Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Lake Formation : comment ça marche
AWS Lake Formation fournit un modèle d'autorisations du système de gestion de base de données relationnelle (RDBMS) pour accorder ou révoquer l'accès aux ressources du catalogue de données telles que les bases de données, les tables et les colonnes contenant des données sous-jacentes dans Amazon S3. Les autorisations Lake Formation, faciles à gérer, remplacent les politiques complexes relatives aux compartiments Amazon S3 et les politiques IAM correspondantes.
Dans Lake Formation, vous pouvez implémenter des autorisations à deux niveaux :
+ Application des autorisations au niveau des métadonnées sur les ressources du catalogue de données, telles que les bases de données et les tables
+ Gestion des autorisations d'accès au stockage sur les données sous-jacentes stockées dans Amazon S3 pour le compte de moteurs intégrés
## Flux de travail de gestion des autorisations de Lake Formation
Lake Formation s'intègre aux moteurs d'analyse pour interroger les magasins de données Amazon S3 et les objets de métadonnées enregistrés auprès de Lake Formation. Le schéma suivant illustre le fonctionnement de la gestion des autorisations dans Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/lf-workflow.png)
**Étapes de haut niveau de la gestion des autorisations de Lake Formation**
Avant que Lake Formation ne puisse fournir des contrôles d'accès aux données de votre lac de données, un [*administrateur de lac de données*](initial-lf-config.md#create-data-lake-admin) ou un utilisateur disposant d'autorisations administratives définit des politiques utilisateur individuelles pour les tables du catalogue de données afin d'autoriser ou de refuser l'accès aux tables du catalogue de données à l'aide des autorisations de Lake Formation.
Ensuite, l'administrateur du lac de données ou un utilisateur délégué par l'administrateur accorde des autorisations Lake Formation aux utilisateurs sur les bases de données et les tables du catalogue de données, et enregistre l'emplacement de la table sur Amazon S3 auprès de Lake Formation.
1. **Obtenir des métadonnées** — Un principal (utilisateur) envoie une requête ou un script ETL à un [moteur d'analyse intégré](working-with-services.md) tel qu'Amazon Athena, AWS Glue Amazon EMR ou Amazon Redshift Spectrum. Le moteur d'analyse intégré identifie la table demandée et envoie une demande de métadonnées au catalogue de données.
1. **Vérifier les autorisations** — Le catalogue de données vérifie les autorisations de l'utilisateur auprès de Lake Formation, et si l'utilisateur est autorisé à accéder à la table, renvoie les métadonnées qu'il est autorisé à voir au moteur.
1. **Obtenir des informations d'identification** — Le catalogue de données indique au moteur si la table est gérée par Lake Formation ou non. Si les données sous-jacentes sont enregistrées auprès de Lake Formation, le moteur d'analyse demande à Lake Formation de fournir un accès temporaire aux données.
1. **Obtenir des données** — Si l'utilisateur est autorisé à accéder à la table, Lake Formation fournit un accès temporaire au moteur d'analyse intégré. À l'aide de l'accès temporaire, le moteur d'analyse extrait les données d'Amazon S3 et effectue le filtrage nécessaire, tel que le filtrage par colonne, ligne ou cellule. Lorsque le moteur a terminé d'exécuter la tâche, il renvoie les résultats à l'utilisateur. Ce processus s'appelle la vente [d'informations d'identification.](using-cred-vending.md)
Si la table n'est pas gérée par Lake Formation, le deuxième appel du moteur d'analyse est directement envoyé à Amazon S3. La politique de compartiment Amazon S3 et la politique utilisateur IAM concernées sont évaluées pour l'accès aux données.
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) du *Guide de l'utilisateur IAM*.
**Topics**
+ [Flux de travail de gestion des autorisations de Lake Formation](#lf-workflow)
+ [Autorisations relatives aux métadonnées](metadata-permissions.md)
+ [Gestion de l'accès au stockage](storage-permissions.md)
+ [Partage de données entre comptes dans Lake Formation](cross-data-sharing-lf.md)
# Autorisations relatives aux métadonnées
Lake Formation fournit l'autorisation et le contrôle d'accès au catalogue de données. Lorsqu'un rôle IAM appelle l'API du catalogue de données depuis n'importe quel système, le catalogue de données vérifie les autorisations de données de l'utilisateur et renvoie uniquement les métadonnées auxquelles l'utilisateur est autorisé à accéder. Par exemple, si un rôle IAM n'a accès qu'à une seule table dans une base de données et qu'un service ou un utilisateur assumant le rôle effectue l'`GetTables`opération, la réponse ne contiendra qu'une seule table, quel que soit le nombre de tables de la base de données.
