Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des expressions LF-Tag pour le contrôle d'accès aux métadonnées
<a name="managing-tag-expressions"></a>

 Les expressions LF-Tag sont des expressions logiques composées d'une ou plusieurs balises LF (paires clé-valeur) utilisées pour octroyer des autorisations sur les ressources. AWS Glue Data Catalog Les expressions LF-Tag vous permettent de définir des règles qui régissent l'accès à vos ressources de données en fonction de leurs balises de métadonnées. Vous pouvez enregistrer ces expressions et les réutiliser dans le cadre de plusieurs autorisations accordées, afin de garantir la cohérence et de faciliter la gestion des modifications apportées à l'ontologie des balises au fil du temps. 

Dans une expression LF-Tag donnée, les clés des balises sont combinées à l'aide de l'opération AND, tandis que les valeurs sont combinées à l'aide de l'opération OR. Par exemple, l'expression de balise `content_type:Sales AND location:US` représente les ressources liées aux données de vente aux États-Unis.

Vous pouvez créer jusqu'à 1 000 expressions LF-Tag dans un. Compte AWS Ces expressions constituent un moyen flexible et évolutif de gérer les autorisations en fonction des balises de métadonnées, en garantissant que seuls les utilisateurs ou applications autorisés peuvent accéder à des ressources de données spécifiques en fonction des règles de balises définies.

Les expressions LF-Tag offrent les avantages suivants : 
+ **Réutilisabilité** — En définissant et en enregistrant des expressions LF-Tag, vous n'avez plus besoin de répliquer manuellement les mêmes expressions lorsque vous attribuez des autorisations à d'autres ressources ou à d'autres principaux.
+ **Cohérence — La** réutilisation des expressions LF-Tag pour plusieurs autorisations garantit la cohérence dans la manière dont les autorisations sont accordées et gérées.
+ **Gestion des ontologies de balises** : les expressions de balises LF aident à gérer les modifications apportées à l'ontologie des balises au fil du temps, car vous pouvez mettre à jour les expressions enregistrées au lieu de modifier les autorisations accordées individuellement. 

Pour plus d'informations sur le contrôle d'accès basé sur des balises, veuillez consulter le[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md). 

**Créateurs d'expressions LF-Tag**  
Le créateur d'expressions LF-Tag est un directeur autorisé à créer et à gérer des expressions LF-Tag. Les administrateurs de data lake peuvent ajouter des créateurs d'expressions LF-Tag à l'aide de la console, de la CLI, de l'API ou du SDK Lake Formation. Les créateurs d'expressions LF-Tag disposent des autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des expressions LF-Tag, et pour accorder des autorisations d'expression LF-Tag à d'autres principaux.

Les créateurs d'expressions LF-Tag qui ne sont pas des administrateurs de lacs de données reçoivent des `Grant with LF-Tag expression` autorisations implicites `Alter``Drop`,`Describe`, et uniquement pour les expressions qu'ils ont créées. 

Les administrateurs de data lake peuvent également accorder aux créateurs d'expressions LF-Tag des autorisations susceptibles d'être accordées`Create LF-Tag expression`. Le créateur de l'expression LF-Tag peut ensuite accorder l'autorisation de créer des expressions LF-Tag à d'autres principaux.

**Topics**
+ [Autorisations IAM requises pour créer des expressions LF-Tag](#tag-expression-creator-permissions)
+ [Ajouter des créateurs d'expressions LF-Tag](#add-lf-tag-expression-creator)
+ [Création d'expressions LF-Tag](TBAC-creating-tag-expressions.md)
+ [Mise à jour des expressions LF-Tag](TBAC-updating-expressions.md)
+ [Suppression d'expressions de balises LF](TBAC-deleting-expressions.md)
+ [Répertorier les expressions de balises LF](TBAC-listing-expressions.md)

**Consultez aussi**  
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC](granting-catalog-perms-TBAC.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)

## Autorisations IAM requises pour créer des expressions LF-Tag
<a name="tag-expression-creator-permissions"></a>

 Vous devez configurer les autorisations pour permettre à un directeur de Lake Formation de créer des expressions LF-Tag. Ajoutez l'instruction suivante à la politique d'autorisation pour le principal qui doit être un créateur d'expressions LF-Tag.

