Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Qu'est-ce que c'est AWS Lake Formation ?
Bienvenue dans le guide du AWS Lake Formation développeur.
AWS Lake Formation vous permet de gérer, de sécuriser et de partager les données de manière centralisée à l'échelle mondiale à des fins d'analyse et d'apprentissage automatique. Avec Lake Formation, vous pouvez gérer un contrôle d'accès précis pour les données de vos lacs de données sur Amazon Simple Storage Service (Amazon S3) et ses métadonnées dans. AWS Glue Data Catalog
Lake Formation fournit son propre modèle d'autorisations qui complète le modèle d'autorisations IAM. Le modèle d'autorisations de Lake Formation permet un accès précis aux données stockées dans des lacs de données ainsi qu'à des sources de données externes telles que les entrepôts de données Amazon Redshift Amazon DynamoDB , les bases de données et les sources de données tierces par le biais d'un simple mécanisme d'autorisation ou de révocation, un peu comme un système de gestion de base de données relationnelle (RDBMS). Les autorisations de Lake Formation sont appliquées à l'aide de contrôles granulaires au niveau des colonnes, des lignes et des cellules dans les services d' AWS analyse et d'apprentissage automatique, notamment Amazon Athena, Amazon Redshift Spectrum, Amazon Quick Amazon EMR et. AWS Glue
Avec le mode d'accès hybride de Lake Formation pour AWS Glue Data Catalog (Data Catalog), vous pouvez sécuriser et accéder aux données cataloguées en utilisant à la fois les autorisations Lake Formation et les politiques d'autorisations IAM pour Amazon S3 et AWS Glue les actions. Grâce au mode d'accès hybride, les administrateurs de données peuvent intégrer les autorisations de Lake Formation de manière sélective et progressive, en se concentrant sur un cas d'utilisation de lac de données à la fois.
Lake Formation vous permet également de partager des données en interne et en externe entre plusieurs AWS organisations ou directement avec les responsables d'IAM sur un autre compte Comptes AWS, offrant ainsi un accès détaillé aux métadonnées du catalogue de données et aux données sous-jacentes.
**Topics**
+ [Caractéristiques de Lake Formation](#lake-formation-features)
+ [AWS Lake Formation : comment ça marche](how-it-works.md)
+ [Composantes de la Lake Formation](how-it-works-components.md)
+ [Terminologie des Lake Formation](how-it-works-terminology.md)
+ [AWS intégrations de services avec Lake Formation](service-integrations.md)
+ [Ressources supplémentaires sur la Formation du Lac](additional-resources.md)
+ [Débuter avec Lake Formation](#what-is-lake-formation-start)
## Caractéristiques de Lake Formation
Lake Formation vous aide à décloisonner les données et à combiner différents types de données structurées et non structurées dans un référentiel centralisé. Tout d'abord, identifiez les banques de données existantes dans Amazon S3 ou dans les bases de données relationnelles et NoSQL, puis déplacez les données vers votre lac de données. Ensuite, analysez, cataloguez et préparez les données à des fins d'analyse. Ensuite, offrez à vos utilisateurs un accès sécurisé en libre-service aux données grâce aux services d'analyse de leur choix.
Vous pouvez utiliser la console Lake Formation pour créer des catalogues fédérés à plusieurs niveaux dans le catalogue de données et unifier les données entre les lacs de données Amazon S3 et les entrepôts de données Amazon Redshift. Vous pouvez également intégrer des données provenant de vos bases de données opérationnelles telles que Amazon DynamoDB, et de sources de données tierces telles que Google BigQuery, MySQL, entre autres. Le catalogue de données fournit un référentiel de métadonnées centralisé qui facilite la gestion et la découverte de données sur des systèmes disparates.
Pour de plus amples informations, veuillez consulter [Intégrer vos données dans AWS Glue Data Catalog](bring-your-data-overview.md).
**Topics**
+ [Ingestion et gestion des données](#features-general)
+ [Gestion de la sécurité](#Security-management)
+ [Intégration de vos données dans le catalogue de données](#data-sharing)
### Ingestion et gestion des données
**Importer des données à partir de bases de données déjà présentes AWS**
Une fois que vous avez indiqué où se trouvent vos bases de données existantes et que vous avez fourni vos identifiants d'accès, Lake Formation lit les données et leurs métadonnées (schéma) pour comprendre le contenu de la source de données. Il importe ensuite les données dans votre nouveau lac de données et enregistre les métadonnées dans un catalogue central. Avec Lake Formation, vous pouvez importer des données depuis des bases de données MySQL, PostgreSQL, SQL Server, MariaDB et Oracle exécutées sur Amazon RDS ou hébergées sur Amazon EC2. Le chargement de données en masse et incrémentiel est pris en charge.
