvez supprimer les balises LF qui ne sont plus utilisées. Aucune vérification n'est effectuée pour vérifier la présence de la balise LF sur une ressource de catalogue de données. Si le tag LF supprimé est associé à une ressource, il n'est plus visible pour la ressource, et les principaux auxquels des autorisations ont été accordées sur ce tag LF ne le sont plus.
Avant de supprimer une balise LF, vous pouvez éventuellement utiliser la [`remove-lf-tags-from-resource`](TBAC-assigning-tags.md#remove-tag-command)commande pour supprimer la balise LF de toutes les ressources.
Seuls les administrateurs du lac de données, le créateur du tag LF ou un principal `Drop` autorisé à utiliser le tag LF peuvent supprimer un tag LF. Outre l'`Drop`autorisation, le principal doit également disposer de l'autorisation `lakeformation:DeleteLFTag` IAM pour supprimer un tag LF.
Vous pouvez supprimer une balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour supprimer un tag LF (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données.
1. **Dans le volet de navigation, sous **Permissions**, **LF-Tags et permissions**, choisissez LF-Tags.**
1. **Sur la page **Balises LF**, sélectionnez une balise LF, puis choisissez Supprimer.**
1. Dans l'**environnement Delete tag ?** **boîte de dialogue, pour confirmer la suppression, entrez la valeur de la clé LF-Tag dans le champ désigné, puis choisissez Supprimer.**
------
#### [ AWS CLI ]
**Pour supprimer un tag LF ()AWS CLI**
+ Entrez une `delete-lf-tag` commande. Indiquez la clé du tag LF à supprimer.
**Example**
L'exemple suivant supprime le tag LF avec la clé. `region`
```
aws lakeformation delete-lf-tag --tag-key region
```
------
# Répertorier les balises LF
Vous pouvez répertorier les balises LF pour lesquelles vous avez les `Associate` autorisations `Describe` ou les autorisations. Les valeurs répertoriées avec chaque clé LF-Tag sont les valeurs pour lesquelles vous avez des autorisations.
Le créateur de balises LF dispose d'autorisations implicites pour voir les balises LF qu'il a créées.
Les administrateurs du data lake peuvent voir toutes les balises LF définies dans le AWS compte local et toutes les balises LF pour lesquelles les `Associate` autorisations `Describe` et les autorisations ont été accordées au compte local à partir de comptes externes. L'administrateur du lac de données peut voir toutes les valeurs de toutes les balises LF.
Vous pouvez répertorier les balises LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour répertorier les balises LF (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que créateur de balises LF, en tant qu'administrateur du lac de données ou en tant que principal ayant obtenu des autorisations sur les balises LF et disposant de l'autorisation IAM. `lakeformation:ListLFTags`
1. **Dans le volet de navigation, sous **Permissions**, **LF-Tags et permissions**, choisissez LF-Tags.**
La page **LF-Tags apparaît**.
![\[La page comporte un tableau à 3 colonnes avec les en-têtes de colonne Clé, Valeurs et ID de compte du propriétaire. Le tableau comporte 2 lignes. Au-dessus du tableau se trouvent 4 boutons disposés horizontalement : Recharger la page, Supprimer (grisé), Modifier (grisé) et Ajouter une balise. La page comporte également un champ de recherche avec le texte fictif « Rechercher une étiquette ». À droite du champ de recherche se trouve un sélecteur de page affichant la valeur « 1 » entre les boutons gauche et droit, ainsi qu'une icône de paramètres.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/policy-tags-page-2.png)
Consultez la colonne **ID du compte propriétaire** pour déterminer les balises LF qui ont été partagées avec votre compte depuis un compte externe.
------
#### [ AWS CLI ]
**Pour répertorier les balises LF ()AWS CLI**
+ Exécutez la commande suivante en tant qu'administrateur du lac de données ou en tant que principal ayant obtenu des autorisations sur les balises LF et disposant de l'autorisation `lakeformation:ListLFTags` IAM.
```
aws lakeformation list-lf-tags
```
La sortie est similaire à ce qui suit.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
]
}
```
Pour voir également les balises LF attribuées à partir de comptes externes, incluez l'option de commande. `--resource-share-type ALL`
```
aws lakeformation list-lf-tags --resource-share-type ALL
```
La sortie est similaire à ce qui suit. Notez la `NextToken` clé, qui indique qu'il y en a d'autres à répertorier.
```
{
"LFTags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director",
"vp",
"c-level"
]
},
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales",
"Customers"
]
}
],
"NextToken": "eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ=="
}
```
Répétez la commande et ajoutez l'`--next-token`argument pour afficher les balises LF locales restantes et les balises LF accordées par des comptes externes. Les balises LF des comptes externes se trouvent toujours sur une page séparée.
```
aws lakeformation list-lf-tags --resource-share-type ALL
--next-token eyJleHBpcmF0aW...ZXh0Ijp0cnVlfQ==
```
```
{
"LFTags": [
{
"CatalogId": "123456789012",
"TagKey": "region",
"TagValues": [
"central",
"south"
]
}
]
}
```
------
#### [ API ]
Vous pouvez utiliser le SDKs paramètre available for Lake Formation pour répertorier les balises que le demandeur est autorisé à consulter.
```
import boto3
client = boto3.client('lakeformation')
...
response = client.list_lf_tags(
CatalogId='string',
ResourceShareType='ALL',
MaxResults=50'
)
```
Cette commande renvoie un `dict` objet dont la structure est la suivante :
```
{
'LFTags': [
{
'CatalogId': 'string',
'TagKey': 'string',
'TagValues': [
'string',
]
},
],
'NextToken': 'string'
}
```
------
Pour plus d’informations sur les autorisations requises, consultez [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).
# Affectation de balises LF aux ressources du catalogue de données
Vous pouvez attribuer des balises LF aux ressources du catalogue de données (bases de données, tables et colonnes) pour contrôler l'accès à ces ressources. Seuls les principaux auxquels des balises LF correspondantes sont attribuées (et les principaux auxquels l'accès est accordé avec la méthode de ressource nommée) peuvent accéder aux ressources.
Si une table hérite d'une balise LF d'une base de données ou si une colonne hérite d'une balise LF d'une table, vous pouvez remplacer la valeur héritée en affectant une nouvelle valeur à la clé de balise LF.
Le nombre maximum de balises LF que vous pouvez attribuer à une ressource est de 50.
**Topics**
+ [Exigences relatives à la gestion des balises attribuées aux ressources](#manage-tags-reqs)
+ [Attribuer des balises LF à une colonne de tableau](#assign-tag-column)
+ [Attribuer des balises LF à une ressource de catalogue de données](#assign-tag-catalog-resource)
+ [Mettre à jour les balises LF d'une ressource](#update-tags)
+ [Supprimer le tag LF d'une ressource](#remove-tag)
## Exigences relatives à la gestion des balises attribuées aux ressources
Pour attribuer une balise LF à une ressource du catalogue de données, vous devez :
+ Ayez l'`ASSOCIATE`autorisation de Lake Formation sur le LF-Tag.
+ Ayez l'`lakeformation:AddLFTagsToResource`autorisation IAM.
+ Avoir de la colle : GetDatabase autorisation sur une base de données Glue.
+ Soyez le propriétaire (créateur) de la ressource, `Super` détenez l'autorisation Lake Formation sur la ressource avec l'`GRANT`option, ou disposez des autorisations suivantes avec l'`GRANT`option :
+ Pour les bases de données du même AWS compte : `DESCRIBE``CREATE_TABLE`,`ALTER`, et `DROP`
+ Pour les bases de données d'un compte externe :`DESCRIBE`, `CREATE_TABLE` et `ALTER`
+ Pour les tables (et les colonnes) : `DESCRIBE``ALTER`,`DROP`,`INSERT`,`SELECT`, et `DELETE`
De plus, le tag LF et la ressource à laquelle il est attribué doivent se trouver dans le même AWS compte.
Pour supprimer une balise LF d'une ressource de catalogue de données, vous devez répondre à ces exigences et disposer de l'autorisation `lakeformation:RemoveLFTagsFromResource` IAM.
## Attribuer des balises LF à une colonne de tableau
**Pour attribuer des balises LF à une colonne de tableau (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'utilisateur répondant aux exigences répertoriées ci-dessus.
1. Dans le volet de navigation, choisissez **Tables**.
1. Choisissez un nom de table (et non le bouton d'option situé à côté du nom de la table).
1. Sur la page des détails de la table, dans la section **Schéma**, choisissez **Modifier le schéma**.
1. Sur la page **Modifier le schéma**, sélectionnez une ou plusieurs colonnes, puis choisissez **Modifier les balises LF**.
**Note**
Si vous avez l'intention d'ajouter ou de supprimer des colonnes et d'enregistrer une nouvelle version, faites-le d'abord. Modifiez ensuite les balises LF.
La boîte de dialogue **Modifier les balises LF** apparaît et affiche toutes les balises LF héritées du tableau.
![\[L'image est une capture d'écran de la fenêtre de dialogue Modifier les balises LF. La partie supérieure de la fenêtre montre deux clés héritées. La première clé héritée possède la clé « level » et la valeur « director (inherited) ». La deuxième clé héritée contient la clé « module » et la valeur « Orders (inherited) ». Sous ces champs se trouve un bouton « Attribuer un nouveau tag LF ». En dessous et à droite se trouvent les boutons Annuler et Enregistrer.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2a.png)
1. (Facultatif) Dans la liste des **valeurs** située à côté d'un champ **Clés héritées**, choisissez une valeur qui remplacera la valeur héritée.
1. (Facultatif) Choisissez **Attribuer un nouveau tag LF**. Ensuite, pour **Clés attribuées**, choisissez une clé, et pour **Valeurs**, choisissez une valeur pour la clé.
