Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Intégrer les données Amazon Redshift dans AWS Glue Data Catalog
Vous pouvez gérer les données analytiques dans les entrepôts de données Amazon Redshift dans AWS Glue Data Catalog le (catalogue de données) et unifier les lacs de données Amazon S3 et les entrepôts de données Amazon Redshift. Amazon Redshift est un service d'entrepôt de données entièrement géré de plusieurs pétaoctets dans le cloud. AWS Un entrepôt des données Amazon Redshift est un ensemble de ressources informatiques appelées *nœuds*, qui sont organisées en un groupe appelé *cluster*. Chaque cluster exécute un moteur Amazon Redshift et contient une ou plusieurs bases de données.
Dans Amazon Redshift, vous pouvez créer des clusters provisionnés par Amazon Redshift et des espaces de noms sans serveur, et les enregistrer dans le catalogue de données. Vous pouvez ainsi unifier les données dans le stockage géré Amazon Redshift (RMS) et les compartiments Amazon S3, et accéder aux données à partir de moteurs d'analyse compatibles avec Apache Iceberg.
En enregistrant des espaces de noms et des clusters, vous pouvez donner accès aux données sans avoir à les copier ou à les déplacer. Pour plus d'informations sur l'enregistrement de clusters et d'espaces de noms dans Amazon Redshift, [consultez la section Enregistrement de clusters et d'espaces de noms Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/dg/iceberg-integration-register.html) auprès du. AWS Glue Data Catalog
Dans Amazon Redshift, vous pouvez partager des données par le biais de partages de données ou en enregistrant des espaces de noms et des clusters auprès de Data Catalog. Dans le cas des partages de données, qui fonctionnent au niveau de chaque objet de base de données, vous devez activer le partage pour chaque table ou vue. En revanche, la publication d'espaces de noms fonctionne au niveau du cluster ou de l'espace de noms. Lorsque vous enregistrez un cluster ou un espace de noms dans le catalogue de données, toutes les bases de données et les tables qu'il contient sont automatiquement partagées, sans que vous ayez à configurer le partage pour des objets individuels.
Dans le catalogue de données, vous pouvez créer un catalogue fédéré pour chaque espace de noms ou cluster. Un catalogue est appelé *catalogue fédéré* lorsqu'il pointe vers une entité extérieure au catalogue de données. Les tables et les vues de l'espace de noms Amazon Redshift sont répertoriées sous forme de tables individuelles dans le catalogue de données. Vous pouvez partager des bases de données et des tables du catalogue fédéré avec des principaux IAM et des utilisateurs SAML sélectionnés au sein du même compte ou d'un autre compte avec Lake Formation. Vous pouvez également inclure des expressions de filtre de ligne et de colonne pour restreindre l'accès à certaines données. Pour de plus amples informations, veuillez consulter [Filtrage des données et sécurité au niveau des cellules dans Lake Formation](data-filtering.md).
Le catalogue de données prend en charge une hiérarchie de métadonnées à trois niveaux comprenant des catalogues, des bases de données et des tables (et des vues). Lorsque vous enregistrez un espace de noms dans le catalogue de données, la hiérarchie de données Amazon Redshift est mappée à la hiérarchie à 3 niveaux du catalogue de données comme suit :
+ L'espace de noms Amazon Redshift devient un catalogue à plusieurs niveaux dans le catalogue de données.
+ La base de données Amazon Redshift associée est enregistrée en tant que catalogue dans le catalogue de données.
+ Le schéma Amazon Redshift devient une base de données dans le catalogue de données.
+ La table Amazon Redshift devient une table dans le catalogue de données.
![\[Affiche le mappage au niveau du catalogue entre l'espace de noms Amazon Redshift et le catalogue de données.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/rs-catalog-mapping.png)
Grâce à cette hiérarchie de métadonnées à trois niveaux, vous pouvez accéder aux tables Amazon Redshift en utilisant la notation en trois parties « catalog1/catalog2.database.table » dans le catalogue de données. Les équipes chargées des données peuvent également conserver la même organisation qu'Amazon Redshift utilise pour organiser les tables au sein du compte Data Catalog.
Dans Lake Formation, vous pouvez gérer en toute sécurité les données d'Amazon Redshift à l'aide d'un contrôle d'accès précis pour les ressources du catalogue de données. Grâce à cette intégration, vous pouvez gérer, sécuriser et interroger des données analytiques à partir d'un catalogue unique doté d'un mécanisme de contrôle d'accès commun.
Pour connaître les limitations, veuillez consulter [Limites liées à l'intégration des données de l'entrepôt de données Amazon Redshift dans le AWS Glue Data Catalog](notes-ns-catalog.md).
**Topics**
+ [Principaux avantages](#namespace-publish-benefits)
+ [Rôles et responsabilités](#namespace-roles-responsibilities)
+ [Conditions préalables à la gestion des espaces de noms Amazon Redshift dans AWS Glue Data Catalog](redshift-ns-prereqs.md)
+ [Création de catalogues fédérés Amazon Redshift](create-ns-catalog.md)
+ [Affichage des objets du catalogue](view-ns-catalog-resources.md)
+ [Mettre à jour un catalogue fédéré](update-fed-catalog-steps.md)
+ [Accès à un catalogue fédéré partagé](catalog-resource-link.md)
+ [Supprimer un catalogue fédéré](delete-rs-fed-catalog.md)
+ [Interrogation de catalogues fédérés](query-redshift-fed-catalog.md)
+ [Ressources supplémentaires](additional-resources-byod.md)
## Principaux avantages
L'enregistrement de clusters et d'espaces de noms Amazon Redshift dans les AWS Glue Data Catalog lacs de données Amazon S3 et les entrepôts de données Amazon Redshift et leur unification offrent les avantages suivants :
+ **Expérience d'interrogation uniforme** : interrogez vos données gérées par Amazon Redshift et les données contenues dans les compartiments Amazon S3 à l'aide de n'importe quel moteur de requête compatible avec Apache Iceberg, tel qu'Amazon EMR Serverless et Amazon Athena, sans avoir à déplacer ou à copier des données.