**Note**  
Bien que les administrateurs de lacs de données disposent d'autorisations implicites de Lake Formation pour créer, mettre à jour et supprimer des balises LF et des expressions de balises LF, pour attribuer des balises LF aux ressources et pour accorder des autorisations de balises LF et d'expression de balises LF aux principaux, les administrateurs de lacs de données ont également besoin des autorisations IAM suivantes.

Pour de plus amples informations, veuillez consulter [Référence des personnalités de Lake Formation et des autorisations IAM](permissions-reference.md).

```
{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags",
        "lakeformation:CreateLFTagExpression",
        "lakeformation:DeleteLFTagExpression",
        "lakeformation:UpdateLFTagExpression",
        "lakeformation:GetLFTagExpression",
        "lakeformation:ListLFTagExpressions",
        "lakeformation:GrantPermissions",
        "lakeformation:RevokePermissions",
        "lakeformation:BatchGrantPermissions",
        "lakeformation:BatchRevokePermissions"
     ]
 }
```

## Ajouter des créateurs d'expressions LF-Tag
<a name="add-lf-tag-expression-creator"></a>

Les créateurs d'expressions LF-Tag peuvent créer et enregistrer des expressions LF-Tag réutilisables, mettre à jour la clé et les valeurs des balises, supprimer des expressions et accorder des autorisations sur les ressources du catalogue de données aux principaux à l'aide de la méthode LF-TBAC. Le créateur de l'expression LF-Tag peut également accorder ces autorisations aux principaux.

Vous pouvez créer des rôles de créateur d'expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

------
#### [ console ]

**Pour ajouter un créateur d'expressions LF-Tag**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant qu'administrateur du lac de données.

1. Dans le volet de navigation, sous **Permissions, sélectionnez **LF-Tags and** permissions**.

1. Choisissez l'onglet **Expressions LF-Tag**.

1. Dans la section **Créateurs d'expressions LF-Tag, choisissez Ajouter des créateurs** **d'expressions LF-Tag**.  
![\[Form to add LF-Tag expression creators with Utilisateur IAM selection and permissions.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/add-lf-tag-expression-creator.png)

1. Sur la page **Ajouter des créateurs d'expressions LF-Tag**, choisissez un rôle ou un utilisateur IAM disposant des autorisations requises pour créer des expressions LF-Tag.

1. Cochez `Create LF-Tag expression` la case d'autorisation.

1. (Facultatif) Pour permettre aux principaux sélectionnés d'accorder des `Create LF-Tag expression` autorisations aux principaux, choisissez Autorisation accordable. `Create LF-Tag expression`

1. Choisissez **Ajouter**.

------
#### [ AWS CLI ]

```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTagExpression"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTagExpression"
    ]
}
```

------

Le rôle de créateur d'expressions LF-Tag permet de créer, mettre à jour ou supprimer des expressions LF-Tag. 


| Autorisations | Description | 
| --- | --- | 
| Create | Un directeur disposant de cette autorisation peut ajouter des expressions LF-Tag dans le lac de données. | 
| Drop | Un principal disposant de cette autorisation sur une expression LF-Tag peut supprimer une expression LF-Tag du lac de données.  | 
| Alter | Un principal disposant de cette autorisation sur une expression LF-Tag peut mettre à jour le corps de l'expression d'une expression LF-Tag. | 
| Describe | Un principal disposant de cette autorisation sur une expression LF-Tag peut voir le contenu d'une expression LF-Tag.  | 
| Grant with LF-Tag expression | Cette autorisation permet au destinataire d'utiliser l'expression du tag comme ressource lorsqu'il accorde des autorisations d'accès aux données ou aux métadonnées. Accorder Grant with LF-Tag expression implicitement des subventionsDescribe. | 
| Super | Pour les expressions de balise LF, l'Superautorisation donne la possibilité deDescribe, AlterDrop, et d'accorder des autorisations sur l'expression de balise à d'autres principaux. | 

Ces autorisations peuvent être accordées. Un directeur qui a obtenu ces autorisations avec l'option d'octroi peut les accorder à d'autres principaux.

# Création d'expressions LF-Tag
<a name="TBAC-creating-tag-expressions"></a>

Vous devez définir toutes les balises LF de Lake Formation et les affecter aux ressources du catalogue de données avant de pouvoir les utiliser pour créer des expressions. Une expression LF-Tag se compose d'une clé supplémentaire et d'une ou de plusieurs valeurs possibles pour chaque clé.