![\[L'image est une capture d'écran de la fenêtre de dialogue Modifier les balises LF. La partie supérieure de la fenêtre montre deux clés héritées. La première clé héritée possède la clé « level » et la valeur « director (inherited) ». La deuxième clé héritée contient la clé « module » et la valeur « Orders (inherited) ». Sous cette section, alignés horizontalement, se trouvent les champs et contrôles suivants : le champ « Clés attribuées », le champ « Valeurs » et le bouton Supprimer. Le champ Clés attribuées contient le texte « environnement ». Le champ Valeurs est une liste déroulante, avec les valeurs « Production » (surlignées) et « Clients ». Un bouton « Attribuer un nouveau LF-Tag » apparaît sous le champ Clés attribuées. En bas à droite de la fenêtre se trouvent les boutons Annuler et Enregistrer.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/edit-policy-tags-for-columns-2b.png)
1. (Facultatif) Choisissez à **nouveau Attribuer un nouveau tag LF** pour ajouter un autre tag LF.
1. Choisissez **Enregistrer**.
## Attribuer des balises LF à une ressource de catalogue de données
------
#### [ Console ]
**Pour attribuer des balises LF à une base de données ou à une table de catalogue de données**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'utilisateur répondant aux exigences répertoriées précédemment.
1. Dans le volet de navigation, sous **Catalogue de données**, effectuez l'une des opérations suivantes :
+ **Pour attribuer des balises LF aux bases de données, choisissez Databases.**
+ **Pour attribuer des balises LF aux tables, choisissez Tables.**
1. Choisissez une base de données ou une table, puis dans le menu **Actions**, choisissez **Modifier les balises LF**.
La boîte de *resource-name* dialogue **Modifier les balises LF :** apparaît.
Si une table hérite des balises LF de la base de données qui la contient, la fenêtre affiche les balises LF héritées. Sinon, le texte « Aucune balise LF héritée n'est associée à la ressource » s'affiche.
![\[L'image est une capture d'écran de la fenêtre de dialogue « Modifier les balises LF : inventaire ». En haut se trouvent les champs « Clés héritées » (grisés) et « Valeurs ». Le champ Clés héritées a la valeur « niveau » et le champ Valeurs a la valeur « directeur (hérité) ». Sous cette section, alignés horizontalement, se trouvent les champs et contrôles suivants : le champ « Clés attribuées », le champ « Valeurs » et le bouton Supprimer. Le champ Clés attribuées contient le texte « module ». Le champ Valeurs est une liste déroulante, avec les valeurs « Commandes », « Ventes » et « Clients » (surlignées). Un bouton « Attribuer un nouveau LF-Tag » se trouve sous le champ Clés attribuées. En bas à droite de la fenêtre se trouvent les boutons Annuler et Enregistrer.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/edit-policy-tags-for-tables-2.png)
1. (Facultatif) Si une table possède des balises LF héritées, dans la liste des **valeurs** située à côté d'un champ **Clés héritées**, vous pouvez choisir une valeur qui remplacera la valeur héritée.
1. Pour attribuer de nouvelles balises LF, procédez comme suit :
1. Choisissez **Attribuer un nouveau tag LF**.
1. Dans le champ **Clés assignées**, choisissez une clé LF-Tag, et dans le champ **Valeurs**, choisissez une valeur.
1. (Facultatif) Choisissez à **nouveau Assigner un nouveau tag LF** pour attribuer un tag LF supplémentaire.
1. Choisissez **Enregistrer**.
------
#### [ AWS CLI ]
**Pour attribuer des balises LF à une ressource de catalogue de données**
+ Exécutez la commande `add-lf-tags-to-resource`.
L'exemple suivant attribue la balise LF à la table `module=orders` de la base de données`orders`. `erp` Il utilise la syntaxe du raccourci pour l'`--lf-tags`argument. La `CatalogID` propriété pour `--lf-tags` est facultative. S'il n'est pas fourni, l'ID de catalogue de la ressource (dans ce cas, la table) est supposé.
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"orders"}}' --lf-tags CatalogId=111122223333,TagKey=module,TagValues=orders
```
Le résultat suivant est le résultat si la commande aboutit.
```
{
"Failures": []
}
```
L'exemple suivant affecte deux balises LF à la `sales` table et utilise la syntaxe JSON pour l'argument. `--lf-tags`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "Table": {"DatabaseName":"erp", "Name":"sales"}}' --lf-tags '[{"TagKey": "module","TagValues": ["sales"]},{"TagKey": "environment","TagValues": ["development"]}]'
```
L'exemple suivant affecte la balise LF `level=director` à la `total` colonne de la table. `sales`
```
aws lakeformation add-lf-tags-to-resource --resource '{ "TableWithColumns": {"DatabaseName":"erp", "Name":"sales", "ColumnNames":["total"]}}' --lf-tags TagKey=level,TagValues=director
```
------
## Mettre à jour les balises LF d'une ressource
**Pour mettre à jour une balise LF pour une ressource de catalogue de données ()AWS CLI**
+ Utilisez la `add-lf-tags-to-resource` commande, comme décrit dans la procédure précédente.
L'ajout d'un tag LF avec la même clé qu'un tag LF existant, mais avec une valeur différente met à jour la valeur existante.
## Supprimer le tag LF d'une ressource
**Pour supprimer une balise LF pour une ressource de catalogue de données ()AWS CLI**
+ Exécutez la commande `remove-lf-tags-from-resource`.
Si une table possède une valeur de balise LF qui remplace la valeur héritée de la base de données parent, la suppression de cette balise LF de la table restaure la valeur héritée. Ce comportement s'applique également à une colonne qui remplace les valeurs clés héritées de la table.
L'exemple suivant supprime le tag LF `level=director` de la `total` colonne du `sales` tableau. La `CatalogID` propriété pour `--lf-tags` est facultative. S'il n'est pas fourni, l'ID de catalogue de la ressource (dans ce cas, la table) est supposé.
```
aws lakeformation remove-lf-tags-from-resource
--resource ' { "TableWithColumns":
{ "DatabaseName": "erp", "Name": "sales", "ColumnNames":[ "total"]}}'
--lf-tags CatalogId=111122223333,TagKey=level,TagValues=director
```
# Afficher les balises LF attribuées à une ressource
Vous pouvez afficher les balises LF attribuées à une ressource de catalogue de données. Vous devez disposer de l'`ASSOCIATE`autorisation `DESCRIBE` or sur un LF-Tag pour le visualiser.
------
#### [ Console ]
**Pour afficher les balises LF attribuées à une ressource (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données, propriétaire de la ressource ou utilisateur ayant obtenu les autorisations de Lake Formation sur la ressource.
1. Dans le volet de navigation, sous le titre **Catalogue de données**, effectuez l'une des opérations suivantes :
+ **Pour afficher les balises LF attribuées à une base de données, sélectionnez Databases.**
+ **Pour afficher les balises LF attribuées à une table, choisissez Tables.**
1. Sur la page **Tables** ou **bases de données**, choisissez le nom de la base de données ou de la table. Ensuite, sur la page de détails, faites défiler la page vers le bas jusqu'à la **section LF-Tags**.
La capture d'écran suivante montre les balises LF attribuées à une `customers` table contenue dans la `retail` base de données. La `module` balise LF est héritée de la base de données. Le `level=vp` tag LF est attribué à la `credit_limit` colonne.
![\[L'image est une capture d'écran de la section LF-Tags de la page détaillée du customers tableau. La section LF-Tags contient un tableau avec les colonnes suivantes : ressource, clé, valeur et héritage de. Le tableau comporte 3 rangées. Au-dessus du tableau se trouvent un champ de saisie de texte avec le texte de remplacement « Rechercher des balises » et un bouton Modifier les balises. Le paragraphe qui précède l'image décrit les valeurs du tableau indiquées dans la capture d'écran.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/tags-for-resource-2.png)
------
#### [ AWS CLI ]
**Pour afficher les balises LF attribuées à une ressource ()AWS CLI**
+ Utilisez une commande similaire à la suivante.
```
aws lakeformation get-resource-lf-tags --show-assigned-lf-tags --resource '{ "Table": {"CatalogId":"111122223333", "DatabaseName":"erp", "Name":"sales"}}'
```
La commande renvoie le résultat suivant.
```
{
"TableTags": [
{
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"sales"
]
},
{
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"development"
]
}
],
"ColumnTags": [
{
"Name": "total",
"Tags": [
{
"CatalogId": "111122223333",
"TagKey": "level",
"TagValues": [
"director"
]
}
]
}
]
}
```
Cette sortie affiche uniquement les balises LF attribuées de manière explicite et non héritées. Si vous souhaitez voir toutes les balises LF sur toutes les colonnes, y compris les balises LF héritées, omettez cette option. `--show-assigned-lf-tags`
------
# Afficher les ressources auxquelles un tag LF est attribué
Vous pouvez afficher toutes les ressources du catalogue de données auxquelles une clé LF-Tag particulière est attribuée. Pour ce faire, vous devez disposer des autorisations Lake Formation suivantes :
+ `Describe`ou `Associate` sur le LF-Tag.
+ `Describe`ou toute autre autorisation de Lake Formation sur la ressource.
En outre, vous devez disposer des autorisations Gestion des identités et des accès AWS (IAM) suivantes :
+ `lakeformation:SearchDatabasesByLFTags`
+ `lakeformation:SearchTablesByLFTags`
------
#### [ Console ]
**Pour afficher les ressources auxquelles un tag LF est attribué (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur répondant aux exigences répertoriées précédemment.
1. **Dans le volet de navigation, sous **Permissions** et balises **LF et autorisations, choisissez LF-Tags**.**
1. Choisissez une touche LF-Tag (et non le bouton d'option à côté du nom de la clé).
La page de détails du LF-Tag affiche une liste des ressources auxquelles le LF-Tag a été attribué.