+ **Accès aux données cohérent entre les services** : vous n'avez pas besoin de mettre à jour les noms des bases de données et des tables dans vos pipelines de données lorsque vous accédez aux mêmes sources de données fédérées à partir de différents services AWS d'analyse, car les sources de données sont enregistrées dans le catalogue de données.
+ **Contrôle d'accès détaillé** — Vous pouvez appliquer des autorisations de Lake Formation pour gérer l'accès aux sources de données fédérées à l'aide d'autorisations de contrôle d'accès détaillées.
## Rôles et responsabilités
| | |
| --- |--- |
| Rôle | Responsabilité |
| Administrateur du cluster de producteurs Amazon Redshift | Enregistre le cluster ou l'espace de noms dans le catalogue de données. |
| Administrateur du lac de données de Lake Formation | Accepte l'invitation du cluster ou de l'espace de noms, crée des catalogues fédérés et accorde l'accès aux catalogues fédérés à d'autres principaux. |
| Administrateur en lecture seule de Lake Formation | Découvre le catalogue fédéré, interroge les tables Amazon Redshift dans le catalogue fédéré. |
| Rôle de transfert de données | Amazon Redshift se charge en votre nom de transférer les données vers et depuis le compartiment Amazon S3. |
Voici les étapes de haut niveau permettant aux utilisateurs d'accéder à un espace de noms Amazon Redshift :
1. Dans Amazon Redshift, l'administrateur du cluster de producteurs enregistre un cluster ou un espace de noms dans le catalogue de données.
1. L'administrateur du lac de données accepte l'invitation à l'espace de noms de l'administrateur du cluster de producteurs Amazon Redshift et crée un catalogue fédéré dans le catalogue de données.
Une fois cette étape terminée, vous pouvez gérer le catalogue d'espaces de noms Amazon Redshift dans le catalogue de données.
1. Accordez des autorisations aux utilisateurs sur les catalogues, les bases de données et les tables. Vous pouvez partager l'intégralité du catalogue d'espaces de noms ou un sous-ensemble de tables avec des utilisateurs du même compte ou d'un autre compte.
# Conditions préalables à la gestion des espaces de noms Amazon Redshift dans AWS Glue Data Catalog
1. Création d'un administrateur de lac de données : créez un rôle IAM autorisé à accepter l'invitation d'espace de noms, à créer les AWS Glue Data Catalog objets (catalogues, bases de données, tables/vues) et à accorder les autorisations de Lake Formation aux autres utilisateurs.
Pour step-by-step obtenir des instructions sur la création d'un administrateur de lac de données, consultez[Création d'un administrateur de lac de données](initial-lf-config.md#create-data-lake-admin).
1. Mettez à jour les autorisations d'administrateur du lac de données.
Outre les autorisations d'administrateur du lac de données, l'administrateur du lac de données a besoin des autorisations suivantes pour accepter une invitation à un espace de noms Amazon Redshift dans Lake Formation, créer ou mettre à jour les ressources du catalogue de données et autoriser l'accès au lac de données :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "glue-enable-datalake-access",
"Statement": [{
"Effect": "Allow",
"Action": [
"redshift:AssociateDataShareConsumer",
"redshift:DescribeDataSharesForConsumer",
"redshift:DescribeDataShares",
"redshift-serverless:CreateNamespace",
"redshift-serverless:CreateWorkgroup",
"redshift-serverless:DeleteNamespace",
"redshift-serverless:DeleteWorkgroup",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeAvailabilityZones",
"s3:createBucket",
"s3:deleteBucket",
"s3:putBucketPolicy",
"s3:putEncryptionConfiguration",
"s3:putLifecycleConfiguration",
"s3:putBucketVersioning",
"iam:CreateRole"
],
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/data transfer role name",
"Condition": {
"StringLike": {
"iam:PassedToService": [
"glue.amazonaws.com"
]
}
}
}
]
}
```
------
1. Si le rôle IAM utilisé pour créer des catalogues fédérés n'est pas un administrateur de data lake, vous devez lui accorder l'autorisation. `Create catalog`
**Pour créer des créateurs de catalogues**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Choisissez **Rôles et tâches administratifs** sous **Administration**.
1. Choisissez **Accorder**.
1. Sur l'écran **Accorder des autorisations**, choisissez un utilisateur ou un rôle IAM.
1. Sélectionnez **Créer une autorisation de catalogue**.
1. Facultativement, vous pouvez également accorder une autorisation de **création de catalogue** pouvant être accordée. L'autorisation pouvant être accordée permet au créateur du catalogue d'accorder l'`Create catalog`autorisation à d'autres personnes principales.
1. Choisissez **Accorder**.
AWS CLI exemple d'octroi d'autorisations pour créer un catalogue fédéré.
