Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Ajouter un emplacement Amazon S3 à votre lac de données
Pour ajouter un emplacement de données en tant que stockage dans votre lac de données, vous *devez enregistrer* l'emplacement (**emplacement du lac de données**) auprès de AWS Lake Formation. Vous pouvez ensuite utiliser les autorisations de Lake Formation pour un contrôle d'accès précis aux AWS Glue Data Catalog objets pointant vers cet emplacement et aux données sous-jacentes de cet emplacement.
Lake Formation permet également d'enregistrer un emplacement de données en mode d'accès hybride et vous offre la flexibilité d'activer de manière sélective les autorisations Lake Formation pour les bases de données et les tables de votre catalogue de données. Avec le mode d'accès hybride, vous disposez d'un chemin incrémentiel qui vous permet de définir les autorisations de Lake Formation pour un ensemble spécifique d'utilisateurs sans interrompre les politiques d'autorisation des autres utilisateurs ou charges de travail existants.
Pour plus d'informations sur la configuration du mode d'accès hybride, voir [Mode d'accès hybride](hybrid-access-mode.md)
Lorsque vous enregistrez un emplacement, ce chemin Amazon S3 et tous les dossiers situés sous ce chemin sont enregistrés.
Supposons, par exemple, que vous disposiez d'une organisation des chemins Amazon S3 telle que la suivante :
`/mybucket/accounting/sales/`
Si vous vous inscrivez`S3://mybucket/accounting`, le `sales` dossier est également enregistré et placé sous Gestion de Lake Formation.
Pour plus d'informations sur l'enregistrement des points de vente, consultez[Underlying data access control](access-control-underlying-data.md#underlying-data-access-control).
**Note**
Les autorisations Lake Formation sont recommandées pour les données structurées (organisées dans des tableaux avec des lignes et des colonnes). Si vos données contiennent des données non structurées basées sur des objets, pensez à utiliser les autorisations d'accès Amazon S3 pour gérer l'accès aux données.
**Topics**
+ [Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md)
+ [Enregistrement d'un emplacement Amazon S3](register-location.md)
+ [Enregistrement d'un emplacement Amazon S3 chiffré](register-encrypted.md)
+ [Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte](register-cross-account.md)
+ [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md)
+ [Annulation de l'enregistrement d'un site Amazon S3](unregister-location.md)
# Exigences relatives aux rôles utilisés pour enregistrer des sites
Vous devez spécifier un rôle Gestion des identités et des accès AWS (IAM) lorsque vous enregistrez un emplacement Amazon Simple Storage Service (Amazon S3). AWS Lake Formation assume ce rôle lors de l'accès aux données à cet emplacement.
Vous pouvez utiliser l'un des types de rôles suivants pour enregistrer un emplacement :
+ Le rôle lié au service Lake Formation. Ce rôle accorde les autorisations requises sur l'emplacement. L'utilisation de ce rôle est le moyen le plus simple d'enregistrer l'emplacement. Pour plus d’informations, consultez [Utilisation de rôles liés à un service pour Lake Formation](service-linked-roles.md) et [Limitations des rôles liés aux services](service-linked-role-limitations.md).
+ Rôle défini par l'utilisateur. Utilisez un rôle défini par l'utilisateur lorsque vous devez accorder plus d'autorisations que le rôle lié à un service n'en fournit.
Vous devez utiliser un rôle défini par l'utilisateur dans les cas suivants :
+ Lors de l'enregistrement d'une position dans un autre compte.
Pour plus d’informations, consultez [Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte](register-cross-account.md) et [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md).
+ Si vous avez utilisé une AWS clé CMK gérée (`aws/s3`) pour chiffrer l'emplacement Amazon S3.
Pour de plus amples informations, veuillez consulter [Enregistrement d'un emplacement Amazon S3 chiffré](register-encrypted.md).
+ Si vous prévoyez d'accéder à l'emplacement via Amazon EMR.