![\[L'image est une capture d'écran de la page détaillée du tag LF pour le « module » clé. La page détaillée du LF-Tag comporte deux sections. La section supérieure affiche la clé et les valeurs du tag LF. La section inférieure affiche les ressources associées à cette balise LF dans un tableau contenant les colonnes suivantes : clé, valeurs, type de ressource et ressource. Le tableau comporte 12 lignes, mais seules 7 sont affichées sur la capture d'écran. Les lignes du tableau indiquent que le tag LF est attribué à une base de données, à deux des tables de la base de données et, par héritage, aux colonnes de ces tables.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/resources-on-tags-2.png)
------
#### [ AWS CLI ]
**Pour afficher les ressources auxquelles un tag LF est attribué**
+ Exécutez une `search-databases-by-lf-tags` commande `search-tables-by-lf-tags` or.
**Example**
L'exemple suivant répertorie les tables et les colonnes auxquelles le `level=vp` tag LF est attribué. Pour chaque table ou colonne répertoriée, toutes les balises LF attribuées à la table ou à la colonne sont affichées, et pas seulement l'expression de recherche.
```
aws lakeformation search-tables-by-lf-tags --expression TagKey=level,TagValues=vp
```
------
Pour plus d’informations sur les autorisations requises, consultez [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).
## Cycle de vie d'un LF-Tag
1. Michael, le créateur du LF-Tag, crée un LF-Tag. `module=Customers`
1. Michael octroie `Associate` le LF-Tag à l'ingénieur de données Eduardo. Accorder `Associate` implicitement des subventions`Describe`.
1. Michael accorde une subvention `Super` sur la table `Custs` à Eduardo avec l'option de subvention, afin qu'Eduardo puisse attribuer des balises LF à la table. Pour de plus amples informations, veuillez consulter [Affectation de balises LF aux ressources du catalogue de données](TBAC-assigning-tags.md).
1. Eduardo attribue le LF-tag à `module=customers` la table. `Custs`
1. Michael accorde la subvention suivante à l'ingénieure de données Sandra (en pseudo-code).
```
GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
```
1. Sandra accorde la subvention suivante à l'analyste de données Maria.
```
GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria
```
Maria peut désormais exécuter des requêtes sur la `Custs` table.
**Consultez aussi**
[Contrôle d'accès aux métadonnées](access-control-metadata.md)
## Comparaison entre le contrôle d'accès basé sur les balises Lake Formation et le contrôle d'accès basé sur les attributs IAM
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit des autorisations en fonction des attributs. Dans AWS, ces attributs sont appelés *balises*. Vous pouvez associer des balises aux ressources IAM, notamment aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une seule politique ABAC ou un petit nombre de politiques pour vos principaux IAM. Ces politiques ABAC sont conçues pour autoriser des opérations lorsque la balise du principal correspond à celle de la ressource. L'ABAC est utile dans les environnements qui connaissent une croissance rapide et pour les cas où la gestion des politiques devient fastidieuse.
Les équipes de sécurité et de gouvernance du cloud utilisent IAM pour définir des politiques d'accès et des autorisations de sécurité pour toutes les ressources, y compris les compartiments Amazon S3, les instances Amazon EC2 et toutes les ressources auxquelles vous pouvez faire référence avec un ARN. Les politiques IAM définissent des autorisations générales (grossières) sur les ressources de votre lac de données, par exemple, pour autoriser ou refuser l'accès au niveau du compartiment ou du préfixe Amazon S3 ou au niveau de la base de données. Pour plus d'informations sur IAM ABAC, voir À [quoi sert ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) ? AWS dans le *guide de l'utilisateur IAM*.
Par exemple, vous pouvez créer trois rôles avec la clé de balise `project-access`. Définissez la valeur de la balise du premier rôle sur `Dev`, celle du deuxième sur `Marketing`, et celle du troisième sur `Support`. Attribuez des balises avec la valeur appropriée aux ressources. Vous pouvez alors utiliser une seule politique qui autorise l'accès lorsque le rôle et la ressource sont balisés avec la même valeur pour `project-access`.
Les équipes de gouvernance des données utilisent Lake Formation pour définir des autorisations précises pour des ressources de lacs de données spécifiques. Les balises LF sont attribuées aux ressources du catalogue de données (bases de données, tables et colonnes) et sont accordées aux principaux. Un principal dont les balises LF correspondent aux balises LF d'une ressource peut accéder à cette ressource. Les autorisations de Lake Formation sont secondaires aux autorisations IAM. Par exemple, si les autorisations IAM n'autorisent pas un utilisateur à accéder à un lac de données, Lake Formation n'accorde l'accès à aucune ressource de ce lac de données à cet utilisateur, même si le principal et la ressource ont des balises LF identiques.
Le contrôle d'accès basé sur des balises Lake Formation (LF-TBAC) fonctionne avec IAM ABAC pour fournir des niveaux d'autorisations supplémentaires pour vos données et ressources de Lake Formation.
+ **Les autorisations TBAC de Lake Formation évoluent avec l'innovation.** L'administrateur n'a plus besoin de mettre à jour les politiques existantes pour autoriser l'accès aux nouvelles ressources. Supposons, par exemple, que vous utilisiez une stratégie IAM ABAC avec la `project-access` balise pour fournir un accès à des bases de données spécifiques au sein de Lake Formation. À l'aide du LF-TBAC, le tag LF `Project=SuperApp` est attribué à des tables ou à des colonnes spécifiques, et le même tag LF est accordé à un développeur pour ce projet. Grâce à IAM, le développeur peut accéder à la base de données, et les autorisations LF-TBAC lui permettent d'accéder davantage à des tables ou à des colonnes spécifiques au sein de tables. Si une nouvelle table est ajoutée au projet, l'administrateur de Lake Formation n'a qu'à attribuer la balise à la nouvelle table pour que le développeur puisse y accéder.
+ **Lake Formation TBAC nécessite moins de politiques IAM.** Comme vous utilisez les politiques IAM pour accorder un accès de haut niveau aux ressources de Lake Formation et le TBAC de Lake Formation pour gérer un accès aux données plus précis, vous créez moins de politiques IAM.
+ **Grâce au Lake Formation TBAC, les équipes peuvent changer et se développer rapidement.** En effet, les autorisations d'accès aux nouvelles ressources sont automatiquement accordées en fonction des attributs. Par exemple, si un nouveau développeur rejoint le projet, il est facile de lui accorder l'accès en associant le rôle IAM à l'utilisateur, puis en lui attribuant les balises LF requises. Il n'est pas nécessaire de modifier la politique IAM pour prendre en charge un nouveau projet ou pour créer de nouveaux LF-Tags.
+ **Des autorisations plus précises sont possibles grâce au Lake Formation TBAC.** Les politiques IAM accordent l'accès aux ressources de haut niveau, telles que les bases de données ou les tables du catalogue de données. À l'aide de **Lake Formation TBAC**, vous pouvez autoriser l'accès à des tables ou à des colonnes spécifiques contenant des valeurs de données spécifiques.
**Note**
Les balises IAM sont différentes des balises LF. Ces étiquettes ne sont pas interchangeables. Les balises LF sont utilisées pour accorder des autorisations à Lake Formation et les balises IAM sont utilisées pour définir les politiques IAM.
# Gestion des expressions LF-Tag pour le contrôle d'accès aux métadonnées
Les expressions LF-Tag sont des expressions logiques composées d'une ou plusieurs balises LF (paires clé-valeur) utilisées pour octroyer des autorisations sur les ressources. AWS Glue Data Catalog Les expressions LF-Tag vous permettent de définir des règles qui régissent l'accès à vos ressources de données en fonction de leurs balises de métadonnées. Vous pouvez enregistrer ces expressions et les réutiliser dans le cadre de plusieurs autorisations accordées, afin de garantir la cohérence et de faciliter la gestion des modifications apportées à l'ontologie des balises au fil du temps.
Dans une expression LF-Tag donnée, les clés des balises sont combinées à l'aide de l'opération AND, tandis que les valeurs sont combinées à l'aide de l'opération OR. Par exemple, l'expression de balise `content_type:Sales AND location:US` représente les ressources liées aux données de vente aux États-Unis.
Vous pouvez créer jusqu'à 1 000 expressions LF-Tag dans un. Compte AWS Ces expressions constituent un moyen flexible et évolutif de gérer les autorisations en fonction des balises de métadonnées, en garantissant que seuls les utilisateurs ou applications autorisés peuvent accéder à des ressources de données spécifiques en fonction des règles de balises définies.
Les expressions LF-Tag offrent les avantages suivants :
+ **Réutilisabilité** — En définissant et en enregistrant des expressions LF-Tag, vous n'avez plus besoin de répliquer manuellement les mêmes expressions lorsque vous attribuez des autorisations à d'autres ressources ou à d'autres principaux.
+ **Cohérence — La** réutilisation des expressions LF-Tag pour plusieurs autorisations garantit la cohérence dans la manière dont les autorisations sont accordées et gérées.
+ **Gestion des ontologies de balises** : les expressions de balises LF aident à gérer les modifications apportées à l'ontologie des balises au fil du temps, car vous pouvez mettre à jour les expressions enregistrées au lieu de modifier les autorisations accordées individuellement.
Pour plus d'informations sur le contrôle d'accès basé sur des balises, veuillez consulter le[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
**Créateurs d'expressions LF-Tag**
Le créateur d'expressions LF-Tag est un directeur autorisé à créer et à gérer des expressions LF-Tag. Les administrateurs de data lake peuvent ajouter des créateurs d'expressions LF-Tag à l'aide de la console, de la CLI, de l'API ou du SDK Lake Formation. Les créateurs d'expressions LF-Tag disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des expressions LF-Tag, et pour accorder des autorisations d'expression LF-Tag à d'autres principaux.
