Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi d’autorisations de base de données via la méthode de ressource nommée
Les étapes suivantes expliquent comment accorder des autorisations de base de données à l'aide de la méthode des ressources nommées.
------
#### [ Console ]
Utilisez la page **Accorder des autorisations** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+ **Type principal** : la section **Principaux** inclut les utilisateurs, les rôles, les utilisateurs et groupes IAM Identity Center, les utilisateurs et groupes SAML, les AWS comptes, les organisations ou les unités organisationnelles habilités à accorder des autorisations. Dans la section **Principaux par attributs**, vous pouvez spécifier la clé et les valeurs des attributs attachés aux rôles IAM.
+ **Balises LF ou ressources du catalogue** : bases de données, tables, vues ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur un lien de ressource de base de données, voir[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page **Accorder des autorisations**.
Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur du lac de données, créateur de base de données ou utilisateur IAM disposant d'**autorisations Grantable** sur la base de données.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations relatives aux données**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, sélectionnez **Bases de données** sous **Catalogue de données**. Ensuite, sur la page **Bases** de données, choisissez une base de données, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Grant**.
**Note**
Vous pouvez accorder des autorisations sur une base de données via son lien de ressource. Pour ce faire, sur la page **Bases** de données, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Dans la section **Type de principal**, spécifiez les principaux ou accordez des autorisations aux principaux à l'aide d'attributs.
![\[La section Principaux contient quatre vignettes. Chaque vignette contient un bouton d'option et du texte.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**. Sélectionnez **Ajouter** pour ajouter d'autres utilisateurs ou groupes.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS, AWS organisation** ou **directeur IAM**, entrez un ou plusieurs AWS comptes IDs, organisations IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, il role/user obtient des autorisations d'accès à la ressource.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources de catalogue, sélectionnez Ressources** de **catalogue de données nommées**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-section-2.png)
1. Choisissez une ou plusieurs bases de données dans la liste des **bases de données**. Vous pouvez également choisir un ou plusieurs **filtres de and/or données** de **tables**.
1. Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables. Sous **Autorisations de base** de données, sélectionnez une ou plusieurs autorisations à accorder.
![\[La section Autorisations contient deux vignettes disposées horizontalement. Chaque vignette contient un bouton d'option et du texte. La vignette Autorisations de base de données est sélectionnée. L'autre vignette, Autorisations basées sur les colonnes, est désactivée car elle concerne les autorisations de table. Sous les vignettes se trouve un groupe de cases à cocher pour les autorisations de base de données à accorder. Les cases à cocher incluent Create Table, Alter, Drop, Describe et Super. En dessous de ce groupe se trouve un autre groupe contenant les mêmes cases à cocher pour les autorisations pouvant être accordées.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-db-permissions-section.png)
**Note**
Après avoir accordé `Create Table` ou `Alter` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
1. (Facultatif) Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de base de données en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de base de données à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une base de données ou le catalogue de données comme ressource, en fonction de l'autorisation accordée.
Dans les exemples suivants, remplacez-le ** par un identifiant de AWS compte valide.
**Example — Subvention pour créer une base de données**
Cet exemple accorde des autorisations `CREATE_DATABASE` à l'utilisateur`datalake_user1`. Étant donné que la ressource pour laquelle cette autorisation est accordée est le catalogue de données, la commande spécifie une `CatalogResource` structure vide comme `resource` paramètre.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
```
**Example — Autorisation de créer des tables dans une base de données désignée**
L'exemple suivant octroie la `CREATE_TABLE` base de données `retail` à l'utilisateur`datalake_user1`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam:::user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à un AWS compte externe avec l'option Grant**
L'exemple suivant octroie `CREATE_TABLE` l'option grant sur la base de données `retail` au compte externe 1111-2222-3333.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
```
**Example — Subvention à une organisation**
L'exemple suivant octroie `ALTER` à l'organisation l'option grant sur la base `issues` de données`o-abcdefghijkl`.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
```
**Example - Accordez `ALLIAMPrincipals` à sur le même compte**
L'exemple suivant accorde `CREATE_TABLE` l'autorisation d'accéder à la base `retail` de données à tous les principaux d'un même compte. Cette option permet à chaque principal du compte de créer une table dans la base de données et de créer un lien de ressource de table permettant aux moteurs de requêtes intégrés d'accéder aux bases de données et aux tables partagées. Cette option est particulièrement utile lorsqu'un directeur reçoit une subvention entre comptes et n'est pas autorisé à créer des liens vers des ressources. Dans ce scénario, l'administrateur du lac de données peut créer une base de données d'espaces réservés et accorder des `CREATE_TABLE` autorisations au `ALLIAMPrincipal` groupe, permettant ainsi à chaque responsable IAM du compte de créer des liens de ressources dans la base de données d'espaces réservés.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
```
**Example - Subvention `ALLIAMPrincipals` à un compte externe**
L'exemple suivant accorde des autorisations `CREATE_TABLE` d'accès à la base `retail` de données à tous les principaux d'un compte externe. Cette option permet à tous les principaux du compte de créer une table dans la base de données.
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
```
**Note**
Après avoir accordé `CREATE_TABLE` ou `ALTER` sur une base de données dotée d'une propriété d'emplacement pointant vers un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
------
**Consultez aussi**
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)
[Octroi d'autorisations sur une base de données ou une table partagée avec votre compte](regranting-shared-resources.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)