Si vous avez déjà enregistré un emplacement avec le rôle lié au service et que vous souhaitez commencer à y accéder avec Amazon EMR, vous devez annuler l'enregistrement du point de vente et le réenregistrer avec un rôle défini par l'utilisateur. Pour de plus amples informations, veuillez consulter [Annulation de l'enregistrement d'un site Amazon S3](unregister-location.md).
# Utilisation de rôles liés à un service pour Lake Formation
AWS Lake Formation utilise un rôle Gestion des identités et des accès AWS lié à un *service* (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Lake Formation. Le rôle lié au service est prédéfini par Lake Formation et inclut toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration de Lake Formation, car il n'est pas nécessaire de créer un rôle et d'ajouter manuellement les autorisations nécessaires. Lake Formation définit les autorisations associées à son rôle lié aux services et, sauf indication contraire, seule Lake Formation peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Ce rôle lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `lakeformation.amazonaws.com`
Lorsque vous utilisez un rôle lié à un service dans le compte A pour enregistrer un emplacement Amazon S3 appartenant au compte B, la politique de compartiment Amazon S3 (une politique basée sur les ressources) du compte B doit accorder des autorisations d'accès au rôle lié au service dans le compte A.
Pour plus d'informations sur l'utilisation d'un rôle lié à un service pour enregistrer un emplacement de données, consultez. [Limitations des rôles liés aux services](service-linked-role-limitations.md)
**Note**
Les politiques de contrôle des services (SCPs) n'affectent pas les rôles liés aux services.
Pour plus d'informations, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur*.
## Autorisations de rôle liées à un service pour Lake Formation
Lake Formation utilise le rôle lié au service nommé. `AWSServiceRoleForLakeFormationDataAccess` Ce rôle fournit un ensemble d'autorisations Amazon Simple Storage Service (Amazon S3) qui permettent au service intégré Lake Formation ( Amazon Athena tel que) d'accéder aux emplacements enregistrés. Lorsque vous enregistrez un emplacement de lac de données, vous devez fournir un rôle disposant des read/write autorisations Amazon S3 requises pour cet emplacement. Au lieu de créer un rôle avec les autorisations Amazon S3 requises, vous pouvez utiliser ce rôle lié à un service.
La première fois que vous nommez le rôle lié au service comme le rôle avec lequel enregistrer un chemin, le rôle lié au service et une nouvelle politique IAM sont créés en votre nom. Lake Formation ajoute le chemin à la politique en ligne et l'associe au rôle lié au service. Lorsque vous enregistrez les chemins suivants avec le rôle lié au service, Lake Formation ajoute le chemin à la politique existante.
Lorsque vous êtes connecté en tant qu'administrateur du lac de données, enregistrez l'emplacement d'un lac de données. Ensuite, dans la console IAM, recherchez le rôle `AWSServiceRoleForLakeFormationDataAccess` et consultez les politiques qui lui sont associées.
Par exemple, une fois que vous avez enregistré l'emplacement`s3://my-kinesis-test/logs`, Lake Formation crée la politique en ligne suivante et l'attache à`AWSServiceRoleForLakeFormationDataAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test/logs/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::my-kinesis-test"
]
}
]
}
```
------
## Création d'un rôle lié à un service pour Lake Formation
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous enregistrez un site Amazon S3 avec Lake Formation dans l' AWS Management Console AWS API AWS CLI, Lake Formation crée le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous enregistrez un site Amazon S3 auprès de Lake Formation, Lake Formation crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation de **Lake Formation**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `lakeformation.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification d'un rôle lié à un service pour Lake Formation
Lake Formation ne vous permet pas de modifier le rôle `AWSServiceRoleForLakeFormationDataAccess` lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Suppression d'un rôle lié à un service pour Lake Formation
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Lake Formation utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources de la Formation du Lac utilisées par la Formation du Lac**
+ Si vous avez utilisé le rôle lié à un service pour enregistrer des sites Amazon S3 auprès de Lake Formation, avant de supprimer le rôle lié au service, vous devez désenregistrer l'emplacement et le réenregistrer à l'aide d'un rôle personnalisé.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForLakeFormationDataAccess` service. Pour plus d’informations, veuillez consulter [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
Les conditions requises pour un rôle défini par l'utilisateur sont les suivantes :
+ Lors de la création du nouveau rôle, sur la page **Créer un rôle** de la console IAM, sélectionnez **AWS service**, puis sous **Choisir un cas d'utilisation**, choisissez **Lake Formation**.