Les créateurs d'expressions LF-Tag qui ne sont pas des administrateurs de lacs de données reçoivent des `Grant with LF-Tag expression` autorisations implicites `Alter``Drop`,`Describe`, et uniquement pour les expressions qu'ils ont créées.
Les administrateurs de data lake peuvent également accorder aux créateurs d'expressions LF-Tag des autorisations susceptibles d'être accordées`Create LF-Tag expression`. Le créateur de l'expression LF-Tag peut ensuite accorder l'autorisation de créer des expressions LF-Tag à d'autres principaux.
**Topics**
+ [Autorisations IAM requises pour créer des expressions LF-Tag](#tag-expression-creator-permissions)
+ [Ajouter des créateurs d'expressions LF-Tag](#add-lf-tag-expression-creator)
+ [Création d'expressions LF-Tag](TBAC-creating-tag-expressions.md)
+ [Mise à jour des expressions LF-Tag](TBAC-updating-expressions.md)
+ [Suppression d'expressions de balises LF](TBAC-deleting-expressions.md)
+ [Répertorier les expressions de balises LF](TBAC-listing-expressions.md)
**Consultez aussi**
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)
## Autorisations IAM requises pour créer des expressions LF-Tag
Vous devez configurer les autorisations pour permettre à un directeur de Lake Formation de créer des expressions LF-Tag. Ajoutez l'instruction suivante à la politique d'autorisation pour le principal qui doit être un créateur d'expressions LF-Tag.
**Note**
Bien que les administrateurs de lacs de données disposent d'autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF et des expressions de balises LF, pour attribuer des balises LF aux ressources et pour accorder des autorisations de balises LF et d'expression de balises LF aux principaux, les administrateurs de lacs de données ont également besoin des autorisations IAM suivantes.
Pour de plus amples informations, veuillez consulter [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags",
"lakeformation:CreateLFTagExpression",
"lakeformation:DeleteLFTagExpression",
"lakeformation:UpdateLFTagExpression",
"lakeformation:GetLFTagExpression",
"lakeformation:ListLFTagExpressions",
"lakeformation:GrantPermissions",
"lakeformation:RevokePermissions",
"lakeformation:BatchGrantPermissions",
"lakeformation:BatchRevokePermissions"
]
}
```
## Ajouter des créateurs d'expressions LF-Tag
Les créateurs d'expressions LF-Tag peuvent créer et enregistrer des expressions LF-Tag réutilisables, mettre à jour la clé et les valeurs des balises, supprimer des expressions et accorder des autorisations sur les ressources du catalogue de données aux principaux à l'aide de la méthode LF-TBAC. Le créateur de l'expression LF-Tag peut également accorder ces autorisations aux principaux.
Vous pouvez créer des rôles de créateur d'expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ console ]
**Pour ajouter un créateur d'expressions LF-Tag**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données.
1. Dans le volet de navigation, sous **Permissions, sélectionnez **LF-Tags and** permissions**.
1. Choisissez l'onglet **Expressions LF-Tag**.
1. Dans la section **Créateurs d'expressions LF-Tag, choisissez Ajouter des créateurs** **d'expressions LF-Tag**.
![\[Form to add LF-Tag expression creators with Utilisateur IAM selection and permissions.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)
1. Sur la page **Ajouter des créateurs d'expressions LF-Tag**, choisissez un rôle ou un utilisateur IAM disposant des autorisations requises pour créer des expressions LF-Tag.
1. Cochez `Create LF-Tag expression` la case d'autorisation.
1. (Facultatif) Pour permettre aux principaux sélectionnés d'accorder des `Create LF-Tag expression` autorisations aux principaux, choisissez Autorisation accordable. `Create LF-Tag expression`
1. Choisissez **Ajouter**.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTagExpression"
],
"PermissionsWithGrantOption": [
"CreateLFTagExpression"
]
}
```
------
Le rôle de créateur d'expressions LF-Tag permet de créer, mettre à jour ou supprimer des expressions LF-Tag.
| Autorisations | Description |
| --- | --- |
| Create | Un directeur disposant de cette autorisation peut ajouter des expressions LF-Tag dans le lac de données. |
| Drop | Un principal disposant de cette autorisation sur une expression LF-Tag peut supprimer une expression LF-Tag du lac de données. |
| Alter | Un principal disposant de cette autorisation sur une expression LF-Tag peut mettre à jour le corps de l'expression d'une expression LF-Tag. |
| Describe | Un principal disposant de cette autorisation sur une expression LF-Tag peut voir le contenu d'une expression LF-Tag. |
| Grant with LF-Tag expression | Cette autorisation permet au destinataire d'utiliser l'expression du tag comme ressource lorsqu'il accorde des autorisations d'accès aux données ou aux métadonnées. Accorder Grant with LF-Tag expression implicitement des subventionsDescribe. |
| Super | Pour les expressions de balise LF, l'Superautorisation donne la possibilité deDescribe, AlterDrop, et d'accorder des autorisations sur l'expression de balise à d'autres principaux. |
Ces autorisations peuvent être accordées. Un directeur qui a obtenu ces autorisations avec l'option d'octroi peut les accorder à d'autres principaux.
# Création d'expressions LF-Tag
Vous devez définir toutes les balises LF de Lake Formation et les affecter aux ressources du catalogue de données avant de pouvoir les utiliser pour créer des expressions. Une expression LF-Tag se compose d'une clé supplémentaire et d'une ou de plusieurs valeurs possibles pour chaque clé.
Une fois que l'administrateur du lac de données a configuré les autorisations IAM et Lake Formation requises pour le rôle de créateur d'expressions LF-Tag, le principal peut créer des expressions LF-Tag réutilisables. Le créateur de l'expression LF-Tag obtient des autorisations implicites pour mettre à jour le corps de l'expression et supprimer l'expression LF-Tag.
Vous pouvez créer des expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour créer une expression LF-Tag**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que principal avec les autorisations de création d'expressions LF-Tag ou en tant qu'administrateur du lac de données.
1. Dans le volet de navigation, sous **Permissions**, sélectionnez LF-Tags and** permissions**.
1. Choisissez les **expressions LF-Tag**. La page **Ajouter des expressions de balise LF** apparaît.
![\[La page contient des champs permettant d'ajouter un nom, une description et une liste déroulante pour sélectionner le corps de l'expression. Les utilisateurs peuvent également avoir la possibilité d'accorder des autorisations.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/add-tag-expression.png)
1. Entrez les informations suivantes :
+ Nom — Entrez un nom unique pour l'expression. Vous ne pouvez pas mettre à jour le nom de l'expression.
+ Description — Fournissez une description facultative de l'expression avec les détails de l'expression.
+ Expression — Créez l'expression en spécifiant les clés de balise et leurs valeurs associées. Vous pouvez ajouter jusqu'à 50 clés par expression. Vous devez disposer de l'autorisation de `Grant with LF-Tags` Lake Formation sur toutes les balises du corps de l'expression.
Chaque clé doit avoir au moins une valeur. Pour saisir plusieurs valeurs, entrez une liste séparée par des virgules puis appuyez sur **Entrée, ou entrez** une valeur à la fois et choisissez **Ajouter** après chacune d'elles. Le nombre maximum de valeurs autorisées par clé est de 1 000.
Lake Formation utilise la AND/OR logique pour combiner plusieurs clés et valeurs dans une expression. Au sein d'une seule paire (clé : liste de valeurs), les valeurs sont combinées à l'aide de l'opérateur logique OR. Par exemple, si la paire est (Department : [Sales, Marketing]), cela signifie que le tag correspond si la ressource possède le tag Department avec la valeur Sales OR Marketing.
Lorsque vous spécifiez plusieurs clés, celles-ci sont jointes par un opérateur logique AND. Ainsi, si l'expression complète est (Department : [Sales, Marketing]) AND (Location : [États-Unis, Canada]), elle fait correspondre les ressources dont le tag Department a la valeur Sales OR Marketing, ET dont le tag Location a la valeur US OR Canada. Voici un autre exemple avec plusieurs clés et valeurs :
Expression LF-Tag : (ContentType : [Vidéo, audio]) ET (Région : [Europe, Asie]) ET (Département : [Ingénierie, ProductManagement]).
Cette expression correspondrait aux ressources qui ont : - La ContentType balise avec la valeur Video OR Audio AND - La balise Region avec la valeur Europe OU Asie ET - La balise Department avec la valeur Engineering OR ProductManagement.
Vous pouvez également enregistrer une expression de balise lorsque vous accordez des autorisations de lac de données à l'aide de balises LF. Choisissez les paires clé/valeur, puis sélectionnez l'option **Enregistrer en tant que nouvelle expression**. Entrez un nom qui décrit l'expression.
![\[La page contient des champs pour sélectionner le corps de l'expression et un champ pour saisir un nom.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/save-expression-grant.png)
1. (Facultatif) Choisissez ensuite les utilisateurs/rôles et les autorisations sur l'expression que vous souhaitez leur accorder dans le compte. Vous pouvez également choisir des autorisations pouvant être accordées qui permettent aux utilisateurs d'accorder ces autorisations à d'autres utilisateurs du compte. Vous ne pouvez pas accorder d'autorisations entre comptes sur les expressions de balise.
![\[La page affiche les champs permettant de sélectionner l'autorisation à accorder aux autres principaux.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-expression-permissions.png)
1. Choisissez **Ajouter**.
------
#### [ AWS CLI ]
**Pour créer une expression LF-Tag**
+ Entrez une `create-lf-tag-expression` commande.
