Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Octroi d'autorisations de table à l'aide de la méthode de ressource nommée
Vous pouvez utiliser la console Lake Formation ou AWS CLI accorder des autorisations Lake Formation sur les tables du catalogue de données. Vous pouvez accorder des autorisations sur des tables individuelles, ou avec une seule opération d'autorisation, vous pouvez accorder des autorisations sur toutes les tables d'une base de données.
Si vous accordez des autorisations sur toutes les tables d'une base de données, vous les accordez implicitement sur la `DESCRIBE` base de données. La base de données apparaît ensuite sur la page **Bases** de données de la console et est renvoyée par l'opération `GetDatabases` d'API. Cette `DESCRIBE` autorisation automatique ne s'applique pas lors de l'utilisation du contrôle d'accès basé sur les attributs (ABAC). Lorsque vous accordez des autorisations sur toutes les tables d'une base de données à l'aide d'attributs, Lake Formation n'accorde pas implicitement d'`DESCRIBE`autorisation à la base de données.
Lorsque vous choisissez `SELECT` l'autorisation à accorder, vous avez la possibilité d'appliquer un filtre de colonne, un filtre de ligne ou un filtre de cellule.
------
#### [ Console ]
Les étapes suivantes expliquent comment accorder des autorisations de table à l'aide de la méthode de ressource nommée et de la page **Accorder des autorisations de lac de données** sur la console Lake Formation. La page est divisée en sections suivantes :
+ **Types de principes** : utilisateurs, rôles, AWS comptes, organisations ou unités organisationnelles auxquels accorder des autorisations. Vous pouvez également accorder des autorisations aux directeurs dont les attributs correspondent.
+ **Balises LF ou ressources du catalogue** : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.
+ **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.
**Note**
Pour accorder des autorisations sur le lien d'une ressource de table, consultez[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md).
1. Ouvrez la page Accorder des autorisations.
Ouvrez la AWS Lake Formation console à [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)l'adresse et connectez-vous en tant qu'administrateur du lac de données, créateur de la table ou utilisateur ayant obtenu des autorisations sur la table avec l'option d'autorisation.
Effectuez l’une des actions suivantes :
+ Dans le volet de navigation, sélectionnez **Autorisations relatives aux données** sous **Autorisations**. Ensuite, choisissez **Accorder**.
+ Dans le volet de navigation, choisissez **Tables**. Ensuite, sur la page **Tables**, choisissez un tableau, puis dans le menu **Actions**, sous **Autorisations**, choisissez **Accorder**.
**Note**
Vous pouvez accorder des autorisations sur une table via son lien de ressource. Pour ce faire, sur la page **Tables**, choisissez un lien vers une ressource, puis dans le menu **Actions**, choisissez **Grant on target**. Pour de plus amples informations, veuillez consulter [Mode de fonctionnement des liens des ressources dans Lake Formation](resource-links-about.md).
1. Ensuite, dans la section **Principaux types**, spécifiez les principaux ou les principaux avec les attributs correspondants pour accorder des autorisations.
**Utilisateurs et rôles IAM**
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.
**IAM Identity Center**
Choisissez un ou plusieurs utilisateurs ou groupes dans la liste **Utilisateurs et groupes**.
**Utilisateurs et groupes SAML**
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur Entrée après chaque ARN.
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.
**Comptes externes**
Pour **Compte AWS , AWS organisation** ou **principal IAM**, entrez une ou plusieurs organisations Compte AWS IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur **Entrée** après chaque identifiant.
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième caractère « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
Principaux par attributs
Spécifiez la clé et la ou les valeurs de l'attribut. Si vous choisissez plusieurs valeurs, vous créez une expression attributaire avec un opérateur OR. Cela signifie que si l'une des valeurs de balise d'attribut attribuées à un rôle ou à un utilisateur IAM correspond, les autorisations d'accès role/user à la ressource sont obtenues.
Choisissez l'étendue des autorisations en spécifiant si vous accordez des autorisations aux principaux ayant les mêmes attributs dans le même compte ou dans un autre compte.
1. Dans la section **Balises LF ou ressources du catalogue**, choisissez une base de données. Choisissez ensuite une ou plusieurs tables, ou **toutes les tables**.