Si vous créez le rôle en utilisant un chemin différent, assurez-vous que le rôle entretient une relation de confiance avec`lakeformation.amazonaws.com`. Pour plus d'informations, consultez la section [Modification d'une politique d'approbation des rôles (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
+ Le rôle doit avoir une politique intégrée qui accorde des read/write autorisations à Amazon S3 sur le site. Voici une politique typique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Ajoutez la politique de confiance suivante au rôle IAM pour permettre au service Lake Formation d'assumer le rôle et de vendre des informations d'identification temporaires aux moteurs d'analyse intégrés.
Pour inclure le contexte utilisateur d'IAM Identity Center dans les CloudTrail journaux, la politique de confiance doit autoriser l'`sts:SetContext`action.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ L'administrateur du lac de données qui enregistre l'emplacement doit disposer de l'`iam:PassRole`autorisation associée au rôle.
Voici une politique intégrée qui accorde cette autorisation. Remplacez ** par un numéro de AWS compte valide et remplacez ** par le nom du rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/"
]
}
]
}
```
------
+ Pour permettre à Lake Formation d'ajouter des journaux dans CloudWatch les journaux et de publier des métriques, ajoutez la politique en ligne suivante.
**Note**
L'écriture dans CloudWatch Logs entraîne des frais.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:us-east-1:111122223333:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------
# Enregistrement d'un emplacement Amazon S3
Vous devez spécifier un rôle Gestion des identités et des accès AWS (IAM) lorsque vous enregistrez un emplacement Amazon Simple Storage Service (Amazon S3). Lake Formation assume ce rôle lorsqu'elle accorde des informations d'identification temporaires aux AWS services intégrés qui accèdent aux données à cet endroit.
**Important**
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les **demandeurs sont activés**. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Vous pouvez utiliser la AWS Lake Formation console, l'API Lake Formation ou AWS Command Line Interface (AWS CLI) pour enregistrer un emplacement Amazon S3.
**Avant de commencer**
Passez en revue [les exigences relatives au rôle utilisé pour enregistrer l'emplacement](registration-role.md).
**Pour enregistrer un emplacement (console)**
**Important**
Les procédures suivantes supposent que le site Amazon S3 se trouve dans le même AWS compte que le catalogue de données et que les données du site ne sont pas chiffrées. Les autres sections de ce chapitre traitent de l'enregistrement entre comptes et de l'enregistrement des emplacements chiffrés.
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Choisissez **Register location**, puis **Browse** pour sélectionner un chemin Amazon Simple Storage Service (Amazon S3).
1. (Facultatif, mais fortement recommandé) Sélectionnez **Vérifier les autorisations de localisation** pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné et leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
1. Pour le **rôle IAM**, choisissez le rôle `AWSServiceRoleForLakeFormationDataAccess` lié au service (par défaut) ou un rôle IAM personnalisé répondant aux exigences de. [Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md)
Vous pouvez mettre à jour un emplacement enregistré ou d'autres informations uniquement lorsque vous l'enregistrez à l'aide d'un rôle IAM personnalisé. Pour modifier un point de vente enregistré à l'aide d'un rôle lié à un service, vous devez le désenregistrer, puis l'enregistrer à nouveau.