```
aws lakeformation grant-permissions \
--cli-input-json \
'{
"Principal": {
"DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/Admin"
},
"Resource": {
"Catalog": {
}
},
"Permissions": [
"CREATE_CATALOG",
"DESCRIBE"
]
}'
```
1. Créez un rôle d'administrateur en lecture seule pour découvrir les catalogues fédérés Amazon Redshift dans le catalogue de données d'Amazon Redshift Query Editor v2.
Pour interroger les tables Amazon Redshift dans le catalogue fédéré à partir d'Amazon Redshift Query Editor v2, assurez-vous que la politique de rôle d'administrateur en lecture seule contient l'ARN du rôle lié au service Amazon Redshift. `AWSServiceRoleForRedshift`
```
aws lakeformation put-data-lake-settings
--region us-east-1 \
--data-lake-settings \
'{
"DataLakeAdmins": [{"DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/Admin"}],
"ReadOnlyAdmins":[{"DataLakePrincipalIdentifier":"arn:aws:iam::123456789012:role/aws-service-role/redshift.amazonaws.com/AWSServiceRoleForRedshift"}],
"CreateDatabaseDefaultPermissions":[],
"CreateTableDefaultPermissions":[],
"Parameters":{"CROSS_ACCOUNT_VERSION":"4","SET_CONTEXT":"TRUE"}
}'
```
1. Créez un rôle de transfert de données qu'Amazon Redshift peut assumer en votre nom pour transférer des données vers et depuis le compartiment Amazon S3.
Lorsque vous activez l'accès aux lacs de données pour les moteurs de requêtes compatibles Apache Iceberg tels qu'Athena, Amazon EMR ou Amazon EC2 pour accéder aux ressources Amazon Redshift du catalogue de données, vous devez créer un rôle IAM doté des autorisations requises pour effectuer le transfert de données vers et depuis le compartiment Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "glue-enable-datalake-access",
"Statement": [{
"Sid": "DataTransferRolePolicy",
"Effect": "Allow",
"Action": [ "glue:GetCatalog",
"glue:GetDatabase",
"kms:GenerateDataKey",
"kms:Decrypt"],
"Resource": "*"
}
]
}
```
------
1. Ajoutez la politique de confiance suivante au rôle de transfert de données pour que AWS Glue les services Amazon Redshift assument le rôle de transfert de données vers et depuis le compartiment Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift.amazonaws.com",
"glue.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}]
}
```
------
1. Ajoutez la politique de clé suivante à la AWS KMS clé si vous utilisez une clé gérée par le client pour chiffrer les données dans le cluster/espace de noms Amazon Redshift. Remplacez le numéro de compte par un numéro de AWS compte valide et spécifiez le nom du rôle de transfert de données. Par défaut, les données du cluster Amazon Redshift sont chiffrées à l'aide d'une clé KMS. Lake Formation propose une option permettant de créer votre clé KMS personnalisée pour le chiffrement. Si vous utilisez une clé gérée par le client, vous devez ajouter des politiques clés spécifiques à la clé.
Pour plus d’informations sur la gestion des autorisations d’une clé gérée par le client, consultez [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "auto-redshift-3",
"Statement": [{
"Sid": "RedshiftAllowAccessPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111122223333",
"kms:ViaService": "redshift.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "RedshiftServerlessAllowAccessPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:CallerAccount": "111122223333",
"kms:ViaService": "redshift-serverless.us-east-1.amazonaws.com"
}
}
},
{
"Sid": "DirectMetadataAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
},
{
"Sid": "GenerateDataKeyDecryptDataTransferRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/data-transfer-role-name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "s3.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
# Création de catalogues fédérés Amazon Redshift
Cette rubrique décrit les étapes à suivre pour accepter une invitation de cluster ou d'espace de noms, créer un catalogue fédéré à plusieurs niveaux et accorder des autorisations à d'autres principaux. Vous pouvez effectuer ces tâches à l'aide de la console Lake Formation, du AWS Command Line Interface (AWS CLI) ou du APIs/SDKs. Les exemples présentés dans cette rubrique présentent le cluster/espace de noms du producteur, le catalogue de données et le consommateur de données dans le même compte.
Pour en savoir plus sur les fonctionnalités multicomptes de Lake Formation, voir[Partage de données entre comptes dans Lake Formation](cross-account-permissions.md).
**Pour gérer un espace de noms Amazon Redshift dans le catalogue de données**
1. Passez en revue une invitation à un espace de noms et acceptez-la.
------
#### [ Console ]
1. Connectez-vous à la console Lake Formation en tant qu'administrateur de lac de données à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Accédez à la page **Catalogues** sous **Catalogue de données**.
1. Passez en revue l'invitation à l'espace de noms à laquelle vous êtes autorisé à accéder. La colonne **Status** indique votre statut de participation actuel pour l'espace de noms. Le statut **Non accepté** indique que vous avez été ajouté à l'espace de noms, mais que vous ne l'avez pas encore accepté ou que vous avez rejeté l'invitation.
![\[La page des catalogues avec les invitations en attente.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/catalog-details.png)
1. Pour répondre à une invitation à un espace de noms ou à un cluster, sélectionnez le nom de l'invitation, puis sélectionnez **Vérifier l'invitation**. Dans **Accepter ou rejeter l'invitation**, passez en revue les détails de l'invitation. Choisissez **Accepter** pour accepter l'invitation ou **Refuser** pour refuser l'invitation. Vous n'avez pas accès à l'espace de noms si vous rejetez l'invitation.