 Une fois que l'administrateur du lac de données a configuré les autorisations IAM et Lake Formation requises pour le rôle de créateur d'expressions LF-Tag, le principal peut créer des expressions LF-Tag réutilisables. Le créateur de l'expression LF-Tag obtient des autorisations implicites pour mettre à jour le corps de l'expression et supprimer l'expression LF-Tag.

Vous pouvez créer des expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

------
#### [ Console ]

**Pour créer une expression LF-Tag**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant que principal avec les autorisations de création d'expressions LF-Tag ou en tant qu'administrateur du lac de données.

1. Dans le volet de navigation, sous **Permissions**, sélectionnez LF-Tags and** permissions**.

1. Choisissez les **expressions LF-Tag**. La page **Ajouter des expressions de balise LF** apparaît.  
![\[La page contient des champs permettant d'ajouter un nom, une description et une liste déroulante pour sélectionner le corps de l'expression. Les utilisateurs peuvent également avoir la possibilité d'accorder des autorisations.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/add-tag-expression.png)

1. Entrez les informations suivantes :
   + Nom — Entrez un nom unique pour l'expression. Vous ne pouvez pas mettre à jour le nom de l'expression. 
   + Description — Fournissez une description facultative de l'expression avec les détails de l'expression.
   + Expression — Créez l'expression en spécifiant les clés de balise et leurs valeurs associées. Vous pouvez ajouter jusqu'à 50 clés par expression. Vous devez disposer de l'autorisation de `Grant with LF-Tags` Lake Formation sur toutes les balises du corps de l'expression.

      Chaque clé doit avoir au moins une valeur. Pour saisir plusieurs valeurs, entrez une liste séparée par des virgules puis appuyez sur **Entrée, ou entrez** une valeur à la fois et choisissez **Ajouter** après chacune d'elles. Le nombre maximum de valeurs autorisées par clé est de 1 000.

      Lake Formation utilise la AND/OR logique pour combiner plusieurs clés et valeurs dans une expression. Au sein d'une seule paire (clé : liste de valeurs), les valeurs sont combinées à l'aide de l'opérateur logique OR. Par exemple, si la paire est (Department : [Sales, Marketing]), cela signifie que le tag correspond si la ressource possède le tag Department avec la valeur Sales OR Marketing. 

      Lorsque vous spécifiez plusieurs clés, celles-ci sont jointes par un opérateur logique AND. Ainsi, si l'expression complète est (Department : [Sales, Marketing]) AND (Location : [États-Unis, Canada]), elle fait correspondre les ressources dont le tag Department a la valeur Sales OR Marketing, ET dont le tag Location a la valeur US OR Canada. Voici un autre exemple avec plusieurs clés et valeurs :

     Expression LF-Tag : (ContentType : [Vidéo, audio]) ET (Région : [Europe, Asie]) ET (Département : [Ingénierie, ProductManagement]).

     Cette expression correspondrait aux ressources qui ont : - La ContentType balise avec la valeur Video OR Audio AND - La balise Region avec la valeur Europe OU Asie ET - La balise Department avec la valeur Engineering OR ProductManagement. 

    Vous pouvez également enregistrer une expression de balise lorsque vous accordez des autorisations de lac de données à l'aide de balises LF. Choisissez les paires clé/valeur, puis sélectionnez l'option **Enregistrer en tant que nouvelle expression**. Entrez un nom qui décrit l'expression.   
![\[La page contient des champs pour sélectionner le corps de l'expression et un champ pour saisir un nom.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/save-expression-grant.png)

1.  (Facultatif) Choisissez ensuite les utilisateurs/rôles et les autorisations sur l'expression que vous souhaitez leur accorder dans le compte. Vous pouvez également choisir des autorisations pouvant être accordées qui permettent aux utilisateurs d'accorder ces autorisations à d'autres utilisateurs du compte. Vous ne pouvez pas accorder d'autorisations entre comptes sur les expressions de balise.  
![\[La page affiche les champs permettant de sélectionner l'autorisation à accorder aux autres principaux.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-expression-permissions.png)

1. Choisissez **Ajouter**.

------
#### [ AWS CLI ]