1. Choisissez l'option **Enable Data Catalog Federation** pour autoriser Lake Formation à assumer un rôle et à vendre des informations d'identification temporaires aux AWS services intégrés afin d'accéder aux tables des bases de données fédérées. Si un emplacement est enregistré auprès de Lake Formation et que vous souhaitez utiliser le même emplacement pour une table dans une base de données fédérée, vous devez enregistrer le même emplacement à l'aide de l'option **Enable Data Catalog Federation**.
1. Choisissez le **mode d'accès hybride** pour ne pas activer les autorisations de Lake Formation par défaut. Lorsque vous enregistrez l'emplacement Amazon S3 en mode d'accès hybride, vous pouvez activer les autorisations de Lake Formation en optant pour les principes pour les bases de données et les tables situées sous cet emplacement.
Pour plus d'informations sur la configuration du mode d'accès hybride, consultez[Mode d'accès hybride](hybrid-access-mode.md).
1. Sélectionnez **Enregistrer l'emplacement**.
**Pour enregistrer un point de vente (AWS CLI)**
1.
**Enregistrez un nouvel emplacement avec Lake Formation**
Cet exemple utilise un rôle lié à un service pour enregistrer l'emplacement. Vous pouvez plutôt utiliser l'`--role-arn`argument pour indiquer votre propre rôle.
Remplacez-le ** par un chemin Amazon S3 valide, un numéro de AWS compte associé à un compte valide et ** par un rôle IAM autorisé à enregistrer un emplacement de données.
**Note**
Vous ne pouvez pas modifier les propriétés d'un point de vente enregistré s'il est enregistré à l'aide d'un rôle lié à un service.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
L'exemple suivant utilise un rôle personnalisé pour enregistrer l'emplacement.
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/
```
1.
**Pour mettre à jour une position enregistrée auprès de Lake Formation**
Vous ne pouvez modifier un emplacement enregistré que s'il est enregistré à l'aide d'un rôle IAM personnalisé. Pour un emplacement enregistré avec un rôle lié à un service, vous devez le désenregistrer et l'enregistrer à nouveau. Pour de plus amples informations, veuillez consulter [Annulation de l'enregistrement d'un site Amazon S3](unregister-location.md).
```
aws lakeformation update-resource \
--role-arn arn:aws:iam::<123456789012>:role/\
--resource-arn arn:aws:s3:::
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--use-service-linked-role
```
1.
**Enregistrer un emplacement de données en mode d'accès hybride avec fédération**
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
```
aws lakeformation register-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--with-federation
```
```
aws lakeformation update-resource \
--resource-arn arn:aws:s3::: \
--role-arn arn:aws:iam::<123456789012>:role/ \
--hybrid-access-enabled
```
Pour plus d'informations, consultez la section Fonctionnement de l'[RegisterResource](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_RegisterResource.html)API.
**Note**
Une fois que vous avez enregistré un emplacement Amazon S3, toute AWS Glue table pointant vers cet emplacement (ou l'un de ses emplacements enfants) renvoie la valeur du `IsRegisteredWithLakeFormation` paramètre comme `true` dans l'`GetTable`appel. Il existe une limite connue selon laquelle les opérations de l'API du catalogue de données, telles que `GetTables` la mise à jour ou non de la valeur du `IsRegisteredWithLakeFormation` paramètre, renvoient la valeur par défaut, qui est fausse. `SearchTables` Il est recommandé d'utiliser l'`GetTable`API pour afficher la valeur correcte du `IsRegisteredWithLakeFormation` paramètre.
# Enregistrement d'un emplacement Amazon S3 chiffré
Lake Formation s'intègre à [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) pour vous permettre de configurer plus facilement d'autres services intégrés pour chiffrer et déchiffrer les données sur les sites Amazon Simple Storage Service (Amazon S3).
Ils Clés gérées par AWS sont tous deux gérés par AWS KMS keys le client et pris en charge. Actuellement, le côté client n' encryption/decryption est pris en charge qu'avec Athena.