**Paramètres par défaut - autorisations `IAMAllowedPrincipal` de groupe**
AWS Lake Formation, par défaut, attribue des autorisations à toutes les bases de données et tables à un groupe virtuel nommé`IAMAllowedPrincipal`. Ce groupe est unique et visible uniquement au sein de Lake Formation. Le `IAMAllowedPrincipal` groupe inclut tous les principaux IAM qui ont accès aux ressources du catalogue de données via les politiques principales IAM et AWS Glue les politiques de ressources. Si cette autorisation existe sur une base de données ou une table, tous les principaux auront accès à la base de données ou à la table.
Si vous souhaitez fournir des autorisations plus détaillées sur une base de données ou une table, supprimez `IAMAllowedPrincipal` l'autorisation et Lake Formation appliquera toutes les autres politiques associées à cette base de données ou table. Par exemple, s'il existe une politique qui permet à l'utilisateur A d'accéder à la base de données A avec `DESCRIBE` des autorisations, et `IAMAllowedPrincipal` qu'elle existe avec toutes les autorisations, l'utilisateur A continuera à effectuer toutes les autres actions jusqu'à ce que l'`IAMAllowedPrincipal`autorisation soit révoquée.
En outre, par défaut, le `IAMAllowedPrincipal` groupe dispose d'autorisations sur toutes les nouvelles bases de données et tables lors de leur création. Deux configurations contrôlent ce comportement. Le premier est au niveau du compte et de la région, ce qui permet cela pour les bases de données nouvellement créées, et le second au niveau de la base de données. Pour modifier le paramètre par défaut, voir[Modifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride](initial-lf-config.md#setup-change-cat-settings).
## Octroi d’autorisations
Les administrateurs des lacs de données peuvent accorder des autorisations de catalogue de données aux principaux afin que ceux-ci puissent créer et gérer des bases de données et des tables, et accéder aux données sous-jacentes.
**Autorisations au niveau de la base de données et de la table**
Lorsque vous accordez des autorisations au sein de Lake Formation, le concédant doit spécifier le principal auquel les autorisations doivent être accordées, les ressources pour lesquelles les autorisations doivent être accordées et les actions que le bénéficiaire doit avoir accès pour effectuer. Pour la plupart des ressources de Lake Formation, la liste principale et les ressources auxquelles accorder des autorisations sont similaires, mais les actions qu'un bénéficiaire peut effectuer varient en fonction du type de ressource. Par exemple, `SELECT` des autorisations sont disponibles pour les tables pour lire les tables, mais `SELECT` pas pour les bases de données. L'`CREATE_TABLE`autorisation est autorisée sur les bases de données, mais pas sur les tables.
Vous pouvez accorder AWS Lake Formation des autorisations de deux manières :
+ [Méthode de ressource nommée](granting-cat-perms-named-resource.md) : vous permet de choisir les noms de base de données et de tables tout en accordant des autorisations aux utilisateurs.
+ [Contrôle d'accès basé sur les balises LF (LF-TBAC)](granting-catalog-perms-TBAC.md) : les utilisateurs créent des balises LF, les associent aux ressources du catalogue de données, accordent des autorisations sur les balises LF, associent des autorisations à des utilisateurs individuels et rédigent des politiques d'`Describe`autorisation LF à l'aide de balises LF destinées à différents utilisateurs. Ces LF-Tag-based politiques s'appliquent à toutes les ressources du catalogue de données associées à ces valeurs LF-Tag.
**Note**
Les balises LF sont propres à Lake Formation. Ils ne sont visibles que dans Lake Formation et ne doivent pas être confondus avec les balises de AWS ressources.
Le LF-TBAC est une fonctionnalité qui permet aux utilisateurs de regrouper les ressources dans des catégories définies par l'utilisateur de balises LF et d'appliquer des autorisations à ces groupes de ressources. C'est donc le meilleur moyen d'étendre les autorisations à un grand nombre de ressources du catalogue de données.
Pour de plus amples informations, veuillez consulter [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
Lorsque vous accordez des autorisations à un directeur, Lake Formation évalue les autorisations comme une union de toutes les politiques relatives à cet utilisateur. Par exemple, si vous avez deux politiques sur une table pour un principal où l'une accorde des autorisations aux colonnes col1, col2 et col3 par le biais d'une méthode de ressource nommée, et l'autre politique accorde des autorisations à la même table et au même principal à col5, et col6 via des balises LF, les autorisations effectives seront une union des autorisations qui seraient col1, col2, col3, col5 et col6. Cela inclut également les filtres de données et les lignes.