------
#### [ AWS CLI ]
Les exemples suivants montrent comment afficher, accepter et enregistrer l'invitation. Remplacez l' Compte AWS identifiant par un Compte AWS identifiant valide. Remplacez le `data-share-arn` par le véritable Amazon Resource Name (ARN) qui fait référence à l'espace de noms.
1. Afficher une invitation en attente.
```
aws redshift describe-data-shares \
--data-share-arn 'arn:aws:redshift:us-east-1:123456789012:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/ds_internal_namespace' \
```
1. Acceptez une invitation.
```
aws redshift associate-data-share-consumer \
--data-share-arn 'arn:aws:redshift:us-east-1:123456789012:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/ds_internal_namespace' \
--consumer-arn 'arn:aws:glue:us-east-1:123456789012:catalog'
```
1. Enregistrez le cluster ou l'espace de noms dans le compte Lake Formation. Utilisez l'opération [RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)API pour enregistrer le partage de données dans Lake Formation. `DataShareArn`est le paramètre d'entrée pour`ResourceArn`.
**Note**
Il s'agit d'une étape obligatoire.
```
aws lakeformation register-resource \
--resource-arn 'arn:aws:redshift:us-east-1:123456789012:datashare:abcd1234-1234-ab12-cd34-1a2b3c4d5e6f/ds_internal_namespace'
```
------
1. Créez un catalogue fédéré.
Après avoir accepté une invitation, vous devez créer un catalogue fédéré dans le catalogue de données qui met en correspondance les objets de l'espace de noms Amazon Redshift avec le catalogue de données. Vous devez être un administrateur de lac de données, un utilisateur ou un rôle disposant des autorisations requises pour créer un catalogue.
------
#### [ Console ]
1. Après avoir accepté l'**invitation** à l'espace de noms, la page **Définir les détails du catalogue** s'affiche.
1. Sur la page **Définir les détails du catalogue**, entrez un nom unique pour le catalogue. Utilisez des minuscules pour les noms de catalogue. Les noms de catalogue doivent comporter une longueur inférieure ou égale à 255 caractères. Vous utilisez cet identifiant pour mapper l'espace de noms en interne dans la hiérarchie des métadonnées (Catalogid.DBName.Schema.Table).
1. Entrez une description pour le catalogue. La description doit comporter une longueur inférieure ou égale à 2 048 caractères.
1. Cochez ensuite la case **Accéder à ce catalogue depuis des moteurs compatibles Iceberg** pour permettre l'accès aux ressources Amazon Redshift à l'aide de moteurs d'analyse compatibles Apache Iceberg tels qu'Athena et Apache Spark sur Amazon EMR.
Il n’est pas nécessaire d’activer l’accès au lac de données pour accéder aux catalogues fédérés à l’aide d’Amazon Redshift.
![\[La page de création du catalogue avec les options d'activation de l'accès.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/catalog-access.png)
1. Pour permettre à ces moteurs de requêtes de lire et d'écrire dans les espaces de noms Amazon Redshift, AWS Glue créez un cluster Amazon Redshift géré avec les ressources de calcul et de stockage nécessaires pour effectuer des opérations de lecture et d'écriture sans impact sur les charges de travail de l'entrepôt de données Amazon Redshift.
Vous devez également fournir un rôle IAM avec les autorisations requises pour transférer des données vers et depuis le compartiment Amazon S3.
1. Par défaut, les données du cluster Amazon Redshift sont chiffrées à l'aide d'une clé AWS gérée. Lake Formation propose une option permettant de créer votre clé KMS personnalisée pour le chiffrement. Si vous utilisez une clé gérée par le client, vous devez ajouter des politiques clés spécifiques à la clé.
Choisissez l'option **Personnaliser les paramètres de chiffrement** si vous utilisez une clé gérée par le client pour chiffrer les données du cluster/espace de noms Amazon Redshift. Pour utiliser une clé personnalisée, vous devez ajouter une stratégie de clé gérée personnalisée supplémentaire à votre clé KMS. Pour de plus amples informations, veuillez consulter [Conditions préalables à la gestion des espaces de noms Amazon Redshift dans AWS Glue Data Catalog](redshift-ns-prereqs.md).
------
#### [ AWS CLI ]
Utilisez l'exemple de code suivant pour créer un catalogue avec les données Amazon Redshift publiées dans le catalogue de données à l'aide du. AWS CLI
```
aws glue create-catalog
--cli-input-json \
'{
"Name": "nscatalog",
"CatalogInput": {
"Description": "Redshift federated catalog",
"CreateDatabaseDefaultPermissions" : [],
"CreateTableDefaultPermissions": [],
"FederatedCatalog": {
"Identifier": "arn:aws:redshift:us-east-1:123456789012:datashare:11524d7f-f56d-45fe-83f7-d7bb0a4d6d71/ds_internal_namespace",
"ConnectionName": "aws:redshift"
},
"CatalogProperties": {
"DataLakeAccessProperties" : {
"DataLakeAccess" : true,
"DataTransferRole" : "arn:aws:iam::123456789012:role/DataTransferRole"
}
}
}
}'
```
------
1. Accordez des autorisations aux utilisateurs de votre compte ou de comptes externes.
------
#### [ AWS Management Console ]
1. Choisissez **Next** pour accorder des autorisations à d'autres utilisateurs sur les catalogues, bases de données et tables partagés.
1. Sur l'écran **Ajouter des autorisations**, choisissez les principes et les types d'autorisations à accorder.
![\[La page des autorisations du catalogue avec le type principal et les options de subvention.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/catalog-permissions.png)
1. Dans la section **Principaux**, choisissez un type de principal, puis spécifiez les principaux auxquels octroyer des autorisations.