Vous devez spécifier un rôle Gestion des identités et des accès AWS (IAM) lorsque vous enregistrez un emplacement Amazon S3. Pour les sites Amazon S3 chiffrés, le rôle doit être autorisé à chiffrer et à déchiffrer les données avec le AWS KMS key, ou la politique de clé KMS doit accorder des autorisations sur la clé du rôle.
**Important**
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les **demandeurs sont activés**. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Lake Formation utilise un rôle lié à un service pour enregistrer l'emplacement de vos données. Ce rôle présente toutefois plusieurs [limites](service-linked-role-limitations.md). En raison de ces contraintes, nous recommandons plutôt de créer et d'utiliser un rôle IAM personnalisé pour plus de flexibilité et de contrôle. Le rôle personnalisé que vous créez pour enregistrer l'emplacement doit répondre aux exigences spécifiées dans[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md).
**Important**
Si vous avez utilisé un Clé gérée par AWS pour chiffrer l'emplacement Amazon S3, vous ne pouvez pas utiliser le rôle lié au service Lake Formation. Vous devez utiliser un rôle personnalisé et ajouter des autorisations IAM sur la clé du rôle. Les détails sont fournis plus loin dans cette section.
Les procédures suivantes expliquent comment enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client ou d'un Clé gérée par AWS.
+ [Enregistrement d'un emplacement chiffré à l'aide d'une clé gérée par le client](#proc-register-cust-cmk)
+ [Enregistrer une position cryptée avec un Clé gérée par AWS](#proc-register-aws-cmk)
**Avant de commencer**
Passez en revue [les exigences relatives au rôle utilisé pour enregistrer l'emplacement](registration-role.md).
**Pour enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client**
**Note**
Si la clé KMS ou l'emplacement Amazon S3 ne se trouvent pas dans le même AWS compte que le catalogue de données, suivez [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md) plutôt les instructions indiquées.
1. Ouvrez la AWS KMS console à l'[https://console---aws.amazon.com.rproxy.govskope.usadresse /kms](https://console.aws.amazon.com/kms) et connectez-vous en tant qu'utilisateur administratif Gestion des identités et des accès AWS (IAM) ou en tant qu'utilisateur pouvant modifier la politique de clé KMS utilisée pour chiffrer l'emplacement.
1. Dans le volet de navigation, sélectionnez **Clés gérées par le client**, puis choisissez le nom de la clé KMS souhaitée.
1. Sur la page de détails des clés KMS, choisissez l'onglet **Politique clé**, puis effectuez l'une des opérations suivantes pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation en tant qu'utilisateur clé KMS :
+ **Si la vue par défaut s'affiche** (avec les sections **Administrateurs clés****, Suppression** des **clés, Utilisateurs clés** et **Autres AWS comptes**), dans la section **Utilisateurs clés**, ajoutez votre rôle personnalisé ou le rôle lié au service Lake Formation. `AWSServiceRoleForLakeFormationDataAccess`
+ **Si la politique clé (JSON) s'affiche**, modifiez la politique pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation `AWSServiceRoleForLakeFormationDataAccess` à l'objet « Autoriser l'utilisation de la clé », comme indiqué dans l'exemple suivant.
**Note**
Si cet objet est manquant, ajoutez-le avec les autorisations indiquées dans l'exemple. L'exemple utilise le rôle lié à un service.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess",
"arn:aws:iam::111122223333:user/keyuser"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Choisissez **Register location**, puis **Browse** pour sélectionner un chemin Amazon Simple Storage Service (Amazon S3).
1. (Facultatif, mais fortement recommandé) Choisissez **Vérifier les autorisations de localisation** pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
1. Pour le **rôle IAM**, choisissez soit le rôle `AWSServiceRoleForLakeFormationDataAccess` lié au service (par défaut), soit votre rôle personnalisé qui répond aux. [Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md)
1. Choisissez **Enregistrer l'emplacement**.
Pour de plus amples informations sur le rôle lié à un service, veuillez consulter [Autorisations de rôle liées à un service pour Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Pour enregistrer une position Amazon S3 chiffrée à l'aide d'un Clé gérée par AWS**
**Important**
Si l'emplacement Amazon S3 n'est pas enregistré dans le même AWS compte que le catalogue de données, suivez [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md) plutôt les instructions indiquées dans la section.