**Autorisations de localisation des données**
Les autorisations de localisation des données permettent aux utilisateurs non administrateurs de créer des bases de données et des tables sur des sites Amazon S3 spécifiques. Si un utilisateur tente de créer une base de données ou une table dans un emplacement qu'il n'est pas autorisé à créer, la tâche de création échoue. Cela permet d'empêcher les utilisateurs de créer des tables à des emplacements arbitraires dans le lac de données et de contrôler les endroits où ces utilisateurs peuvent lire et écrire des données. Il existe une autorisation implicite lors de la création de tables dans l'emplacement Amazon S3 au sein de la base de données dans laquelle elles sont créées. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
**Créer des autorisations de table et de base de données**
Par défaut, les utilisateurs non administrateurs ne sont pas autorisés à créer des bases de données ou des tables au sein d'une base de données. La création de bases de données est contrôlée au niveau du compte à l'aide des paramètres de Lake Formation afin que seuls les principaux autorisés puissent créer des bases de données. Pour de plus amples informations, veuillez consulter [Création d’une base de données](creating-database.md). Pour créer une table, le principal a besoin d'une `CREATE_TABLE` autorisation sur la base de données dans laquelle la table est créée. Pour de plus amples informations, veuillez consulter [Création de tablesAWS Glue Data Catalog Vues du bâtiment](creating-tables.md).
**Autorisations implicites et explicites**
Lake Formation fournit des autorisations implicites en fonction du personnage et des actions qu'il effectue. Par exemple, les administrateurs des lacs de données obtiennent automatiquement `DESCRIBE` des autorisations pour toutes les ressources du catalogue de données, des autorisations de localisation des données pour tous les emplacements, des autorisations pour créer des bases de données et des tables dans tous les emplacements, ainsi que `Grant` `Revoke` des autorisations sur n'importe quelle ressource. Les créateurs de bases de données obtiennent automatiquement toutes les autorisations de base de données sur les bases de données qu'ils créent, et les créateurs de tables obtiennent toutes les autorisations sur les tables qu'ils créent. Pour de plus amples informations, veuillez consulter [Permissions implicites de Lake Formation](implicit-permissions.md).
**Autorisations pouvant être accordées**
Les administrateurs de data lake ont la possibilité de déléguer la gestion des autorisations à des utilisateurs non administratifs en fournissant des autorisations pouvant être accordées. Lorsqu'un principal reçoit des autorisations pouvant être accordées sur une ressource et un ensemble d'autorisations, ce principal peut accorder des autorisations à d'autres principaux sur cette ressource.
# Gestion de l'accès au stockage
Lake Formation utilise la fonctionnalité de distribution [automatique d'informations d'identification](using-cred-vending.md) pour fournir un accès temporaire aux données Amazon S3. La vente d'informations d'identification, ou de jetons, est un modèle courant qui fournit des informations d'identification temporaires aux utilisateurs, aux services ou à une autre entité dans le but d'accorder un accès à court terme à une ressource.
Lake Formation s'appuie sur ce modèle pour fournir un accès à court terme à des services AWS d'analyse tels qu'Athena afin d'accéder aux données pour le compte du principal appelant. Lorsqu'ils accordent des autorisations, les utilisateurs n'ont pas besoin de mettre à jour leurs politiques de compartiment Amazon S3 ou leurs politiques IAM, et ils n'ont pas besoin d'un accès direct à Amazon S3.
Le schéma suivant montre comment Lake Formation fournit un accès temporaire aux sites enregistrés :
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Un principal (utilisateur) saisit une requête ou une demande de données pour une table par le biais d'un service intégré fiable tel qu'Athena, Amazon EMR, Redshift Spectrum ou. AWS Glue
1. Le service intégré vérifie l'autorisation de Lake Formation pour le tableau et les colonnes demandées et prend une décision d'autorisation. Si l'utilisateur n'est pas autorisé, Lake Formation refuse l'accès aux données et la requête échoue.
1. Une fois l'autorisation réussie et l'autorisation de stockage activée pour la table et l'utilisateur, le service intégré récupère les informations d'identification temporaires de Lake Formation pour accéder aux données.