+ **Utilisateurs et rôles IAM** : choisissez un ou plusieurs utilisateurs ou rôles dans la liste des utilisateurs et des rôles IAM.
+ **Utilisateurs et groupes SAML** : pour le SAML et Amazon Quick les utilisateurs et groupes, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou pour les utilisateurs ou groupes ARNs Amazon Quick. Appuyez sur **Entrée** après chaque ARN.
Pour plus d'informations sur la façon de créer les ARNs, voir les AWS CLI commandes AWS CLI d'octroi et de révocation.
+ **Comptes externes** : pour AWS, AWS organisation ou directeur IAM, entrez un ou plusieurs AWS comptes, organisations IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. IDs Appuyez sur Entrée après chaque identifiant. Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres. L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.
1. Dans la section **Autorisations**, sélectionnez les autorisations et les autorisations octroyables.
Sous **Autorisations du catalogue**, sélectionnez une ou plusieurs autorisations à octroyer. Sous **Autorisations pouvant être accordées**, sélectionnez les autorisations que le bénéficiaire de la subvention peut accorder aux autres principaux de son compte. AWS Cette option n’est pas prise en charge lorsque vous octroyez des autorisations à un principal IAM à partir d’un compte externe.
Choisissez **Super user** pour accorder à l'utilisateur des autorisations illimitées sur les ressources (bases de données, tables, vues) du catalogue.
1. Choisissez **Ajouter**.
------
#### [ AWS CLI ]
Utilisez les exemples suivants pour accorder des autorisations de catalogue, de base de données et de table à l'aide de AWS CLI :
+ L'exemple suivant montre comment accorder des autorisations sur le catalogue fédéré.
```
aws lakeformation grant-permissions
--cli-input-cli-json \
'{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:role/non-admin"
},
"Resource": {
"Catalog": {
"Id": "123456789012:nscatalog"
}
},
"Permissions": [
"DESCRIBE","CREATE_CATALOG"
],
"PermissionsWithGrantOption": [
]
}'
```
+ Utilisez l'exemple suivant pour accorder des autorisations sur une base de données.
```
aws lakeformation grant-permissions \
--cli-input-json \
'{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:role/non-admin"
},
"Resource": {
"Database": {
"CatalogId": "123456789012:nscatalog/dev",
"Name": "public"
}
},
"Permissions": [
"ALL"
]
}'
```
+ L'exemple suivant montre comment accorder des autorisations sur une table de la base de données Amazon Redshift.
```
aws lakeformation grant-permissions \
--cli-input-json \
'{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:role/non-admin"
},
"Resource": {
"Table": {
"CatalogId": "123456789012:nscatalog2/dev",
"DatabaseName": "public",
"TableWildcard" : {}
}
},
"Permissions": [
"ALL"
]
}'
```
------
1. Choisissez **Next** pour consulter les détails du catalogue et créer un catalogue fédéré. Le catalogue fédéré nouvellement créé et les objets du catalogue apparaissent sur la page **Catalogues**.
Un catalogue fédéré Amazon Redshift est référencé avec. `catalogID = 123456789012:Redshift-federated catalog id`
# Affichage des objets du catalogue
Après avoir créé le catalogue fédéré, vous pouvez afficher les objets du catalogue à l'aide de la console Lake Formation ou AWS CLI.
------
#### [ AWS Management Console ]
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Choisissez **Catalogues** sous Catalogue de données.
1. Choisissez un catalogue fédéré dans la liste de la page **Catalogues**.
1. La page de résumé du catalogue indique les objets du catalogue (bases de données et tables) pour lesquels vous avez des autorisations. L'onglet **Autorisations** indique les principaux IAM auxquels des autorisations ont été accordées sur ces objets.
------
#### [ AWS CLI ]
+ L' AWS CLI exemple suivant montre comment demander le catalogue de niveau supérieur.
```
aws glue get-catalog \
--catalog-id 123456789012:nscatalog
```
*Réponse*
```
{
"Catalog": {
"CatalogId": "123456789012:nscatalog",
"Name": "nscatalog",
"ResourceArn": "arn:aws:glue:us-east-1:123456789012:catalog/nscatalog",
"Description": "Redshift published Catalog",
"CreateTime": "2024-09-05T14:49:16-07:00",
"FederatedCatalog": {
"Identifier": "arn:aws:redshift:us-east-1:123456789012:datashare:b1234589-e823-4a14-ad8e-077085540a50/ds_internal_namespace",
"ConnectionName": "aws:redshift"
},
"CatalogProperties": {
"DataLakeAccessProperties": {
"DataLakeAccess": true,
"DataTransferRole": "arn:aws:iam::123456789012:role/DataTransferRole",
"KmsKey": "AWS_OWNED_KMS_KEY",
"ManagedWorkgroupName": "123456789012:nscatalog",
"ManagedWorkgroupStatus": "AVAILABLE",
"RedshiftDatabaseName": "dev"
}
},
"CatalogIdentifier": "e2309c2c2fb048f1a3069dfdc1c7883e",
"CreateTableDefaultPermissions": [],
"CreateDatabaseDefaultPermissions": []
}
}
```
+ L'exemple suivant montre comment demander tous les catalogues du compte.
```
aws glue get-catalogs \
--recursive
```
+ L'exemple de demande suivant montre comment obtenir un catalogue Amazon Redshift au niveau de la base de données.