![\[La section des balises LF ou des ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF et Ressources de catalogue de données nommées. Les ressources de catalogue de données nommées sont sélectionnées. Sous les vignettes se trouvent deux listes déroulantes : base de données et table. La liste déroulante Base de données comporte une vignette en dessous contenant le nom de base de données sélectionné. La liste déroulante Table est surmontée d'une vignette contenant le nom de la table sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-target-resources-tables-section-2.png)
1.
**Spécifiez les autorisations sans filtrage des données.**
Dans la section **Autorisations**, sélectionnez les autorisations de table à accorder, et sélectionnez éventuellement les autorisations pouvant être accordées.
![\[La section Autorisations relatives aux tables et aux colonnes comporte deux sous-sections : les autorisations relatives aux tables et les autorisations pouvant être accordées. Chaque sous-section comporte une case à cocher pour chaque autorisation de Lake Formation possible : Alter, Insert, Drop, Delete, Select, Describe et Super. La super autorisation est située à droite des autres autorisations et comporte une description : « Cette autorisation permet au principal d'accorder n'importe laquelle des autorisations indiquées sur la gauche et remplace les autorisations pouvant être accordées. »\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-no-filter.png)
Si vous autorisez **Select**, la section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**, l'option **Accès à toutes les données** étant sélectionnée par défaut. Acceptez la valeur par défaut.
![\[La section contient trois vignettes, disposées horizontalement, chacune dotée d'un bouton d'option et d'une description. Les boutons d'option sont les suivants : accès à toutes les données (sélectionné), accès simple basé sur des colonnes et filtres avancés au niveau des cellules.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-select-all-data-access.png)
1. Choisissez **Accorder**.
1.
**Spécifiez l'autorisation de **sélection** avec filtrage des données**
Sélectionnez l'autorisation **Select**. Ne sélectionnez aucune autre autorisation.
La section **Autorisations relatives aux données** apparaît sous la section **Autorisations relatives aux tables et aux colonnes**.
1. Effectuez l’une des actions suivantes :
+ Appliquez uniquement un filtrage par colonne simple.
1. Choisissez **Accès simple basé sur des colonnes**.
![\[La section supérieure est la section Autorisations relatives aux tables et aux colonnes. Elle est décrite dans la capture d'écran précédente. Il contient des cases à cocher pour les autorisations de table et les autorisations pouvant être accordées. La section inférieure, Autorisations relatives aux données, comporte trois vignettes disposées horizontalement, où chaque vignette comporte un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Accès simple basé sur des colonnes est sélectionnée. Sous les vignettes se trouve un groupe de boutons d'option portant le libellé Choisir un filtre d'autorisation. Les options sont Inclure les colonnes et Exclure les colonnes. Sous le groupe d'options se trouve une liste déroulante de sélection des colonnes, et en dessous se trouve une sous-section Autorisations pouvant être accordées, qui contient une seule case à cocher intitulée Sélectionner.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-column-filter.png)
1. Choisissez d'inclure ou d'exclure des colonnes, puis choisissez les colonnes à inclure ou à exclure.
Seules les listes d'inclusion sont prises en charge lors de l'octroi d'autorisations à un AWS compte ou à une organisation externe.
1. (Facultatif) Sous **Autorisations pouvant être accordées**, activez l'option d'octroi pour l'autorisation Select.
Si vous incluez l'option de subvention, le bénéficiaire de la subvention ne peut accorder des autorisations que sur les colonnes que vous lui accordez.
**Note**
Vous pouvez également appliquer le filtrage des colonnes uniquement en créant un filtre de données qui spécifie un filtre de colonne et spécifie toutes les lignes comme filtre de ligne. Cependant, cela nécessite d'autres étapes.
+ Appliquez un filtrage par colonne, ligne ou cellule.