L'exemple suivant crée une expression LF-Tag avec la balise contenant `Department` des valeurs `Sales` et `Marketing` la balise `Location` contenant la valeur. `US`
```
aws lakeformation create-lf-tag-expression \
-- name "my-tag-expression" \
-- catalog-id "123456789012" \
-- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
```
Cette commande CLI crée une nouvelle expression LF-Tag dans le. AWS Glue Data Catalog L'expression peut être utilisée pour accorder des autorisations aux ressources du catalogue de données telles que les bases de données, les tables, les vues ou les colonnes en fonction de leurs balises associées. Dans cet exemple, l'expression fera correspondre les ressources qui ont la `Department` clé avec des valeurs `Sales` ou`Marketing`, et la `Location` clé avec la valeur`US`.
------
En tant que créateur d'expressions de balise, le principal obtient l'`Alter`autorisation d'utiliser cette expression de balise LF et peut mettre à jour ou supprimer l'expression. Le créateur principal de l'expression LF-Tag peut également `Alter` autoriser un autre principal à mettre à jour et à supprimer cette expression.
# Mise à jour des expressions LF-Tag
Seuls les administrateurs du lac de données, le créateur de l'expression LF-Tag et les principaux qui ont `Alter` l'`Super`autorisation d'utiliser l'expression LF-Tag peuvent mettre à jour une expression LF-Tag. Outre `Alter` l'autorisation, vous avez également besoin de l'autorisation `lakeformation:UpdateLFTagExpression` IAM et de l'`Grant with LF-Tag`autorisation sur toutes les valeurs-clés sous-jacentes du nouveau corps d'expression pour mettre à jour les expressions.
Vous mettez à jour une expression LF-Tag en mettant à jour la description, le corps de l'expression et les autorisations accordées à l'expression. Vous ne pouvez pas modifier le nom de l'expression LF-Tag. Pour modifier le nom, supprimez l'expression LF-Tag et ajoutez-en une avec les paramètres requis.
Vous pouvez mettre à jour une expression de balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour mettre à jour une expression de balise LF**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données, créateur du tag LF ou principal `Alter` autorisé à utiliser le tag LF.
1. Dans le volet de navigation, sous Autorisations, choisissez **LF-Tags and** permissions.
1. Choisissez l'onglet **Expressions LF-Tag**.
1. **Dans la section **Expressions de balise LF**, sélectionnez une expression de balise LF, puis choisissez Modifier.**
1. Dans la boîte de dialogue **Modifier l'expression LF-Tag**, mettez à jour la description et mettez à jour le corps de l'expression en ajoutant ou en supprimant des clés et des valeurs.
Pour ajouter plusieurs valeurs, dans le champ **Valeurs**, sélectionnez les valeurs dans le menu déroulant.
1. Choisissez **Enregistrer**.
------
#### [ AWS CLI ]
La update-lf-tag-expression commande de Lake Formation vous permet de mettre à jour une expression LF-Tag existante.
```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```
Voici ce que signifient les paramètres de la commande fournie :
+ name — Le nom de l'expression de balise nommée existante que vous souhaitez mettre à jour.
+ description — Nouvelle description de l'expression.
catalog-id — ID du catalogue de données dans lequel réside l'expression de balise nommée.
+ expression — La nouvelle chaîne d'expression de balise avec laquelle vous souhaitez mettre à jour l'expression.
------
# Suppression d'expressions de balises LF
Vous pouvez supprimer les expressions LF-Tag qui ne sont plus utilisées. Si vous avez accordé des autorisations aux principaux sur les ressources du catalogue de données à l'aide de l'expression LF-Tag, ils n'en auront plus.
Seuls les administrateurs du lac de données, le créateur de l'expression LF-Tag ou un mandant `Drop` autorisé à utiliser l'expression LF-Tag peuvent supprimer une expression LF-Tag. Outre l'`Drop`autorisation, le principal a également besoin de l'autorisation `lakeformation:DeleteLFTagExpression` IAM pour supprimer une expression LF-Tag.
Vous pouvez supprimer une expression de balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour supprimer une expression de balise LF (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant qu'administrateur du lac de données, créateur de l'expression LF-Tag ou principal autorisé à supprimer l'expression.
1. Dans le volet de navigation, sous **Permissions, sélectionnez **LF-Tags and** permissions**.
1. Choisissez l'onglet **expression LF-Tag**.
1. **Dans la section **Expressions de balise LF**, sélectionnez une expression de balise LF, puis choisissez Supprimer.**
1. Dans l'expression **Supprimer le tag LF ?** **boîte de dialogue, pour confirmer la suppression, entrez le nom de l'expression LF-Tag dans le champ prévu à cet effet, puis choisissez Supprimer.**
------
#### [ AWS CLI ]
**Pour supprimer un tag LF ()AWS CLI**
+ Entrez une `delete-lf-tag-expression` commande. Indiquez le nom de l'expression et l'ID du catalogue à supprimer.
**Example**
L'exemple suivant supprime l'expression LF-Tag portant le nom du catalogue `my-tag-expression` de données avec ID. `123456789012` Le `catalog-id` paramètre est facultatif si vous utilisez le même compte que celui utilisé pour votre AWS CLI configuration. Après avoir supprimé une expression LF-Tag, Lake Formation nettoie les enregistrements d'autorisation associés à cette expression. Cela inclut à la fois les enregistrements d'autorisation individuels et les enregistrements d'autorisation agrégés contenant l'expression supprimée.
```
aws lakeformation delete-lf-tag-expression \
--name "my-tag-expression" \
--catalog-id "123456789012"
```
------
# Répertorier les expressions de balises LF
Vous pouvez répertorier les expressions LF-Tag pour lesquelles vous disposez des autorisations Describe. Les administrateurs de data lake, les créateurs d'expressions de balises LF et les administrateurs en lecture seule peuvent implicitement voir toutes les expressions de balises de leur compte.
Vous pouvez répertorier les expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
------
#### [ Console ]
**Pour répertorier les expressions de balises LF (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que créateur d'expressions LF-Tag, en tant qu'administrateur de data lake ou en tant que principal ayant obtenu des autorisations sur les expressions LF-Tag et disposant de l'autorisation IAM. `lakeformation:ListLFTagExpressions`
1. Dans le volet de navigation, sous **Autorisations**, **balises LF et** autorisations.
1. Choisissez l'onglet **LF-Tag Expressions pour voir les expressions**. Cette section présente des informations sur les expressions LF-Tag existantes, notamment le nom de l'expression, l'expression elle-même avec des liens vers les balises incluses et les options permettant de créer, de modifier ou de supprimer des expressions.
------
#### [ AWS CLI ]
**Pour répertorier les balises LF ()AWS CLI**
+ Pour répertorier les expressions LF-Tag à l'aide de AWS CLI, vous pouvez utiliser la list-lf-tag-expressions commande. La syntaxe de la demande est la suivante :
```
aws lakeformation list-lf-tag-expressions \
-- catalog-id "123456789012" \
-- max-items "100" \
-- next-token "next-token"
```
Où :
+ `catalog-id`est l'ID de AWS compte du catalogue de données pour lequel vous souhaitez répertorier les expressions de balises.
+ `max-items`indique le nombre maximal d'expressions de balise à renvoyer. Si ce paramètre n'est pas utilisé, la valeur par défaut est 100.
+ `next-token`est un jeton de continuation si les résultats ont été tronqués lors d'une demande précédente.
La réponse inclura une liste d'expressions LF-Tag et un jeton suivant, le cas échéant.
------
# Gestion des autorisations relatives aux valeurs des balises LF
Vous pouvez accorder les `Alter` autorisations sur `Drop` les balises LF aux principaux afin de gérer les expressions de valeur des balises LF. Vous pouvez également accorder `Describe``Associate`, et des `Grant with LF-Tag expressions` autorisations sur les balises LF aux principaux pour qu'ils puissent visualiser les balises LF et les attribuer aux ressources du catalogue de données (bases de données, tables et colonnes). Lorsque des balises LF sont attribuées aux ressources du catalogue de données, vous pouvez utiliser la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour sécuriser ces ressources. Pour de plus amples informations, veuillez consulter [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
Vous pouvez accorder ces autorisations avec l'option d'octroi afin que les autres principaux puissent les accorder. Les `Associate` autorisations `Grant with LF-Tag expressions``Describe`, et sont expliquées dans[Ajouter des créateurs de LF-Tag](TBAC-adding-tag-creator.md#add-lf-tag-creator).
Vous pouvez accorder les `Associate` autorisations `Describe` et sur un LF-Tag à un compte externe AWS . L'administrateur du lac de données de ce compte peut ensuite accorder ces autorisations aux autres principaux du compte. Les principaux auxquels l'administrateur du lac de données du compte externe accorde l'`Associate`autorisation peuvent ensuite attribuer des balises LF aux ressources du catalogue de données que vous avez partagées avec leur compte.
Lorsque vous accordez à un compte externe, vous devez inclure l'option de subvention.
Vous pouvez accorder des autorisations sur les balises LF à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface ()AWS CLI.
**Topics**
+ [Répertorier les autorisations LF-Tag à l'aide de la console](TBAC-listing-tag-perms-console.md)
+ [Octroi d'autorisations LF-Tag à l'aide de la console](TBAC-granting-tags-console.md)
+ [Gestion des autorisations LF-Tag à l'aide du AWS CLI](TBAC-granting-revoking-tags-cli.md)
Pour plus d’informations, consultez [Gestion des balises LF pour le contrôle d'accès aux métadonnées](managing-tags.md) et [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
# Répertorier les autorisations LF-Tag à l'aide de la console
Vous pouvez utiliser la console Lake Formation pour consulter les autorisations accordées sur les LF-Tags. Vous devez être un créateur de balises LF, un administrateur de lac de données ou avoir l'`Associate`autorisation `Describe` ou l'autorisation sur une balise LF pour le voir.