```
aws glue get-catlog \
--catalog-id 123456789012:namespace catalog name/redshift database name
```
+ L'exemple de demande suivant montre comment obtenir les bases de données dans le catalogue au niveau de la base de données Amazon Redshift.
```
aws glue get-databases \
--catalog-id 123456789012:namespace catalog name/redshift database name
```
+ L'exemple de demande suivant montre comment obtenir une table Amazon Redshift dans le catalogue.
```
aws glue get-table \
--catalog-id 123456789012:parent catalog name/redshift database \
--database-name redshift schema name \
--name table name
```
+ L'exemple suivant montre comment obtenir toutes les tables de la base de données Amazon Redshift.
```
aws glue get-tables \
--catalog-id 123456789012:namespace catalog name/redshift database name \
--database-name RS schema name
```
------
# Mettre à jour un catalogue fédéré
Vous pouvez mettre à jour un catalogue fédéré Amazon Redshift dans le catalogue de données à l'aide de la console Lake Formation AWS CLI ou de l'opération API. [UpdateCatalog](https://docs.aws.amazon.com/glue/latest/webapi/API_UpdateCatalog.html)
------
#### [ AWS Management Console ]
Suivez ces étapes pour mettre à jour votre catalogue fédéré à l'aide de la console Lake Formation.
1. Connectez-vous à la AWS Management Console console Lake Formation et ouvrez-la à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Dans le volet de navigation de gauche, sélectionnez **Catalogues** sous **Catalogue de données**.
1. Sur la page **Catalogues**, choisissez le catalogue fédéré Amazon Redshift que vous souhaitez mettre à jour.
1. Sous **Actions**, sélectionnez **Modifier**.
1. Sur l'écran **Définir les détails du catalogue**, dans la section **Accès depuis les moteurs**, sélectionnez **Accéder à ce catalogue depuis les moteurs compatibles Iceberg**. Si vous cochez cette option, l'accès au lac de données sera activé pour les moteurs de requêtes compatibles avec Apache Iceberg.
1. Créez ensuite un nouveau rôle IAM ou choisissez un rôle IAM existant dont la politique accorde des autorisations pour effectuer le transfert de données vers et depuis le compartiment Amazon S3.
Pour plus d'informations sur les autorisations, consultez[Conditions préalables à la gestion des espaces de noms Amazon Redshift dans AWS Glue Data Catalog](redshift-ns-prereqs.md).
1. Par défaut, vos données dans le cluster Amazon Redshift sont chiffrées à l'aide d'un. Clé gérée par AWS Si vous choisissez de chiffrer les données à l'aide d'une clé gérée par le client, créez une clé KMS ou choisissez une clé existante dotée des autorisations définies dans la [Conditions préalables à la gestion des espaces de noms Amazon Redshift dans AWS Glue Data Catalog](redshift-ns-prereqs.md) section.
1. Choisissez **Enregistrer**.
Une fois l'opération terminée, la page des **détails du catalogue** affiche le nom du groupe de travail géré avec le statut « Succès ».
------
#### [ AWS CLI ]
Voici un exemple d'entrée `update-catalog` CLI avec l'accès au lac de données désactivé en définissant la valeur du `DataLakeAacess` paramètre comme`false`.
```
aws glue update-catalog --cli-input-json \
'{
"Name": "nscatalog",
"CatalogInput": {
"Description": "Redshift published catalog",
"CreateDatabaseDefaultPermissions" : [],
"CreateTableDefaultPermissions": [],
"FederatedCatalog": {
"Identifier": "arn:aws:redshift:us-east-1:123456789012:datashare:11524d7f-f56d-45fe-83f7-d7bb0a4d6d71/ds_internal_namespace",
"ConnectionName": "aws:redshift"
},
"CatalogProperties": {
"DataLakeAccessProperties" : {
"DataLakeAccess" : false
}
}
}
}'
```
------
# Accès à un catalogue fédéré partagé
AWS Lake Formation les fonctionnalités inter-comptes permettent aux utilisateurs de partager en toute sécurité des lacs de données distribués entre plusieurs Compte AWS entreprises ou AWS organisations, ou directement avec les responsables IAM d'un autre compte, offrant ainsi un accès détaillé aux métadonnées et aux données sous-jacentes.
Lake Formation utilise le service AWS Resource Access Manager (AWS RAM) pour faciliter le partage des ressources. Lorsque vous partagez une ressource de catalogue avec un autre compte, AWS RAM envoie une invitation au compte bénéficiaire pour qu'il accepte ou rejette la subvention de ressource.
Les services analytiques intégrés tels qu'Amazon Athena et Redshift Spectrum nécessitent des liens de ressources pour pouvoir inclure des ressources partagées dans les requêtes. Les directeurs doivent créer un lien vers une ressource partagée depuis une autre Compte AWS ressource. AWS Glue Data Catalog Pour plus d'informations sur les liens vers des ressources, consultez [Comment fonctionnent les liens vers des ressources dans Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html).
Un *conteneur de liens de catalogue* est un objet de catalogue de données qui fait référence à un catalogue de base de données fédéré local ou entre comptes provenant d'autres comptes. AWS Vous pouvez également créer des liens de base de données et des liens de table dans un conteneur de liens de catalogue. Lorsque vous créez un lien de base de données ou un lien de table, vous devez spécifier une ressource cible résidant dans le même catalogue cible au niveau de la base de données Amazon Redshift (base de données Amazon Redshift).
