Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Octroi d'autorisations de localisation des données
<a name="granting-location-permissions"></a>

Les autorisations de localisation des données AWS Lake Formation permettent aux principaux de créer et de modifier les ressources du catalogue de données qui pointent vers des sites Amazon S3 enregistrés désignés. Les autorisations de localisation des données s'ajoutent aux autorisations relatives aux données de Lake Formation pour sécuriser les informations contenues dans votre lac de données.

Lake Formation n'utilise pas le service AWS Resource Access Manager (AWS RAM) pour octroyer des autorisations de localisation des données. Vous n'avez donc pas besoin d'accepter des invitations à partager des ressources pour obtenir des autorisations de localisation des données.

Vous pouvez accorder des autorisations de localisation des données à l'aide de la console Lake Formation, de l'API ou AWS Command Line Interface (AWS CLI).

**Note**  
Pour qu'une subvention soit acceptée, vous devez d'abord enregistrer l'emplacement des données auprès de Lake Formation.

**Voir aussi :**  
[Underlying data access control](access-control-underlying-data.md#data-location-permissions)

**Topics**
+ [Octroi d'autorisations de localisation des données (même compte)](granting-location-permissions-local.md)
+ [Octroi d'autorisations de localisation des données (compte externe)](granting-location-permissions-external.md)
+ [Octroi d'autorisations sur un emplacement de données partagé avec votre compte](regranting-locations.md)

# Octroi d'autorisations de localisation des données (même compte)
<a name="granting-location-permissions-local"></a>

Suivez ces étapes pour accorder des autorisations de localisation des données aux principaux de votre AWS compte. Vous pouvez accorder des autorisations à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface (AWS CLI).

------
#### [ AWS Management Console ]

**Pour accorder des autorisations de localisation des données (même compte)**

1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant que principal ayant accordé des autorisations sur l'emplacement de données souhaité.

1. Dans le volet de navigation, sous **Autorisations**, sélectionnez **Emplacements des données**.

1. Choisissez **Accorder**.

1. Dans la boîte de dialogue **Octroyer des autorisations**, assurez-vous que la vignette **Mon compte** est sélectionnée. Fournissez ensuite les informations suivantes :
   + Pour les **utilisateurs et les rôles IAM**, choisissez un ou plusieurs principaux. 
   + Pour les **utilisateurs et les groupes SAML et Amazon Quick**, entrez un ou plusieurs noms de ressources Amazon (ARNs) pour les utilisateurs ou les groupes fédérés via SAML ou pour les utilisateurs ou groupes ARNs Amazon Quick.

     Entrez un ARN à la fois, puis appuyez sur **Entrée** après chaque ARN. Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
   + Pour les **emplacements de stockage**, choisissez **Browse**, puis choisissez un emplacement de stockage Amazon Simple Storage Service (Amazon S3). L'emplacement doit être enregistré auprès de Lake Formation. Choisissez à nouveau **Parcourir** pour ajouter un autre emplacement. Vous pouvez également saisir le lieu, mais assurez-vous de le faire précéder de. `s3://`
   + Dans **Emplacement du compte enregistré**, entrez le numéro du AWS compte sur lequel le point de vente est enregistré. Il s'agit par défaut de votre identifiant de compte. Dans un scénario multicompte, les administrateurs du lac de données d'un compte destinataire peuvent spécifier ici le compte propriétaire lorsqu'ils accordent l'autorisation de localisation des données aux autres principaux du compte destinataire.
   + **(Facultatif) Pour permettre aux principaux sélectionnés d'accorder des autorisations de localisation des données sur l'emplacement sélectionné, sélectionnez Accordable.**  
![\[Dans la boîte de dialogue Octroyer des autorisations, l'utilisateur datalake_user et l'emplacement de stockage s3 ://retail/transactions/q119 sont sélectionnés.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-location-dialog-local.png)

1. Choisissez **Accorder**.

------
#### [ AWS CLI ]

**Pour accorder des autorisations de localisation des données (même compte)**
+ Exécutez une `grant-permissions` commande et `DATA_LOCATION_ACCESS` accordez-la au principal, en spécifiant le chemin Amazon S3 comme ressource.  
**Example**  

  L'exemple suivant accorde des autorisations de localisation des données `s3://retail` à l'utilisateur`datalake_user1`.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail"}}'
  ```  
**Example**  

  L'exemple suivant accorde des autorisations de localisation des données `s3://retail` à `ALLIAMPrincipals` un groupe.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "111122223333"}}'
  ```

------

**Voir aussi :**  
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)

# Octroi d'autorisations de localisation des données (compte externe)
<a name="granting-location-permissions-external"></a>

Suivez ces étapes pour accorder des autorisations de localisation des données à un AWS compte ou à une organisation externe. 

Vous pouvez accorder des autorisations à l'aide de la console Lake Formation, de l'API ou du AWS Command Line Interface (AWS CLI).