1. Créez un rôle IAM à utiliser pour enregistrer l'emplacement. Assurez-vous qu'il répond aux exigences répertoriées dans[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md).
1. Ajoutez la politique intégrée suivante au rôle. Il accorde des autorisations sur la clé du rôle. La `Resource` spécification doit indiquer le nom de ressource Amazon (ARN) du Clé gérée par AWS. Vous pouvez obtenir l'ARN depuis la AWS KMS console. Pour obtenir le bon ARN, assurez-vous de vous connecter à la AWS KMS console avec le même AWS compte et la même région Clé gérée par AWS que ceux utilisés pour chiffrer l'emplacement.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Vous pouvez utiliser des alias de clé KMS au lieu de l'ID de clé - `arn:aws:kms:region:account-id:key/alias/your-key-alias`
Pour plus d'informations, consultez la AWS KMS section [Alias](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html) du Guide du AWS Key Management Service développeur.
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Choisissez **Register location**, puis **Browse** pour sélectionner un chemin Amazon S3.
1. (Facultatif, mais fortement recommandé) Choisissez **Vérifier les autorisations de localisation** pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
1. Pour le **rôle IAM**, choisissez le rôle que vous avez créé à l'étape 1.
1. Choisissez **Enregistrer l'emplacement**.
# Enregistrement d'un emplacement Amazon S3 sur un autre AWS compte
AWS Lake Formation vous permet d'enregistrer des sites AWS Amazon Simple Storage Service (Amazon S3) sur plusieurs comptes. Par exemple, s'il AWS Glue Data Catalog se trouve dans le compte A, un utilisateur du compte A peut enregistrer un compartiment Amazon S3 dans le compte B.
L'enregistrement d'un compartiment Amazon S3 dans le AWS compte B à l'aide d'un rôle Gestion des identités et des accès AWS (IAM) dans le AWS compte A nécessite les autorisations suivantes :
+ Le rôle du compte A doit accorder des autorisations sur le compartiment du compte B.
+ La politique de compartiment du compte B doit accorder des autorisations d'accès au rôle dans le compte A.
**Important**
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les **demandeurs sont activés**. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Vous ne pouvez pas utiliser le rôle lié au service Lake Formation pour enregistrer une position sur un autre compte. Vous devez plutôt utiliser un rôle défini par l'utilisateur. Le rôle doit répondre aux exigences de[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md). Pour de plus amples informations sur le rôle lié à un service, veuillez consulter [Autorisations de rôle liées à un service pour Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Avant de commencer**
Passez en revue [les exigences relatives au rôle utilisé pour enregistrer l'emplacement](registration-role.md).
**Pour enregistrer une position dans un autre AWS compte**
**Note**
Si l'emplacement est crypté, suivez [Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes](register-cross-encrypted.md) plutôt les instructions indiquées.
La procédure suivante suppose qu'un mandant du compte 1111-2222-3333, qui contient le catalogue de données, souhaite enregistrer le compartiment Amazon S3, qui se trouve dans le compte `awsexamplebucket1` 1234-5678-9012.
1. Dans le compte 1111-2222-3333, connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Créez un nouveau rôle ou consultez un rôle existant qui répond aux exigences de[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md). Assurez-vous que le rôle accorde des autorisations à Amazon S3 sur`awsexamplebucket1`.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). Connectez-vous avec le compte 1234-5678-9012.