**Pour créer une expression LF-Tag**
+ Entrez une `create-lf-tag-expression` commande.

  L'exemple suivant crée une expression LF-Tag avec la balise contenant `Department` des valeurs `Sales` et `Marketing` la balise `Location` contenant la valeur. `US`

  ```
  aws lakeformation create-lf-tag-expression \
  -- name "my-tag-expression" \
  -- catalog-id "123456789012" \
  -- expression '{"Expression":[{"TagKey":"Department","TagValues":["Sales","Marketing"]},{"TagKey":"Location","TagValues":["US"]}]}'
  ```

   Cette commande CLI crée une nouvelle expression LF-Tag dans le. AWS Glue Data Catalog L'expression peut être utilisée pour accorder des autorisations aux ressources du catalogue de données telles que les bases de données, les tables, les vues ou les colonnes en fonction de leurs balises associées. Dans cet exemple, l'expression fera correspondre les ressources qui ont la `Department` clé avec des valeurs `Sales` ou`Marketing`, et la `Location` clé avec la valeur`US`. 

------

 En tant que créateur d'expressions de balise, le principal obtient l'`Alter`autorisation d'utiliser cette expression de balise LF et peut mettre à jour ou supprimer l'expression. Le créateur principal de l'expression LF-Tag peut également `Alter` autoriser un autre principal à mettre à jour et à supprimer cette expression. 

# Mise à jour des expressions LF-Tag
<a name="TBAC-updating-expressions"></a>

Seuls les administrateurs du lac de données, le créateur de l'expression LF-Tag et les principaux qui ont `Alter` l'`Super`autorisation d'utiliser l'expression LF-Tag peuvent mettre à jour une expression LF-Tag. Outre `Alter` l'autorisation, vous avez également besoin de l'autorisation `lakeformation:UpdateLFTagExpression` IAM et de l'`Grant with LF-Tag`autorisation sur toutes les valeurs-clés sous-jacentes du nouveau corps d'expression pour mettre à jour les expressions.

Vous mettez à jour une expression LF-Tag en mettant à jour la description, le corps de l'expression et les autorisations accordées à l'expression. Vous ne pouvez pas modifier le nom de l'expression LF-Tag. Pour modifier le nom, supprimez l'expression LF-Tag et ajoutez-en une avec les paramètres requis. 

Vous pouvez mettre à jour une expression de balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

------
#### [ Console ]

**Pour mettre à jour une expression de balise LF**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant qu'administrateur du lac de données, créateur du tag LF ou principal `Alter` autorisé à utiliser le tag LF.

1. Dans le volet de navigation, sous Autorisations, choisissez **LF-Tags and** permissions.

1. Choisissez l'onglet **Expressions LF-Tag**.

1. **Dans la section **Expressions de balise LF**, sélectionnez une expression de balise LF, puis choisissez Modifier.**

1. Dans la boîte de dialogue **Modifier l'expression LF-Tag**, mettez à jour la description et mettez à jour le corps de l'expression en ajoutant ou en supprimant des clés et des valeurs.

   Pour ajouter plusieurs valeurs, dans le champ **Valeurs**, sélectionnez les valeurs dans le menu déroulant.

1. Choisissez **Enregistrer**.

------
#### [ AWS CLI ]

 La update-lf-tag-expression commande de Lake Formation vous permet de mettre à jour une expression LF-Tag existante. 

```
aws lakeformation update-lf-tag-expression \
-- name expression_name\
-- description new_description \
-- catalog-id catalog_id \
-- expression '{"Expression": [{"TagKey": "tag_key", "TagValues": ["tag_value1", "tag_value2", ...]}]}'
```

Voici ce que signifient les paramètres de la commande fournie : 
+ name — Le nom de l'expression de balise nommée existante que vous souhaitez mettre à jour. 
+ description — Nouvelle description de l'expression.

  catalog-id — ID du catalogue de données dans lequel réside l'expression de balise nommée. 
+ expression — La nouvelle chaîne d'expression de balise avec laquelle vous souhaitez mettre à jour l'expression.

------

# Suppression d'expressions de balises LF
<a name="TBAC-deleting-expressions"></a>

Vous pouvez supprimer les expressions LF-Tag qui ne sont plus utilisées. Si vous avez accordé des autorisations aux principaux sur les ressources du catalogue de données à l'aide de l'expression LF-Tag, ils n'en auront plus.