**Pour répertorier les autorisations LF-Tag (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que créateur de balises LF, administrateur du lac de données ou en tant qu'utilisateur à qui les `Drop` `Describe` autorisations relatives aux balises LF ont été accordées. `Alter` `Associate`
1. Dans le volet de navigation, sous **Autorisations**, choisissez **LF-Tags et autorisations**, puis choisissez la section Autorisations **LF-Tag**.
La section des **autorisations LF-Tag** présente un tableau contenant le principal, les clés de balise, les valeurs et les autorisations.
![\[La page inclut un tableau des autorisations avec les colonnes suivantes : principal, type principal, clés, valeurs, autorisations et accordable. Il y a cinq rangées. À gauche de chaque ligne se trouve un bouton radio. Au-dessus du tableau se trouvent un champ de recherche et les boutons suivants : Actualiser, Afficher, Révoquer et Accorder. Aucune ligne n'étant initialement sélectionnée, les boutons Afficher et Révoquer sont désactivés. Les valeurs de la première ligne sont les suivantes : principal=arn:aws:iam : :111122223333:user/datalake_admin, Principal Type=IAM user, keys=environment, Values=All values, Permissions=Describe, Grantable=Describe.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/list-tag-permissions-page.png)
# Octroi d'autorisations LF-Tag à l'aide de la console
Les étapes suivantes expliquent comment accorder des autorisations sur les balises LF à l'aide de la page **Accorder des autorisations sur les balises LF** de la console Lake Formation. La page est divisée en sections suivantes :
+ **Types d'autorisation** : type d'autorisation à accorder.
+ **Principaux** : utilisateurs ou rôles IAM, ou utilisateurs ou rôles SAML auxquels accorder des autorisations.
+ Autorisations d'autorisation des paires **clé-valeur des balises LF : paires clé-valeur des balises LF auxquelles accorder des autorisations**.
+ **Autorisations LF-Tag** — Les LF-Tags auxquels accorder des autorisations.
+ **Autorisations d'autorisation des expressions LF-Tag** : les balises LF auxquelles accorder des autorisations.
+ **Autorisations** : autorisations à accorder.
## Ouvrez la page **Accorder les autorisations LF-Tag**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
Connectez-vous en tant que créateur du tag LF, administrateur du lac de données ou en tant qu'utilisateur. Les autorisations LF-Tag ou paire clé-valeur LF-Tag sur les balises LF ont été accordées avec cette option. `Grant`
1. Dans le volet de navigation, choisissez **LF-Tags et permissions**, choisissez la section **LF-Tag** permissions.
1. Choisissez **Grant permissions** (Accorder des autorisations).
## Spécifiez le type d'autorisation
Dans la section **Type d'autorisations**, choisissez un type d'autorisation.
Autorisations LF-Tag
Choisissez les **autorisations LF-Tag** pour permettre aux principaux de mettre à jour les valeurs des LF-Tag ou de supprimer des LF-Tag.
Autorisations relatives à la paire clé-valeur LF-Tag
Choisissez les **autorisations relatives à la paire clé-valeur LF-Tag** pour permettre aux principaux d'attribuer des balises LF aux ressources du catalogue de données, d'afficher les balises LF et d'accorder aux principaux des autorisations basées sur les balises LF sur les ressources du catalogue de données.
Les options disponibles dans les sections suivantes dépendent du **type d'autorisations**.
Autorisations d'expression LF-Tag
Choisissez les **autorisations d'expression LF-Tag** pour permettre aux principaux de mettre à jour les expressions ou de supprimer des expressions.
## Spécifiez les principes
**Note**
Vous ne pouvez pas accorder d'autorisations LF-Tag (`Alter`et`Drop`) à des comptes externes ou à des directeurs d'un autre compte.
Dans la section **Principaux**, choisissez un type de principal et spécifiez les principaux auxquels accorder des autorisations.
![\[La section des principaux contient trois vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette Utilisateurs et rôles IAM est sélectionnée, et une liste déroulante des utilisateurs et rôles IAM se trouve sous les vignettes.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-tags-principals-section.png)
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur **Entrée** après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Dans le **AWS champ Compte**, saisissez un ou plusieurs AWS comptes valides IDs. Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Pour le principal IAM, entrez l'ARN de l'utilisateur ou du rôle IAM.
## Spécifiez les balises LF
Pour accorder des autorisations sur les balises LF, dans la section **Autorisations des balises LF, spécifiez les balises LF auxquelles accorder des autorisations**.
![\[La section LF-Tags affiche deux rangées de champs, où chaque ligne, allant de gauche à droite, comporte un champ clé, un champ valeur et un bouton Supprimer. Le champ Valeur est une liste déroulante. Sous les deux rangées de champs se trouve un bouton Ajouter une balise LF. La première ligne indique « module » dans le champ Clé, et sous le champ Valeurs se trouvent deux petites vignettes contenant respectivement les commandes et les ventes, indiquant que l'utilisateur a choisi Commandes et Ventes comme valeurs pour le module clé. Chaque vignette comporte un X sur lequel vous pouvez cliquer (comme une boîte de fermeture) pour supprimer la vignette. La deuxième ligne des champs est vide.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-tags-tags-section-2.png)
+ Choisissez un ou plusieurs LF-Tag à l'aide de la liste déroulante.
## Spécifiez les paires clé-valeur LF-Tag
1. Pour accorder des autorisations sur les paires clé-valeur LF-Tag, (vous devez d'abord choisir les **autorisations de paire clé-valeur LF-Tag comme **type d'autorisation**), choisissez Ajouter une paire clé-valeur** **LF-Tag pour afficher la première ligne de champs permettant de spécifier la clé et les valeurs LF-Tag**.
![\[Interface for adding LF-Tag key-value pairs and setting associated permissions.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/tag-key-value-pair.png)
1. Positionnez le curseur dans le champ **Clé**, commencez éventuellement à taper pour affiner la liste de sélection, puis sélectionnez une touche LF-Tag.
1. Dans la liste des **valeurs**, sélectionnez une ou plusieurs valeurs, puis appuyez sur **Tab** ou cliquez ou appuyez en dehors du champ pour enregistrer les valeurs sélectionnées.
**Note**
Si l'une des lignes de la liste des **valeurs** est sélectionnée, appuyez sur **Entrée** pour sélectionner ou désactiver la case à cocher.
Les valeurs sélectionnées apparaissent sous forme de vignettes sous la liste des **valeurs**. Cliquez sur le ✖ pour supprimer une valeur. Choisissez **Supprimer** pour supprimer le LF-tag dans son intégralité.
1. Pour ajouter un autre tag LF, choisissez à nouveau **Ajouter un tag LF** et répétez les deux étapes précédentes.
## Spécifiez les expressions LF-Tag
1. **Pour accorder des autorisations sur les expressions LF-Tag, (vous devez d'abord choisir les **autorisations des expressions LF-Tag comme type d'**autorisation).**
![\[Permission type selection interface with LF-Tag expression permissions highlighted.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/tag-expression.png)
1. Choisissez une expression LF-Tag.
1. Les expressions sélectionnées apparaissent sous forme de vignettes sous la liste des **expressions LF-Tag**. Cliquez sur le ✖ pour supprimer une expression.
1. Pour ajouter une autre expression LF-Tag, choisissez-en une autre.
## Spécifiez les autorisations
Cette section affiche les autorisations **LF-Tag ou les autorisations** à **valeur LF-Tag en fonction du type d'****autorisation** que vous avez choisi à l'étape précédente.
Selon le **type d'autorisation** que vous avez choisi d'accorder, sélectionnez les autorisations **LF-Tag ou les autorisations par** **paire clé-valeur LF-Tag**, et les autorisations pouvant être accordées.
1. Sous **Autorisations LF-Tag**, sélectionnez les autorisations à accorder.
Si vous **accordez Drop** and **Alter**, vous accordez implicitement **Describe**.
Vous devez accorder les autorisations **Alter** and **Drop** sur toutes les valeurs des balises.
1. Sous Autorisations à valeur **clé-valeur LT-Tag, sélectionnez les autorisations** à accorder.
L'**associé** octroie implicitement l'autorisation à **Describe**. Choisissez **Grant avec expression LF-Tag** pour permettre au bénéficiaire de la subvention d'accorder ou de révoquer les autorisations d'accès aux ressources du catalogue de données à l'aide de la méthode LF-TBAC.
1. Sous **Autorisations d'expression LF-Tag**, sélectionnez les autorisations à accorder.
Si vous **accordez Drop** and **Alter**, vous accordez implicitement **Describe**.
Si vous **accordez une super** autorisation, toutes les autorisations disponibles sont accordées.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS
1. Choisissez **Accorder**.
# Gestion des autorisations LF-Tag à l'aide du AWS CLI
Vous pouvez accorder, révoquer et répertorier les autorisations sur les balises LF en utilisant le AWS Command Line Interface ().AWS CLI
**Pour répertorier les autorisations LF-Tag ()AWS CLI**
+ Entrez une `list-permissions` commande. Vous devez être le créateur du tag LF, un administrateur du lac de données ou avoir l'`Grant with LF-Tag permissions`autorisation`Drop`,`Alter`, `Describe``Associate`, sur un tag LF pour le voir.
La commande suivante demande toutes les balises LF pour lesquelles vous avez des autorisations.
```
aws lakeformation list-permissions --resource-type LF_TAG
```
Voici un exemple de sortie destiné à un administrateur de lac de données, qui voit toutes les balises LF accordées à tous les principaux. Les utilisateurs non administrateurs ne voient que les balises LF qui leur sont accordées. Les autorisations LF-Tag accordées à partir d'un compte externe apparaissent sur une page de résultats distincte. Pour les voir, répétez la commande et fournissez à l'`--next-token`argument le jeton renvoyé lors de l'exécution de la commande précédente.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "environment",
"TagValues": [
"*"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": [
"ASSOCIATE"
]
},
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"DESCRIBE"
],
"PermissionsWithGrantOption": []
},
...