**Importer des données depuis d'autres sources externes**
Vous pouvez utiliser Lake Formation pour déplacer des données depuis des bases de données locales en vous connectant à Java Database Connectivity (JDBC). Identifiez vos sources cibles et fournissez des informations d'accès dans la console. Lake Formation lit et charge vos données dans le lac de données. Pour importer des données à partir de bases de données autres que celles répertoriées ci-dessus, vous pouvez créer des tâches ETL personnalisées avec AWS Glue.
**Cataloguez et étiquetez vos données**
Vous pouvez utiliser des AWS Glue robots d'exploration pour lire vos données dans Amazon S3, extraire le schéma de base de données et de table et stocker ces données dans un catalogue de données consultable. Utilisez ensuite Lake Formation [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md) (TBAC) pour gérer les autorisations sur les bases de données, les tables et les colonnes. Pour plus d'informations sur l'ajout de tables au catalogue de données, consultez[Création d'objets dans AWS Glue Data Catalog](populating-catalog.md).
### Gestion de la sécurité
**Définissez et gérez les contrôles d'accès**
Lake Formation fournit un endroit unique pour gérer les contrôles d'accès aux données de votre lac de données. Vous pouvez définir des politiques de sécurité qui limitent l'accès aux données au niveau de la base de données, de la table, de la colonne, de la ligne et de la cellule. Ces politiques s'appliquent aux utilisateurs et aux rôles IAM, ainsi qu'aux utilisateurs et aux groupes lors de la fédération via un fournisseur d'identité externe. Vous pouvez utiliser des contrôles précis pour accéder aux données sécurisées par Lake Formation dans Amazon Redshift Spectrum, Athena, ETL et Amazon EMR pour AWS Glue Apache Spark. Chaque fois que vous créez des identités IAM, veillez à suivre les meilleures pratiques IAM. Pour plus d'informations, consultez [la section Bonnes pratiques en matière de sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le guide de l'utilisateur IAM.
**Mode d'accès hybride**
Le mode d'accès hybride Lake Formation offre la flexibilité nécessaire pour activer de manière sélective les autorisations Lake Formation pour les bases de données et les tables de votre catalogue de données. Avec le mode d'accès hybride, vous disposez désormais d'un chemin incrémentiel qui vous permet de définir les autorisations de Lake Formation pour un ensemble spécifique d'utilisateurs sans interrompre les politiques d'autorisation des autres utilisateurs ou charges de travail existants. Pour de plus amples informations, veuillez consulter [Mode d'accès hybride](hybrid-access-mode.md).
**Mettre en œuvre l'enregistrement des audits**
Lake Formation fournit des journaux d'audit complets CloudTrail pour surveiller l'accès et démontrer la conformité aux politiques définies de manière centralisée. Vous pouvez auditer l'historique des accès aux données par le biais de services d'analyse et d'apprentissage automatique qui lisent les données de votre lac de données via Lake Formation. Cela vous permet de voir quels utilisateurs ou quels rôles ont tenté d'accéder à quelles données, avec quels services et à quel moment. Vous pouvez accéder aux journaux d'audit de la même manière que vous accédez à tous CloudTrail les autres journaux à l'aide de la console CloudTrail APIs and. Pour plus d'informations sur les CloudTrail journaux, consultez[Enregistrement des appels d'API AWS Lake Formation à l'aide de AWS CloudTrail](logging-using-cloudtrail.md).
**Sécurité au niveau des lignes et des cellules**
Lake Formation fournit des filtres de données qui vous permettent de restreindre l'accès à une combinaison de colonnes et de lignes. Utilisez la sécurité au niveau des lignes et des cellules pour protéger les données sensibles telles que les informations personnelles identifiables (PII). Pour plus d'informations sur la sécurité au niveau des lignes, consultez. [Filtrage des données et sécurité au niveau des cellules dans Lake Formation](data-filtering.md)
**Contrôle d’accès basé sur les étiquettes**
Utilisez le [contrôle d'accès basé sur les attributs](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) de Lake Formation pour gérer des centaines, voire des milliers d'autorisations de données en créant des étiquettes personnalisées appelées balises LF. Vous pouvez désormais définir des balises LF et les associer à des bases de données, à des tables ou à des colonnes. Partagez ensuite l'accès contrôlé entre les services d'analyse, d'apprentissage automatique (ML) et d'extraction, de transformation et de chargement (ETL) à des fins de consommation. Les balises LF permettent d'étendre facilement la gouvernance des données en remplaçant les définitions de politique de milliers de ressources par quelques balises logiques. Lake Formation propose une recherche textuelle sur ces métadonnées, afin que vos utilisateurs puissent trouver rapidement les données à analyser.