1. Dans la liste **Nom du compartiment**, choisissez le nom du compartiment,`awsexamplebucket1`.
1. Choisissez **Autorisations**.
1. Sur la page **Autorisations**, choisissez **Bucket Policy**.
1. Dans l'**éditeur de politique Bucket**, collez la politique suivante. Remplacez ** par le nom de votre rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::awsexamplebucket1"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::awsexamplebucket1/*"
}
]
}
```
------
1. Choisissez **Enregistrer**.
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous au compte 1111-2222-3333 en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant des autorisations suffisantes pour enregistrer des emplacements.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Sur la page des **emplacements des Data Lake**, choisissez **Enregistrer l'emplacement**.
1. Sur la **page Enregistrer l'emplacement**, pour le **chemin Amazon S3**, entrez le nom du compartiment`s3://awsexamplebucket1`.
**Note**
**Vous devez saisir le nom du bucket car les buckets multi-comptes n'apparaissent pas dans la liste lorsque vous choisissez Browse.**
1. Pour le **rôle IAM**, choisissez votre rôle.
1. Choisissez **Enregistrer l'emplacement**.
# Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes
AWS Lake Formation s'intègre à [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) pour vous permettre de configurer plus facilement d'autres services intégrés pour chiffrer et déchiffrer les données sur les sites Amazon Simple Storage Service (Amazon S3).
Les deux clés sont gérées par le client et Clés gérées par AWS sont prises en charge. Le côté client n' encryption/decryption est pas pris en charge.
**Important**
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les **demandeurs sont activés**. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Cette section explique comment enregistrer un emplacement Amazon S3 dans les circonstances suivantes :
+ Les données de l'emplacement Amazon S3 sont chiffrées à l'aide d'une clé KMS créée dans AWS KMS.
+ L'emplacement Amazon S3 n'est pas enregistré dans le même AWS compte que le AWS Glue Data Catalog.
+ La clé KMS se trouve ou non dans le même AWS compte que le catalogue de données.
L'enregistrement d' AWS KMS un compartiment Amazon S3 chiffré dans le AWS compte B à l'aide d'un rôle Gestion des identités et des accès AWS (IAM) dans le AWS compte A nécessite les autorisations suivantes :
+ Le rôle du compte A doit accorder des autorisations sur le compartiment du compte B.
+ La politique de compartiment du compte B doit accorder des autorisations d'accès au rôle dans le compte A.
+ Si la clé KMS se trouve dans le compte B, la politique clé doit accorder l'accès au rôle dans le compte A, et le rôle dans le compte A doit accorder des autorisations sur la clé KMS.
Dans la procédure suivante, vous allez créer un rôle dans le AWS compte qui contient le catalogue de données (compte A dans la discussion précédente). Vous utilisez ensuite ce rôle pour enregistrer l'emplacement. Lake Formation assume ce rôle lors de l'accès aux données sous-jacentes dans Amazon S3. Le rôle assumé dispose des autorisations requises sur la clé KMS. Par conséquent, vous n'avez pas à accorder d'autorisations sur la clé KMS aux principaux accédant aux données sous-jacentes via des tâches ETL ou des services intégrés tels que Amazon Athena.
**Important**
Vous ne pouvez pas utiliser le rôle lié au service Lake Formation pour enregistrer une position sur un autre compte. Vous devez plutôt utiliser un rôle défini par l'utilisateur. Le rôle doit répondre aux exigences de[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md). Pour de plus amples informations sur le rôle lié à un service, veuillez consulter [Autorisations de rôle liées à un service pour Lake Formation](service-linked-roles.md#service-linked-role-permissions).
**Avant de commencer**
Passez en revue [les exigences relatives au rôle utilisé pour enregistrer l'emplacement](registration-role.md).
**Pour enregistrer une position Amazon S3 chiffrée sur plusieurs AWS comptes**
1. Dans le même AWS compte que le catalogue de données, connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) l'adresse.
1. Créez un nouveau rôle ou consultez un rôle existant qui répond aux exigences de[Exigences relatives aux rôles utilisés pour enregistrer des sites](registration-role.md). Assurez-vous que le rôle inclut une politique qui accorde des autorisations à Amazon S3 sur le site.