Seuls les administrateurs du lac de données, le créateur de l'expression LF-Tag ou un mandant `Drop` autorisé à utiliser l'expression LF-Tag peuvent supprimer une expression LF-Tag. Outre l'`Drop`autorisation, le principal a également besoin de l'autorisation `lakeformation:DeleteLFTagExpression` IAM pour supprimer une expression LF-Tag.

Vous pouvez supprimer une expression de balise LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

------
#### [ Console ]

**Pour supprimer une expression de balise LF (console)**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant qu'administrateur du lac de données, créateur de l'expression LF-Tag ou principal autorisé à supprimer l'expression.

1. Dans le volet de navigation, sous **Permissions, sélectionnez **LF-Tags and** permissions**.

1. Choisissez l'onglet **expression LF-Tag**.

1. **Dans la section **Expressions de balise LF**, sélectionnez une expression de balise LF, puis choisissez Supprimer.**

1. Dans l'expression **Supprimer le tag LF ?** **boîte de dialogue, pour confirmer la suppression, entrez le nom de l'expression LF-Tag dans le champ prévu à cet effet, puis choisissez Supprimer.**

------
#### [ AWS CLI ]

**Pour supprimer un tag LF ()AWS CLI**
+ Entrez une `delete-lf-tag-expression` commande. Indiquez le nom de l'expression et l'ID du catalogue à supprimer.  
**Example**  

  L'exemple suivant supprime l'expression LF-Tag portant le nom du catalogue `my-tag-expression` de données avec ID. `123456789012` Le `catalog-id` paramètre est facultatif si vous utilisez le même compte que celui utilisé pour votre AWS CLI configuration. Après avoir supprimé une expression LF-Tag, Lake Formation nettoie les enregistrements d'autorisation associés à cette expression. Cela inclut à la fois les enregistrements d'autorisation individuels et les enregistrements d'autorisation agrégés contenant l'expression supprimée.

  ```
  aws lakeformation delete-lf-tag-expression \
  --name "my-tag-expression" \
  --catalog-id "123456789012"
  ```

------

# Répertorier les expressions de balises LF
<a name="TBAC-listing-expressions"></a>

 Vous pouvez répertorier les expressions LF-Tag pour lesquelles vous disposez des autorisations Describe. Les administrateurs de data lake, les créateurs d'expressions de balises LF et les administrateurs en lecture seule peuvent implicitement voir toutes les expressions de balises de leur compte. 

Vous pouvez répertorier les expressions LF-Tag à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

------
#### [ Console ]

**Pour répertorier les expressions de balises LF (console)**

1. Ouvrez la console Lake Formation à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

   Connectez-vous en tant que créateur d'expressions LF-Tag, en tant qu'administrateur de data lake ou en tant que principal ayant obtenu des autorisations sur les expressions LF-Tag et disposant de l'autorisation IAM. `lakeformation:ListLFTagExpressions`

1. Dans le volet de navigation, sous **Autorisations**, **balises LF et** autorisations.

1. Choisissez l'onglet **LF-Tag Expressions pour voir les expressions**. Cette section présente des informations sur les expressions LF-Tag existantes, notamment le nom de l'expression, l'expression elle-même avec des liens vers les balises incluses et les options permettant de créer, de modifier ou de supprimer des expressions. 

------
#### [ AWS CLI ]

**Pour répertorier les balises LF ()AWS CLI**
+ Pour répertorier les expressions LF-Tag à l'aide de AWS CLI, vous pouvez utiliser la list-lf-tag-expressions commande. La syntaxe de la demande est la suivante : 

  ```
  aws lakeformation list-lf-tag-expressions \
  -- catalog-id "123456789012" \
  -- max-items "100" \
  -- next-token "next-token"
  ```

   Où :
  + `catalog-id`est l'ID de AWS compte du catalogue de données pour lequel vous souhaitez répertorier les expressions de balises.
  + `max-items`indique le nombre maximal d'expressions de balise à renvoyer. Si ce paramètre n'est pas utilisé, la valeur par défaut est 100.
  + `next-token`est un jeton de continuation si les résultats ont été tronqués lors d'une demande précédente.

  La réponse inclura une liste d'expressions LF-Tag et un jeton suivant, le cas échéant. 

------