Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conversion d'une AWS Glue ressource en ressource hybride
<a name="hybrid-access-mode-new"></a>

Suivez ces étapes pour enregistrer un site Amazon S3 en mode d'accès hybride et intégrer de nouveaux utilisateurs de Lake Formation sans interrompre l'accès aux données des utilisateurs existants du catalogue de données. 

Description du scénario - L'emplacement des données n'est pas enregistré auprès de Lake Formation, et l'accès des utilisateurs à la base de données et aux tables du catalogue de données est déterminé par les politiques d'autorisation IAM pour Amazon S3 et AWS Glue les actions.
 Le `IAMAllowedPrincipals` groupe dispose par défaut d'`Super`autorisations sur toutes les tables de la base de données. 

**Pour activer le mode d'accès hybride pour un emplacement de données non enregistré auprès de Lake Formation**

1. 

**Enregistrez un emplacement Amazon S3 permettant le mode d'accès hybride.**

------
#### [ Console ]

   1. Connectez-vous à la [console Lake Formation](https://console.aws.amazon.com/lakeformation/) en tant qu'administrateur du lac de données. 

   1. Dans le volet de navigation, sélectionnez **Emplacements des lacs de données** sous **Administration**.

   1. Choisissez **Enregistrer l'emplacement**.  
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. Dans la fenêtre **Enregistrer l'emplacement**, choisissez le chemin **Amazon S3** que vous souhaitez enregistrer auprès de Lake Formation. 

   1. Pour le **rôle IAM**, choisissez le rôle `AWSServiceRoleForLakeFormationDataAccess` lié au service (par défaut) ou un rôle IAM personnalisé rôle qui répond aux exigences de[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md). 

   1. Choisissez le **mode d'accès hybride** pour appliquer des politiques précises de contrôle d'accès à Lake Formation aux principes d'adhésion ainsi qu'aux bases de données et aux tables du catalogue de données pointant vers l'emplacement enregistré.


      Choisissez Lake Formation pour permettre à Lake Formation d'autoriser les demandes d'accès à l'emplacement enregistré.


   1. Choisissez **Enregistrer l'emplacement**.

------
#### [ AWS CLI ]

   Voici un exemple d'enregistrement d'un emplacement de données auprès de Lake Formation HybridAccessEnabled avec:true/false. La valeur par défaut du `HybridAccessEnabled` paramètre est false. Remplacez le chemin, le nom du rôle et l'identifiant du AWS compte Amazon S3 par des valeurs valides.

   ```
   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**Accordez des autorisations et autorisez les principaux à utiliser les autorisations de Lake Formation pour les ressources en mode d'accès hybride**

   Avant d'activer les principes et les ressources en mode d'accès hybride, vérifiez que les bases de données et les tables dont l'emplacement est enregistré auprès de Lake Formation en mode d'accès hybride existent `Super` ou que les `All` autorisations de `IAMAllowedPrincipals` regroupement existent.
**Note**  
Vous ne pouvez pas accorder d'autorisation au `IAMAllowedPrincipals` groupe `All tables` dans une base de données. Vous devez sélectionner chaque table séparément dans le menu déroulant et accorder des autorisations. En outre, lorsque vous créez de nouvelles tables dans la base de données, vous pouvez choisir de les utiliser `Use only IAM access control for new tables in new databases` dans les **paramètres du catalogue de données**. Cette option accorde automatiquement `Super` l'autorisation au `IAMAllowedPrincipals` groupe lorsque vous créez de nouvelles tables dans la base de données. 

------
#### [ Console ]

   1. Sur la console Lake Formation, sous **Data Catalog**, sélectionnez **Catalogues, **Databases**** ou **Tables**.

   1. Sélectionnez un catalogue, une base de données ou une table dans la liste, puis choisissez **Grant** dans le menu **Actions**.

   1. Choisissez des principes pour accorder des autorisations sur la base de données, les tables et les colonnes à l'aide d'une méthode de ressource nommée ou de balises LF.

      Vous pouvez également choisir **Autorisations relatives aux données**, sélectionner les principaux auxquels accorder les autorisations dans la liste, puis sélectionner **Accorder**.

      Pour plus de détails sur l'octroi d'autorisations de données, consultez[Octroi d'autorisations sur les ressources du catalogue de données](granting-catalog-permissions.md).
**Note**  
Si vous accordez à un principal l'autorisation de créer une table, vous devez également accorder des autorisations de localisation des données (`DATA_LOCATION_ACCESS`) au principal. Cette autorisation n'est pas nécessaire pour mettre à jour les tables.  
Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).

   1. Lorsque vous utilisez la **méthode des ressources nommées** pour accorder des autorisations, l'option permettant d'activer les principes et les ressources est disponible dans la section inférieure de la page d'**autorisation des données d'octroi**. 

      Choisissez **Rendre les autorisations Lake Formation effectives immédiatement** pour activer les autorisations Lake Formation pour les principaux et les ressources.  
![\[L'option permettant de choisir le mode d'accès hybride pour la ressource du catalogue de données.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. Choisissez **Accorder**.

       Lorsque vous activez le principal A sur la table A qui pointe vers un emplacement de données, cela permet au principal A d'accéder à l'emplacement de cette table en utilisant les autorisations de Lake Formation si l'emplacement des données est enregistré en mode hybride. 

------
#### [ AWS CLI ]

   Voici un exemple d'activation d'un principal et d'une table en mode d'accès hybride. Remplacez le nom du rôle, l'identifiant du AWS compte, le nom de la base de données et le nom de la table par des valeurs valides.

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }
   ```

------

   1. Si vous choisissez les balises LF pour octroyer des autorisations, vous pouvez activer les principes pour utiliser les autorisations de Lake Formation lors d'une étape séparée. Vous pouvez le faire en choisissant le **mode d'accès hybride** sous **Autorisations** dans la barre de navigation de gauche.

   1.  Dans la section inférieure de la page du **mode d'accès hybride**, choisissez **Ajouter pour ajouter** des ressources et des principes au mode d'accès hybride. 

   1.  Sur la page **Ajouter des ressources et des principes**, choisissez les catalogues, les bases de données et les tables enregistrés en mode d'accès hybride. 

      Vous pouvez choisir d'autoriser l'accès `All tables` dans une base de données.  
![\[Interface permettant d'ajouter des catalogues, des bases de données et des tables en mode d'accès hybride.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. Choisissez les principaux et acceptez d'utiliser les autorisations de Lake Formation en mode d'accès hybride.
      +  **Principaux** — Vous pouvez choisir les utilisateurs et les rôles IAM dans le même compte ou dans un autre compte. Vous pouvez également choisir des utilisateurs et des groupes SAML.
      + **Attributs** : sélectionnez les attributs pour accorder des autorisations en fonction des attributs.  
![\[Interface permettant d'ajouter des principes et des ressources avec une expression d'attribut.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + Entrez la paire clé-valeur pour créer une subvention basée sur les attributs. Passez en revue l'expression de politique Cedar sur la console. Pour plus d'informations sur le cèdre, voir [Qu'est-ce que le cèdre ? \$1 Référence linguistique des politiques de Cedar GuideLink](https://docs.cedarpolicy.com/).
      + Choisissez **Ajouter**.

        L'accès est accordé à tous roles/users les IAM dont les attributs correspondent.

   1. Choisissez **Ajouter**.