Pour créer un conteneur de liens de catalogue, vous avez besoin de la Lake Formation `CREATE_CATALOG` ou de l'`glue:CreateCatalog`autorisation.
Vous devez disposer des **paramètres de version inter-comptes** version 4 ou supérieure pour partager des bases de données ou des tables dans le catalogue fédéré entre Compte AWS s.
## Création d'un conteneur de liens de catalogue vers un catalogue fédéré entre comptes
Vous pouvez créer un conteneur de liens de catalogue qui pointe vers un catalogue fédéré au niveau de la base de données Redshift dans n'importe quelle AWS région à l'aide de la AWS Lake Formation console, AWS Glue `CreateCatalog` de l'API ou (). AWS Command Line Interface AWS CLI
**Pour créer un conteneur de liens de catalogue vers un catalogue partagé (console)**
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant que directeur disposant de l'`CREATE_CATALOG`autorisation de Lake Formation.
1. Dans le volet de navigation, choisissez **Catalogues**, puis sélectionnez **Créer un catalogue**.
1. Sur la page **Définir les détails du catalogue**, fournissez les informations suivantes :
**Nom**
Entrez un nom qui respecte les mêmes règles qu'un nom de catalogue. Le nom peut être identique à celui du catalogue partagé cible.
**Type**
Choisissez **le conteneur de liens de catalogue** comme type de catalogue.
**Source**
Sélectionnez `Redshift`.
**Catalogue Target Redshift**
Sélectionnez un catalogue fédéré au niveau de la base de données Redshift ou choisissez un catalogue local (détenu) dans la liste.
La liste contient tous les catalogues partagés avec votre compte. Notez que l'ID de compte du propriétaire du catalogue est indiqué avec chaque catalogue. Si aucun catalogue dont vous savez qu'il a été partagé avec votre compte ne s'affiche, vérifiez les points suivants :
+ Si vous n'êtes pas un administrateur de lac de données, vérifiez que l'administrateur du lac de données vous a accordé les autorisations de Lake Formation sur le catalogue.
+ Si vous êtes administrateur d'un lac de données et que votre compte n'appartient pas à la même AWS organisation que le compte octroyant, assurez-vous d'avoir accepté l'invitation AWS Resource Access Manager (AWS RAM) au partage de ressources pour le catalogue. Pour de plus amples informations, veuillez consulter [Acceptation d'une invitation de partage de ressources de AWS RAM](accepting-ram-invite.md).
Lorsque vous créez un conteneur de liens de catalogue via la console, la liste déroulante **Target Redshift Catalog** peut s'afficher `No matches` lorsque vous essayez de sélectionner un catalogue Redshift entre comptes. Malgré cet affichage, vous pouvez saisir manuellement l'ARN cible du catalogue fédéré au niveau de la base de données Amazon Redshift (base de données Amazon Redshift) dans le champ de saisie, et le formulaire fonctionnera toujours correctement. Par exemple : `arn:aws:glue:us-east-1:123456789012:catalog/federated-catalog-redshift/dev`.
Ce comportement se produit car la console ne peut rechercher des candidats potentiels que dans le compte actuellement connecté. La liste déroulante est conçue comme une fonctionnalité de saisie automatique, mais vous pouvez toujours la saisir manuellement ARNs pour un accès entre comptes.
1. Pour permettre aux moteurs de requêtes Apache Iceberg de lire et d'écrire dans les espaces de noms Amazon Redshift AWS Glue , créez un cluster Amazon Redshift géré avec les ressources de calcul et de stockage nécessaires pour effectuer des opérations de lecture et d'écriture sans impact sur les charges de travail de l'entrepôt de données Amazon Redshift. Vous devez fournir un rôle IAM avec les autorisations requises pour transférer des données depuis et vers le compartiment Amazon S3.
1. Choisissez **Suivant**.
1. (Facultatif) Choisissez **Ajouter des autorisations** pour accorder des autorisations à d'autres principaux.
Toutefois, l'octroi d'autorisations sur un conteneur de liens de catalogue n'accorde pas d'autorisations sur le catalogue cible (lié). Vous devez accorder des autorisations sur le catalogue cible séparément pour que le lien du catalogue soit visible dans Athena.
1. Passez ensuite en revue les détails du conteneur de liens du catalogue et sélectionnez **Créer un catalogue**.
Vous pouvez ensuite afficher le nom du conteneur de liens sur la page **Catalogues**.
Vous pouvez désormais créer des liens de base de données et des liens de table dans le conteneur de liens de catalogue pour permettre l'accès depuis les moteurs de requête.
**Exemple de CLI pour créer un conteneur de liens de catalogue**
+ Dans l'exemple suivant, l'`TargetRedshiftCatalog`objet spécifie l'ARN du catalogue fédéré au niveau de la base de données Amazon Redshift (base de données Amazon Redshift). Le `DataLakeAccess` doit être activé lorsque vous créez le conteneur de liens de catalogue.
```
aws glue create-catalog \
--cli-input-json
'{
"Name": "linkcontainer",
"CatalogInput": {
"TargetRedshiftCatalog": {
"CatalogArn": "arn:aws:us-east-1:123456789012:catalog/nscatalog/dev"
},
"CatalogProperties": {
"DataLakeAccessProperties" : {
"DataLakeAccess" : true,
"DataTransferRole" : "arn:aws:iam::111122223333:role/DataTransferRole"
}
}
}
}'
```
## Création de liens vers des ressources sous le conteneur de liens du catalogue
Vous pouvez créer des liens vers des ressources vers des bases de données et des tables dans un conteneur de liens de catalogue. Lorsque vous créez des liens vers des ressources de base de données ou des liens vers des ressources de table, vous devez spécifier une ressource cible résidant dans le même catalogue cible au niveau de la base de données Amazon Redshift (base de données Amazon Redshift) que celui vers lequel pointe le conteneur de liens.