],
"NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}
```
Vous pouvez répertorier toutes les subventions pour une clé LF-Tag spécifique. La commande suivante renvoie toutes les autorisations accordées sur le LF-Tag`module`.
```
aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Vous pouvez également répertorier les valeurs de balise LF accordées à un principal spécifique pour une balise LF spécifique. Lorsque vous fournissez l'`--principal`argument, vous devez le `--resource` fournir. Par conséquent, la commande ne peut effectivement demander que les valeurs accordées à un principal spécifique pour une clé LF-Tag spécifique. La commande suivante montre comment procéder pour la touche principale `datalake_user1` et la touche LF-Tag. `module`
```
aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
Voici un exemple de sortie.
```
{
"PrincipalResourcePermissions": [
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
},
"Resource": {
"LFTag": {
"CatalogId": "111122223333",
"TagKey": "module",
"TagValues": [
"Orders",
"Sales"
]
}
},
"Permissions": [
"ASSOCIATE"
],
"PermissionsWithGrantOption": []
}
]
}
```
**Pour accorder des autorisations sur les balises LF ()AWS CLI**
1. Utilisez une commande similaire à la suivante. Cet exemple accorde à l'utilisateur `datalake_user1` l'`Associate`autorisation d'utiliser le tag LF avec la clé. `module` Il autorise l'affichage et l'attribution de toutes les valeurs pour cette clé, comme indiqué par l'astérisque (\$1).
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
L'octroi de l'`Associate`autorisation octroie implicitement l'`Describe`autorisation.
L'exemple suivant accorde `Associate` au AWS compte externe 1234-5678-9012 sur le LF-Tag avec la clé, avec l'option d'octroi. `module` Il accorde des autorisations pour afficher et attribuer uniquement les valeurs `sales` et`orders`.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. L'octroi de l'`GrantWithLFTagExpression`autorisation octroie implicitement l'`Describe`autorisation.
L'exemple suivant accorde `GrantWithLFTagExpression` à un utilisateur sur le tag LF avec la clé`module`, avec l'option d'octroi. Il accorde des autorisations pour consulter et octroyer des autorisations sur les ressources du catalogue de données en utilisant uniquement les valeurs `sales` et`orders`.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
```
1. L'exemple suivant accorde des `Drop` autorisations à un utilisateur sur le tag LF avec la clé`module`, avec l'option d'octroi. Il accorde l'autorisation de supprimer le tag LF. Pour supprimer une balise LF, vous devez disposer d'autorisations sur toutes les valeurs de cette clé.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
1. L'exemple suivant accorde des `Alter` autorisations à l'utilisateur sur le tag LF avec la clé`module`, avec l'option d'octroi. Il accorde l'autorisation de supprimer le tag LF. Pour mettre à jour une balise LF, vous devez disposer d'autorisations sur toutes les valeurs de cette clé.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
**Pour révoquer les autorisations sur les balises LF ()AWS CLI**
+ Utilisez une commande similaire à la suivante. Cet exemple révoque l'`Associate`autorisation sur le tag LF avec la clé `module` de l'utilisateur. `datalake_user1`
```
aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
```
# Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC
Vous pouvez accorder les autorisations `DESCRIBE` et `ASSOCIATE` Lake Formation sur les balises LF aux principaux afin qu'ils puissent visualiser les balises LF et les attribuer aux ressources du catalogue de données (bases de données, tables, vues et colonnes). Lorsque des balises LF sont attribuées aux ressources du catalogue de données, vous pouvez utiliser la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour sécuriser ces ressources. Pour de plus amples informations, veuillez consulter [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
Dans un premier temps, seul l'administrateur du lac de données peut accorder ces autorisations. Si l'administrateur du lac de données accorde ces autorisations avec l'option grant, d'autres principaux peuvent les accorder. Les `ASSOCIATE` autorisations `DESCRIBE` et sont expliquées dans[Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation](lf-tag-considerations.md).
Vous pouvez accorder les `ASSOCIATE` autorisations `DESCRIBE` et sur un LF-Tag à un compte externe AWS . L'administrateur du lac de données de ce compte peut ensuite accorder ces autorisations aux autres principaux du compte. Les principaux auxquels l'administrateur du lac de données du compte externe accorde l'`ASSOCIATE`autorisation peuvent ensuite attribuer des balises LF aux ressources du catalogue de données que vous avez partagées avec leur compte.
Lorsque vous accordez à un compte externe, vous devez inclure l'option de subvention.
Vous pouvez accorder des autorisations sur les balises LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.
**Note**
Les étapes suivantes ne sont pas nécessaires pour les catalogues S3 Tables. Vous pouvez utiliser les balises LF pour accorder des autorisations sur les catalogues de tables S3 existants sans les supprimer ni les recréer.
**Activation de la prise en charge des balises LF pour les catalogues fédérés existants qui utilisent les autorisations de Lake Formation**
Procédez comme suit si vous possédez des catalogues fédérés existants qui utilisent les autorisations de Lake Formation, tels qu'Amazon Redshift Amazon DynamoDB ou des catalogues créés avant que le support des balises LF ne soit disponible pour les catalogues fédérés.
1. Supprimer le catalogue existant : appelez l'opération `deleteCatalog` API pour supprimer le catalogue fédéré existant qui utilise les autorisations de Lake Formation.
1. Créer un nouveau catalogue fédéré : créez un nouveau catalogue et orientez le nouveau catalogue vers votre espace de noms/partage de données existant.
Utiliser un nouveau nom pour le catalogue : ce processus met à jour vos catalogues fédérés préexistants afin de prendre en charge la fonctionnalité LF-Tag. Si vous souhaitez utiliser le même nom de catalogue, contactez AWS l'équipe d'assistance pour obtenir de l'aide.
**Topics**
+ [Octroi d'autorisations au catalogue de données](#granting-cat-perms-TBAC-console)
**Consultez aussi**
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Gestion des balises LF pour le contrôle d'accès aux métadonnées](managing-tags.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)
## Octroi d'autorisations au catalogue de données
Utilisez la console Lake Formation ou accordez AWS CLI à Lake Formation des autorisations sur les bases de données, les tables, les vues et les colonnes du catalogue de données à l'aide de la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC).
------
#### [ Console ]
Les étapes suivantes expliquent comment accorder des autorisations à l'aide de la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) et de la page **Accorder des autorisations aux lacs de données** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Principaux** — Les utilisateurs, les rôles et les autorisations Comptes AWS auxquelles accorder des autorisations.
+ **Balises LF ou ressources du catalogue** : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
1.
**Ouvrez la page des autorisations du lac de données Grant.**
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur de lac de données ou en tant qu'utilisateur ayant obtenu les autorisations de Lake Formation sur les ressources du catalogue de données via LF-TBAC avec l'option d'autorisation.
Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations du lac de données**. Ensuite, choisissez **Accorder**.
1.
**Spécifiez les principes.**
Dans la section **Principaux**, choisissez un type de principal, puis spécifiez les principaux auxquels accorder des autorisations.
![\[La section Principaux contient quatre vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette IAM Identity Center est sélectionnée et la liste déroulante des utilisateurs et des groupes se trouve sous les vignettes.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center **
Choisissez un ou plusieurs utilisateurs ou dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Comptes AWS AWS l'organisation** ou le **principal IAM**, entrez une ou plusieurs organisations Compte AWS IDs IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
1.
**Spécifiez les balises LF.**
Assurez-vous que l'option **Resources matching by LF-Tags** est sélectionnée. **Choisissez des **paires clé-valeur LF-Tag ou des** expressions LF-Tag enregistrées.**
1. Si vous choisissez l'option **paires clé-valeur LF-Tag**, choisissez les clés et les valeurs.
Si vous choisissez plusieurs valeurs, vous créez une expression LF-Tag à l'aide d'un `OR` opérateur. Cela signifie que si l'une des valeurs de balise LF correspond à une balise LF attribuée à une ressource de catalogue de données, des autorisations sur cette ressource vous sont accordées.
![\[La section LF-Tag ou ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF (recommandé) et Ressources de catalogue de données nommées. Les ressources correspondant aux balises LF sont sélectionnées. Sous les vignettes se trouvent un champ clé et un champ valeurs disposés horizontalement. Le champ Clé contient « module » et le champ Valeurs est une liste déroulante contenant trois entrées : Commandes, Ventes et Clients. Chaque entrée est associée à une case à cocher. La case à cocher pour les clients est sélectionnée. À droite de ces deux champs se trouve un bouton Supprimer. En bas se trouve un bouton Ajouter une balise LF, indiquant que vous pouvez ajouter une autre ligne contenant les champs Clé et Valeurs et un bouton Supprimer.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)
1. (Facultatif) Choisissez à nouveau **Ajouter une paire clé-valeur de balise LF** pour spécifier une autre balise LF.
Si vous spécifiez plusieurs balises LF, vous créez une expression de balise LF à l'aide d'un opérateur. `AND` Le principal n'obtient des autorisations sur une ressource de catalogue de données que si une balise LF correspondante a été attribuée à la ressource pour chaque balise LF de l'expression LF-Tag.
1. Choisissez l'option **Enregistrer en tant que nouvelle expression** pour réutiliser l'expression.
Vous devez `Create LF-Tag expression` enregistrer les expressions.
Pour plus d'informations sur les expressions LF-Tag, consultez. [Gestion des expressions LF-Tag pour le contrôle d'accès aux métadonnées](managing-tag-expressions.md)
1.
**Spécifiez les autorisations.**
Spécifiez les autorisations que vous souhaitez accorder au principal pour faire correspondre les ressources du catalogue de données. Les ressources correspondantes sont les ressources auxquelles des balises LF ont été attribuées qui correspondent à l'une des expressions de balise LF accordées au principal.