1. Le service intégré utilise les informations d'identification temporaires de Lake Formation pour demander des objets à Amazon S3.
1. Amazon S3 fournit les objets Amazon S3 au service intégré. Les objets Amazon S3 contiennent toutes les données de la table.
1. Le service intégré assure l'application nécessaire des politiques relatives à la Formation des Lacs, telles que le filtrage au niveau des colonnes, au niveau des lignes et/ou au niveau des cellules. Le service intégré traite les requêtes et renvoie les résultats à l'utilisateur.
**Activer l'application des autorisations au niveau du stockage pour les tables du catalogue de données**
Par défaut, l'application au niveau du stockage n'est pas activée pour les tables du catalogue de données. Pour permettre l'application au niveau du stockage, vous devez enregistrer l'emplacement Amazon S3 de vos données sources auprès de Lake Formation et fournir un rôle IAM. Les autorisations au niveau du stockage seront activées pour toutes les tables ayant le même chemin d'emplacement de table ou le même préfixe que l'emplacement Amazon S3.
Lorsqu'un service intégré demande l'accès à l'emplacement des données pour le compte d'un utilisateur, le service Lake Formation assume ce rôle et renvoie les informations d'identification au service demandé avec des autorisations limitées sur la ressource afin que l'accès aux données puisse être effectué. Le rôle IAM enregistré doit disposer de tous les accès requis à l'emplacement Amazon S3, y compris AWS KMS les clés.
Pour de plus amples informations, veuillez consulter [Enregistrement d'un emplacement Amazon S3](register-location.md).
**AWS Services pris en charge**
AWS des services analytiques tels qu'Athena, Redshift Spectrum, Amazon AWS Glue EMR Amazon Quick et Amazon SageMaker AI s'intègrent à AWS Lake Formation à l'aide des opérations de l'API de vente automatique d'informations d'identification de Lake Formation. Pour consulter la liste complète des AWS services intégrés à Lake Formation, ainsi que le niveau de granularité et les formats de table qu'ils prennent en charge, voir[Collaboration avec d'autres AWS services](working-with-services.md).
# Partage de données entre comptes dans Lake Formation
Avec Lake Formation, vous pouvez partager les ressources du catalogue de données (bases de données et tables) au sein d'un AWS compte et entre les comptes dans une configuration simple à l'aide de la méthode des ressources nommées ou des balises LF. Vous pouvez partager une base de données complète ou sélectionner des tables d'une base de données avec tous les principaux IAM (rôles et utilisateurs IAM) d'un compte, vers d'autres AWS comptes au niveau du compte ou directement avec les principaux IAM d'un autre compte.
Vous pouvez également partager les tables du catalogue de données avec des filtres de données afin de restreindre l'accès aux détails au niveau des lignes et des cellules. Lake Formation utilise AWS Resource Access Manager (AWS RAM) pour faciliter l'octroi d'autorisations entre comptes. Lorsqu'une ressource est partagée entre deux comptes, AWS RAM envoie des invitations au compte du destinataire. Lorsqu'un utilisateur accepte une invitation de AWS RAM partage, AWS RAM fournit les autorisations nécessaires à Lake Formation pour que les ressources du catalogue de données soient disponibles et pour activer l'application des niveaux de stockage. Pour de plus amples informations, veuillez consulter [Partage de données entre comptes dans Lake Formation](cross-account-permissions.md).
Lorsque l'administrateur du lac de données du compte destinataire accepte le AWS RAM partage, les ressources partagées sont disponibles dans le compte du destinataire. L'administrateur du lac de données accorde d'autres autorisations Lake Formation sur la ressource partagée aux principaux IAM supplémentaires du compte destinataire, s'il dispose d'`GRANTABLE`autorisations sur la ressource partagée.
Cependant, les principaux ne peuvent pas interroger les ressources partagées à l'aide d'Athena ou de Redshift Spectrum sans lien de ressource. Un lien de ressource est une entité du catalogue de données similaire à un concept Linux-Symlink.
L'administrateur du lac de données du compte destinataire crée un lien de ressource sur la ressource partagée. L'administrateur accorde des `Describe` autorisations sur le lien de ressource avec les autorisations requises sur la ressource partagée d'origine à d'autres utilisateurs. Un utilisateur du compte destinataire peut ensuite utiliser le lien de ressource pour interroger la ressource partagée à l'aide d'Athena et Redshift Spectrum. Pour plus d'informations sur les liens vers des ressources, consultez[Création de liens vers des ressources](creating-resource-links.md).