**Avant de commencer**  
Assurez-vous que toutes les conditions d'accès entre comptes sont satisfaites. Pour de plus amples informations, veuillez consulter [Conditions préalables](cross-account-prereqs.md).

------
#### [ AWS Management Console ]

**Pour accorder des autorisations de localisation des données (compte externe, console)**

1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données.

1. Dans le volet de navigation, sous **Autorisations**, sélectionnez **Emplacements des données**, puis choisissez **Grant**.

1. Dans la boîte de dialogue **Octroyer des autorisations**, choisissez la vignette **Compte externe**.

1. Saisissez les informations suivantes :
   + Pour l'**ID de AWS compte ou AWS l'ID d'organisation**, entrez des numéros de AWS compte, d'organisation IDs ou d'unité organisationnelle valides IDs.

     Appuyez sur **Entrée** après chaque identifiant.

     Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.

     Un identifiant d'unité organisationnelle se compose de « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (l'ID de la racine qui contient l'unité d'organisation). Cette chaîne est suivie d'un deuxième « - » (trait d'union) et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
   + Sous **Emplacements de stockage**, choisissez **Browse**, puis choisissez un emplacement de stockage Amazon Simple Storage Service (Amazon S3). L'emplacement doit être enregistré auprès de Lake Formation.  
![\[Dans la boîte de dialogue Accorder l'autorisation, le bouton radio Compte externe est sélectionné, un AWS compte est spécifié et un emplacement de stockage est spécifié.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-location-dialog-external.png)

1. Sélectionnez **Grantable**.

1. Choisissez **Accorder**.

------
#### [ AWS CLI ]

**Pour accorder des autorisations de localisation des données (compte externe, AWS CLI)**
+ Pour accorder des autorisations à un AWS compte externe, entrez une commande similaire à la suivante.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Cette commande accorde `DATA_LOCATION_ACCESS` avec l'option grant le compte 1111-2222-3333 sur le site Amazon S3`s3://retail/transactions/2020q1`, qui appartient au compte 1234-5678-9012.

  Pour accorder des autorisations à une organisation, entrez une commande similaire à la suivante.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'
  ```

  Cette commande accorde `DATA_LOCATION_ACCESS` une option d'autorisation à l'organisation `o-abcdefghijkl` sur le site Amazon S3`s3://retail/transactions/2020q1`, qui appartient au compte 1234-5678-9012.

   Pour accorder des autorisations à un mandant sur un AWS compte externe, entrez une commande similaire à la suivante.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'
  ```

  Cette commande est accordée `DATA_LOCATION_ACCESS` à un mandant du compte 1111-2222-3333 sur le site Amazon S3`s3://retail/transactions/2020q1`, qui appartient au compte 1234-5678-9012.  
**Example**  

  L'exemple suivant accorde des autorisations de localisation des données `s3://retail` pour les `ALLIAMPrincipals` regrouper dans un compte externe.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
  ```

------

**Voir aussi :**  
[Référence des autorisations de Lake Formation](lf-permissions-reference.md)

# Octroi d'autorisations sur un emplacement de données partagé avec votre compte
<a name="regranting-locations"></a>

Une fois qu'une ressource de catalogue de données est partagée avec votre AWS compte, en tant qu'administrateur du lac de données, vous pouvez accorder des autorisations sur la ressource aux autres principaux de votre compte. Si l'`ALTER`autorisation est accordée sur une table partagée et que la table pointe vers un emplacement Amazon S3 enregistré, vous devez également accorder des autorisations de localisation des données sur cet emplacement. De même, si l'`ALTER`autorisation `CREATE_TABLE` ou est accordée sur une base de données partagée et que la base de données possède une propriété d'emplacement qui pointe vers un emplacement enregistré, vous devez également accorder des autorisations de localisation des données sur cet emplacement.

Pour accorder des autorisations de localisation des données sur un emplacement partagé à un responsable de votre compte, votre compte doit avoir obtenu l'`DATA_LOCATION_ACCESS`autorisation sur le lieu avec l'option d'octroi. Lorsque vous accordez ensuite `DATA_LOCATION_ACCESS` l'autorisation à un autre principal sur votre compte, vous devez inclure l'ID du catalogue de données (ID de AWS compte) du compte propriétaire. Le compte propriétaire est le compte qui a enregistré l'emplacement.

Vous pouvez utiliser la AWS Lake Formation console, l'API ou le AWS Command Line Interface (AWS CLI pour accorder des autorisations de localisation des données.

**Pour accorder des autorisations sur un emplacement de données partagé avec votre compte (console)**
+ Suivez les étapes de [Octroi d'autorisations de localisation des données (même compte)](granting-location-permissions-local.md).

  Pour les **emplacements de stockage**, vous devez saisir les emplacements. Dans **Emplacement du compte enregistré**, entrez le AWS numéro de compte du propriétaire.

**Pour accorder des autorisations sur un emplacement de données partagé avec votre compte (AWS CLI)**
+ Entrez l'une des commandes suivantes pour accorder des autorisations à un utilisateur ou à un rôle.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
  ```