1. Si la clé KMS ne se trouve pas dans le même compte que le catalogue de données, ajoutez au rôle une politique intégrée qui accorde les autorisations requises sur la clé KMS. Voici un exemple de politique . Remplacez la région et l'ID de compte par la région et le numéro de compte de la clé KMS. Remplacez ** par l'identifiant de la clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/"
}
]
}
```
------
1. Sur la console Amazon S3, ajoutez une politique de compartiment accordant les autorisations Amazon S3 requises au rôle. Voici un exemple de stratégie de compartiment. Remplacez l'ID de AWS compte par le numéro de compte du catalogue de données, ** par le nom de votre rôle et ** par le nom du bucket.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action":"s3:ListBucket",
"Resource":"arn:aws:s3:::"
},
{
"Effect":"Allow",
"Principal": {
"AWS":"arn:aws:iam::111122223333:role/"
},
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObject"
],
"Resource":"arn:aws:s3:::/*"
}
]
}
```
------
1. Dans AWS KMS, ajoutez le rôle en tant qu'utilisateur de la clé KMS.
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms) Connectez-vous ensuite en tant qu'administrateur ou en tant qu'utilisateur pouvant modifier la politique de clé de la clé KMS utilisée pour chiffrer l'emplacement.
1. Dans le volet de navigation, choisissez **Customer managed keys**, puis choisissez le nom de la clé KMS.
1. Sur la page des détails de la clé KMS, sous l'onglet Stratégie **clé**, si la vue JSON de la politique clé ne s'affiche pas, choisissez **Basculer vers la vue politique**.
1. Dans la section **Politique clé**, choisissez **Modifier** et ajoutez le nom de ressource Amazon (ARN) du rôle à l'`Allow use of the key`objet, comme indiqué dans l'exemple suivant.
**Note**
Si cet objet est manquant, ajoutez-le avec les autorisations indiquées dans l'exemple.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::role/"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
Pour plus d'informations, voir [Autoriser les utilisateurs d'autres comptes à utiliser une clé KMS](https://docs.amazonaws.cn/en_us/kms/latest/developerguide/key-policy-modifying-external-accounts.html) dans le *Guide du AWS Key Management Service développeur*.
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous au AWS compte Data Catalog en tant qu'administrateur du lac de données.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Choisissez **Enregistrer l'emplacement**.
1. Sur la **page Enregistrer l'emplacement**, pour le **chemin Amazon S3**, entrez le chemin de localisation sous la forme**s3://**/****. **Remplacez-le par le nom du compartiment et ** par le reste du chemin correspondant à l'emplacement.
**Note**
**Vous devez saisir le chemin car les compartiments multicomptes n'apparaissent pas dans la liste lorsque vous choisissez Parcourir.**
1. Pour le **rôle IAM**, choisissez le rôle à l'étape 2.
1. Choisissez **Enregistrer l'emplacement**.
# Annulation de l'enregistrement d'un site Amazon S3
Vous pouvez annuler l'enregistrement d'un site Amazon Simple Storage Service (Amazon S3) si vous ne souhaitez plus qu'il soit géré par Lake Formation. L'annulation de l'enregistrement d'un emplacement n'affecte pas les autorisations de localisation des données de Lake Formation accordées pour cet emplacement. Vous pouvez réenregistrer un emplacement que vous avez désenregistré, et les autorisations de localisation des données restent en vigueur. Vous pouvez utiliser un autre rôle pour réenregistrer l'emplacement.
**Pour désenregistrer une position (console)**
1. Ouvrez la AWS Lake Formation console à l'adresse [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/). Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur disposant de l'autorisation `lakeformation:RegisterResource` IAM.
1. Dans le volet de navigation, sous **Administration**, sélectionnez **Data lake locations**.
1. Sélectionnez un emplacement, puis dans le menu **Actions**, choisissez **Supprimer**.
1. Lorsque vous êtes invité à confirmer, choisissez **Supprimer**.