1. Choisissez Filtres **avancés au niveau des cellules**.
![\[Cette section, intitulée Autorisations relatives aux données, se trouve sous la section Autorisations relatives aux tables. Il comporte trois vignettes disposées horizontalement, chaque vignette ayant un bouton d'option et une description. Les options sont l'accès à toutes les données, l'accès simple basé sur les colonnes et les filtres avancés au niveau des cellules. L'option Filtres avancés au niveau des cellules est sélectionnée. Sous les vignettes se trouve l'étiquette Afficher les autorisations existantes avec un triangle d'exposition sur la gauche. Les autorisations existantes ne sont pas exposées. Ci-dessous se trouve une section intitulée Filtres de données à accorder. À droite du titre se trouvent trois boutons : Actualiser, Gérer les filtres et Créer un nouveau filtre. Sous le titre et les boutons se trouve un champ de texte contenant le texte fictif « Rechercher un filtre ». Vous trouverez ci-dessous un tableau des filtres existants. Chaque ligne comporte une case à cocher sur la gauche. Les en-têtes de colonne sont le nom du filtre, la table, la base de données et l'identifiant du catalogue de tables. Il y a deux rangées. Le nom du filtre dans la première ligne est restrict-pharma. Le nom sur la deuxième ligne est no-pharma.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-table-permissions-section-cell-filter.png)
1. (Facultatif) Agrandir **Afficher les autorisations existantes**.
1. (Facultatif) Choisissez **Créer un nouveau filtre**.
1. (Facultatif) Pour afficher les détails des filtres répertoriés, créer de nouveaux filtres ou supprimer des filtres existants, choisissez **Gérer les filtres**.
La page **Filtres de données** s'ouvre dans une nouvelle fenêtre de navigateur.
Lorsque vous avez terminé sur la page **Filtres de données**, retournez à la page **Accorder des autorisations** et, si nécessaire, actualisez la page pour afficher les nouveaux filtres de données que vous avez créés.
1. Sélectionnez un ou plusieurs filtres de données à appliquer à la subvention.
**Note**
Si la liste ne contient aucun filtre de données, cela signifie qu'aucun filtre de données n'a été créé pour la table sélectionnée.
1. Choisissez **Accorder**.
------
#### [ AWS CLI ]
Vous pouvez accorder des autorisations de table en utilisant la méthode de ressource nommée et le AWS Command Line Interface (AWS CLI).
**Pour accorder des autorisations de table à l'aide du AWS CLI**
+ Exécutez une `grant-permissions` commande et spécifiez une table comme ressource.
**Example — Subvention sur une seule table, sans filtrage**
L'exemple suivant accorde `SELECT` et `ALTER` à l'utilisateur `datalake_user1` dans le AWS compte 1111-2222-3333 sur la table de la base de données. `inventory` `retail`
```
1. aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" --resource '{ "Table": {"DatabaseName":"retail", "Name":"inventory"}}'
```
Si vous accordez l'`ALTER`autorisation sur une table dont les données sous-jacentes se trouvent dans un emplacement enregistré, veillez à accorder également des autorisations de localisation des données sur cet emplacement aux principaux. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
**Example — Subvention sur toutes les tables avec l'option Grant : aucun filtrage**
L'exemple suivant accorde des autorisations `SELECT` avec l'option grant sur toutes les tables de la base de données`retail`.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --permissions-with-grant-option "SELECT" --resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
**Example — Subvention avec filtrage simple par colonne**
L'exemple suivant accorde des `SELECT` autorisations sur un sous-ensemble de colonnes de la table. `persons` Il utilise un simple filtrage par colonne.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" --resource '{ "TableWithColumns": {"DatabaseName":"hr", "Name":"persons", "ColumnNames":["family_name", "given_name", "gender"]}}'
```
**Example — Subvention avec filtre de données**
Cet exemple accorde des `SELECT` autorisations sur la `orders` table et applique le filtre de `restrict-pharma` données.
```
aws lakeformation grant-permissions --cli-input-json file://grant-params.json
```
Le contenu du fichier est le suivant`grant-params.json`.
```
{
"Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
"Resource": {
"DataCellsFilter": {
"TableCatalogId": "111122223333",
"DatabaseName": "sales",
"TableName": "orders",
"Name": "restrict-pharma"
}
},
"Permissions": ["SELECT"],
"PermissionsWithGrantOption": ["SELECT"]
}
```
------
**Consultez aussi**
[Vue d'ensemble des autorisations relatives à Lake Formation](lf-permissions-overview.md)
[Filtrage des données et sécurité au niveau des cellules dans Lake Formation](data-filtering.md)
[Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md)
[Octroi d'autorisations relatives aux liens vers](granting-link-permissions.md)
[Accès aux tables et aux bases de données partagées du catalogue de données et affichage](viewing-shared-resources.md)