Vous pouvez spécifier les autorisations à accorder sur les bases de données correspondantes, les tables correspondantes et les vues correspondantes.
![\[Deux sections de la page sont affichées. La section Autorisations de base de données contient des cases à cocher pour les autorisations de base de données et les autorisations pouvant être accordées. Sous la section Base de données, la section Autorisations relatives aux tables affiche les cases à cocher pour les autorisations relatives aux tables et aux autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)
Sous **Autorisations de base** de données, sélectionnez les autorisations de base de données à accorder au principal sur les bases de données correspondantes.
Sous **Autorisations relatives aux tables**, sélectionnez les autorisations de table ou de vue à accorder au principal sur les tables et les vues correspondantes.
Vous pouvez également choisir `Select``Describe`, et `Drop` les autorisations dans le **tableau, les autorisations** à appliquer aux vues.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez utiliser la méthode AWS Command Line Interface (AWS CLI) et la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) pour accorder à Lake Formation des autorisations sur les bases de données, les tables et les colonnes du catalogue de données.
**Octroi d'autorisations de data lake à l'aide de la méthode AWS CLI et de la méthode LF-TBAC**
+ Utilisez la commande `grant-permissions`.
**Example**
L'exemple suivant accorde l'expression LF-tag « `module=*` » (toutes les valeurs de la clé `module` LF-Tag) à l'utilisateur. `datalake_user1` Cet utilisateur aura l'`CREATE_TABLE`autorisation d'accéder à toutes les bases de données correspondantes, c'est-à-dire aux bases de données auxquelles a été attribuée la balise LF avec la clé`module`, quelle que soit la valeur.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'
```
**Example**
L'exemple suivant accorde l'expression LF-tag « `(level=director) AND (region=west OR region=south)` » à l'utilisateur. `datalake_user1` Cet utilisateur aura les `DROP` autorisations `SELECT``ALTER`, et avec l'option d'autorisation sur les tables correspondantes, c'est-à-dire les tables auxquelles les deux `level=director` et (`region=west`ou`region=south`) ont été assignés.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
```
**Example**
L'exemple suivant accorde l'expression LF-tag « `module=orders` » au AWS compte 1234-5678-9012. L'administrateur du lac de données de ce compte peut ensuite accorder l'expression `module=orders` « » aux principaux de son compte. Ces principaux auront alors l'`CREATE_TABLE`autorisation de faire correspondre les bases de données détenues par le compte 1111-2222-3333 et partagées avec le compte 1234-5678-9012 en utilisant soit la méthode des ressources nommées, soit la méthode LF-TBAC.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
```
------
# Contrôle d'accès basé sur les attributs
Dans AWS Lake Formation, vous pouvez accorder l'accès à AWS Glue Data Catalog des objets tels que des catalogues, des bases de données, des tables et des filtres de données à l'aide d'attributs qui sont des balises IAM et des balises de session associées à des entités IAM telles que les rôles et les utilisateurs.
Pour plus d'informations sur l'utilisation des balises de session, voir [assume-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html) dans le guide de l' AWS CLI utilisateur.
Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS appelle ces *balises* d'attributs. Vous pouvez utiliser ABAC pour accorder l'accès aux principaux au sein du même compte ou d'un autre compte sur les ressources du catalogue de données. Tout principal IAM dont les clés et les valeurs de balise IAM ou de balise de session correspondent accède à la ressource. Vous devez disposer d'autorisations pouvant être accordées sur les ressources pour octroyer ces subventions.
ABAC vous permet d'accorder l'accès à plusieurs utilisateurs en même temps. Lorsque de nouveaux utilisateurs rejoignent l'organisation, leur accès aux données peut être déterminé automatiquement en fonction de leurs attributs, tels que leur fonction ou leur service, sans que les administrateurs n'aient à attribuer manuellement des rôles ou des autorisations spécifiques. En utilisant des attributs plutôt que des rôles, ABAC fournit une méthode plus rationalisée et plus facile à gérer pour gérer l'accès aux données dans divers systèmes et environnements, améliorant ainsi la gouvernance et la conformité des données.
Pour plus d'informations sur la définition des attributs, voir [Définir des autorisations en fonction des attributs dotés d'une autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html).
Pour plus d'informations sur les limites, les considérations et les AWS régions prises en charge, consultez[Considérations relatives au contrôle d'accès basé sur les attributs, limites et régions prises en charge](abac-considerations.md).
**Topics**
+ [Conditions préalables à l'octroi d'autorisations à l'aide d'attributs](abac-prerequisites.md)
+ [Octroi d'autorisations à l'aide du contrôle d'accès basé sur les attributs](abac-granting-permissions.md)
# Conditions préalables à l'octroi d'autorisations à l'aide d'attributs
Pour accorder des autorisations à l'aide du contrôle d'accès basé sur les attributs (ABAC), vous devez remplir les conditions préalables suivantes :
+ Mettez à jour les **paramètres** du **catalogue de données** pour activer les autorisations de Lake Formation pour les objets du catalogue de données. Pour plus d'informations, consultez la section [Modifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride](https://docs.aws.amazon.com/lake-formation/latest/dg/initial-lf-config.html#setup-change-cat-settings).
+ Définissez les paramètres de version multi-comptes sur deux ou plus.
+ [Attachez des attributs](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) aux entités IAM qui nécessitent un accès.
+ Seul un administrateur de lac de données ou un utilisateur IAM disposant des autorisations requises peut accorder l'accès aux objets du catalogue de données. Pour plus d'informations sur les autorisations requises, consultez la section [Autorisations IAM](https://docs.aws.amazon.com/lake-formation/latest/dg/required-permissions-for-grant.html).
# Octroi d'autorisations à l'aide du contrôle d'accès basé sur les attributs
Cette rubrique décrit les étapes à suivre pour accorder des autorisations d'accès basées sur les attributs aux ressources du catalogue de données. Vous pouvez utiliser la console Lake Formation ou l'interface de ligne de AWS commande (AWS CLI).
## Octroi d'autorisations à l'aide d'ABAC ()AWS Management Console
1. Ouvrez la console Lake Formation à l'[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)adresse et connectez-vous en tant qu'administrateur du lac de données, créateur de ressources ou utilisateur IAM disposant d'**autorisations accordables sur** la ressource.
1. Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations du lac de données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Catalogues** sous **Catalogue de données**. Choisissez ensuite un objet de catalogue (catalogues, bases de données, tables et filtres de données), puis dans le menu **Actions**, sous **Autorisations**, sélectionnez **Accorder**.
1. Sur la page **Accorder des autorisations**, sélectionnez **Principaux par attribut**.
1. Spécifiez la clé et les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire à l'aide d'un `OR` opérateur. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, il role/user obtient des autorisations d'accès à la ressource.
Si vous spécifiez plusieurs balises d'attribut, vous créez une expression d'attribut à l'aide d'un `AND` opérateur. Le principal n'obtient des autorisations sur une ressource de catalogue de données que si une balise correspondante role/user a été attribuée à l'IAM pour chaque balise d'attribut de l'expression d'attribut.
Passez en revue l'expression de politique Cedar résultante affichée dans la console.
![\[Dans la boîte de dialogue Accorder des autorisations, une expression d'attribut est créée.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/abac-grant-permissions.png)
1. Choisissez l'étendue des autorisations. Si les bénéficiaires appartiennent à un compte externe, choisissez **Compte externe** et entrez l'identifiant du AWS compte.
1. Choisissez ensuite le compte Data Catalog ou des comptes externes. Vous devez disposer des autorisations pouvant être accordées correspondantes sur les ressources pour terminer avec succès les autorisations accordées.
1. Spécifiez les actions que vous souhaitez autoriser les principaux (utilisateurs ou rôles) dotés d'attributs correspondants à effectuer. L'accès est accordé aux entités IAM auxquelles ont été attribuées des balises et des valeurs correspondant à au moins une des expressions d'attributs que vous avez spécifiées. Vérifiez l'expression de politique Cedar dans la console. Pour plus d'informations sur le cèdre, voir [Qu'est-ce que le cèdre ? \$1 Référence linguistique des politiques de Cedar GuideLink](https://docs.cedarpolicy.com/).
1. Choisissez ensuite les ressources du catalogue de données auxquelles vous souhaitez accorder l'accès. Vous pouvez définir ces autorisations pour différentes ressources du catalogue de données, notamment les catalogues, les bases de données, les tables et les filtres de données.
1. Choisissez **Accorder**.
Cette approche vous permet de contrôler l'accès en fonction des attributs, en veillant à ce que seuls les utilisateurs ou les rôles dotés des balises appropriées puissent effectuer des actions spécifiques sur les ressources désignées.
## Octroi d'autorisations à l'aide d'ABAC ()AWS CLI
L'exemple suivant montre une expression d'attribut qui doit être respectée pour recevoir toutes les autorisations disponibles sur la ressource. Vous pouvez également spécifier des autorisations individuelles telles que `Select``Describe`, ou`Drop`. L'expression utilise l'expression de politique Cedar. Pour plus d'informations sur le cèdre, voir [Qu'est-ce que le cèdre ? \$1 Référence linguistique des politiques de Cedar GuideLink](https://docs.cedarpolicy.com/).
Cette condition vérifie si le principal IAM possède une `department` balise et si la valeur de la `department` balise est égale à`sales`.
```
aws lakeformation grant-permissions
--principal '{"DataLakePrincipalIdentifier": "111122223333:IAMPrincipals"}' \
--resource '{"Database": {"CatalogId": 111122223333, "Name": "abac-db"}}' \
--permissions ALL \
--condition '{"Expression": "context.iam.principalTags.hasTag(\"department\") \
&& context.iam.principalTags.getTag(\"department\") == \"sales\""}'
```