Vous pouvez créer un lien de ressource vers une base de données Amazon Redshift partagée ou une table à l'aide de la AWS Lake Formation console, de l'API ou AWS Command Line Interface ()AWS CLI.
+ Pour obtenir des instructions complètes, consultez [Création d'un lien de ressource vers une base de données de catalogue de données partagée](create-resource-link-database.md).
Voici un AWS CLI exemple de création d'un lien vers une ressource de base de données sous un conteneur de liens de catalogue.
```
aws glue create-database \
--cli-input-json \
'{
"CatalogId": "111122223333:linkcontainer",
"DatabaseInput": {
"Name": "dblink",
"TargetDatabase": {
"CatalogId": "123456789012:nscatalog/dev",
"DatabaseName": "schema1"
}
}
}'
```
+ Pour créer un lien vers une ressource de table sous un conteneur de liens de catalogue, vous devez d'abord créer une AWS Glue base de données dans le répertoire local AWS Glue Data Catalog pour contenir le lien vers une ressource de table.
Pour plus d'informations sur la création de liens de ressources vers des tables partagées, consultez[Création d'un lien de ressource vers une table de catalogue de données partagée](create-resource-link-table.md).
+ Création d'une base de données contenant la table (exemple de lien de ressource)
```
aws glue create-database \
--cli-input-json \
'{
"CatalogId": "111122223333:linkcontainer",
"DatabaseInput": {
"Name": "db1",
"Description": "creating parent database for table link"
}
}'
```
+ Exemple de lien vers les ressources d'une table
```
aws glue create-table \
--cli-input-json \
'{
"CatalogId": "111122223333:linkcontainer",
"DatabaseName": "db1",
"TableInput": {
"Name": "tablelink",
"TargetTable": {
"CatalogId": "123456789012:nscatalog/dev",
"DatabaseName": "schema1",
"Name": "table1"
}
}
}'
```
# Supprimer un catalogue fédéré
Vous pouvez supprimer les catalogues fédérés que vous avez créés à l' AWS Glue Data Catalog aide de l'`glue:DeleteCatalog`opération ou de la console. AWS Lake Formation
**Pour supprimer un catalogue fédéré (console)**
1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).
1. Dans le volet de navigation, sélectionnez **Catalogues** sous **Catalogue de données**.
1. Choisissez le catalogue que vous souhaitez supprimer dans la liste des catalogues.
1. Choisissez **Supprimer** des **actions**.
1. Choisissez **Supprimer** pour confirmer et le catalogue fédéré sera supprimé du catalogue de données.
![\[Confirmation de suppression du catalogue.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/delete-fed-catalog.png)
**Pour supprimer un catalogue fédéré (CLI)**
+
```
aws glue delete-catalog
--catalog-id 123456789012:catalog name
```
# Interrogation de catalogues fédérés
Une fois que vous avez accordé des autorisations aux autres principaux, ils peuvent se connecter et commencer à interroger les tables des catalogues fédérés en se connectant aux outils SQL via Amazon Redshift, Amazon EMR et ETL. Amazon Athena AWS Glue
Pour plus d'informations sur la connexion au point de terminaison de AWS Glue Data Catalog l'extension Apache Iceberg Rest ou à l'application Spark autonome, consultez la section [Accès à la AWS Glue Data Catalog section du](https://docs.aws.amazon.com/glue/latest/dg/access_catalog.html) Guide du AWS Glue développeur.
Vous pouvez utiliser les requêtes DDL (Data Definition Language) pour créer et gérer des tables dans la base de données à l'aide d'Apache Spark sur Amazon EMR. Pour créer et supprimer des tables dans la base de données Amazon Redshift, le principal doit disposer des autorisations Lake Formation`Create table`. `Drop`
Pour plus d'informations sur l'octroi d'autorisations au catalogue de données, consultez[Octroi d'autorisations sur les ressources du catalogue de données](granting-catalog-permissions.md).
Pour plus d'informations sur l'interrogation des ressources du catalogue Amazon Athena, consultez la section [Interrogation depuis le guide AWS Glue Data Catalog de](https://docs.aws.amazon.com/athena/latest/ug/gdc-register.html) l' Amazon Athena utilisateur d'Amazon Athena.
# Ressources supplémentaires
Vous pouvez utiliser [Amazon SageMaker Lakehouse](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/userguide/lakehouse.html) pour obtenir un accès unifié aux données dans les entrepôts de données et les lacs de données. Grâce à SageMaker Lakehouse, vous pouvez utiliser des moteurs d'analyse, d'apprentissage automatique et de business intelligence préférés via une API REST Apache Iceberg ouverte pour garantir un accès sécurisé aux données grâce à des contrôles d'accès cohérents et précis.
+ [ SageMaker Atelier Amazon](https://catalog.us-east-1.prod.workshops.aws/workshops/107188af-3663-4bbf-bb35-93d514d406da/en-US/03lakehouse)
+ [Simplifiez l'accès aux données pour votre entreprise à l'aide d'Amazon SageMaker Lakehouse](https://aws.amazon.com/blogs/big-data/simplify-data-access-for-your-enterprise-using-amazon-sagemaker-lakehouse/)