**Contrôle d'accès basé sur les attributs**
Utilisez le [contrôle d'accès basé sur les attributs](https://docs.aws.amazon.com/lake-formation/latest/dg/attribute-based-access-control.html) pour accorder l'accès aux objets du catalogue de données. Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS appelle ces balises d'attributs. Vous pouvez utiliser ABAC pour accorder l'accès aux principaux au sein du même compte ou d'un autre compte sur les ressources du catalogue de données. Tout principal IAM dont les clés et les valeurs de balise IAM ou de balise de session correspondent accède à la ressource. Vous devez disposer d'autorisations pouvant être accordées sur les ressources pour octroyer ces subventions.
**Accès entre comptes**
Les fonctionnalités de gestion des autorisations de Lake Formation simplifient la sécurisation et la gestion des lacs de données distribués sur plusieurs AWS comptes grâce à une approche centralisée, fournissant un contrôle d'accès précis au catalogue de données et aux sites Amazon S3. Pour de plus amples informations, veuillez consulter [Partage de données entre comptes dans Lake Formation](cross-account-permissions.md).
### Intégration de vos données dans le catalogue de données
La fonctionnalité de fédération vous permet de créer des catalogues fédérés et de configurer des autorisations sur les ensembles de données stockés dans différentes sources de données telles qu'Amazon Redshift sans migrer les données ou les métadonnées vers Amazon S3 ou. AWS Glue Data Catalog Vous pouvez utiliser les méthodes suivantes pour importer des données et gérer les autorisations sur des ensembles de données externes dans Lake Formation :
Pour plus d'informations, consultez la [section Transférer vos données dans le AWS Glue Data Catalog](https://docs.aws.amazon.com/lake-formation/latest/dg/bring-your-data-overview.html).
+ **Intégrer les données des entrepôts de données Amazon Redshift dans le AWS Glue Data Catalog** — Enregistrez un espace de noms [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) existant ou un cluster dans le catalogue de données, et créez un catalogue fédéré à plusieurs niveaux dans le catalogue de données.
Vous pouvez accéder à vos données à l'aide de n'importe quel moteur de requête compatible avec les spécifications OpenAPI du catalogue REST Apache Iceberg, tel qu'Amazon EMR Serverless et Amazon Athena.
Pour de plus amples informations, veuillez consulter [Intégrer les données Amazon Redshift dans AWS Glue Data Catalog](managing-namespaces-datacatalog.md).
+ **Fédération dans le catalogue de données à partir de sources de données externes** : connectez le catalogue de données à des sources de données externes à l'aide de AWS Glue connexions, et créez des catalogues fédérés pour gérer de manière centralisée les autorisations d'accès aux ensembles de données à l'aide de Lake Formation. Aucune migration de métadonnées dans le catalogue de données n'est nécessaire.
Pour de plus amples informations, veuillez consulter [Fédération en sources de données externes dans le AWS Glue Data Catalog](federated-catalog-data-connection.md).
+ **Intégration des compartiments de tables Amazon S3 au catalogue de données** : vous pouvez publier et cataloguer les tables Amazon S3 sous forme d'objets du catalogue de données et enregistrer le catalogue en tant que localisation des données de Lake Formation depuis la console Lake Formation ou en utilisant AWS Glue APIs.
Pour de plus amples informations, veuillez consulter [Intégration d'Amazon S3 Tables avec AWS Glue Data Catalog et AWS Lake Formation](create-s3-tables-catalog.md).
+ **Créez des catalogues pour gérer les tables Amazon Redshift dans le catalogue de données** : vous ne disposez peut-être pas d'un cluster de producteurs Amazon Redshift ou d'un partage de données Amazon Redshift actuellement, mais vous souhaitez créer et gérer des tables Amazon Redshift à l'aide de Data Catalog. Vous pouvez commencer par créer un catalogue AWS Glue géré à l'aide de l'`glue:CreateCatalog`API ou de la AWS Lake Formation console en définissant le type de catalogue `Catalog source` comme **Redshift**. `Managed`
Pour de plus amples informations, veuillez consulter [Création d'un catalogue géré par Amazon Redshift dans AWS Glue Data Catalog](create-rms-catalog.md).
+ **Intégration de Lake Formation au partage de données Amazon Redshift** : utilisez Lake Formation pour gérer de manière centralisée les autorisations d'accès aux bases de données, aux tables, aux colonnes et aux lignes des partages de données Amazon Redshift et pour restreindre l'accès des [utilisateurs](https://docs.aws.amazon.com/redshift/index.html) aux objets d'un partage de données.
+ **Connexion du catalogue de données à des métastores externes :** connectez-vous AWS Glue Data Catalog à des métastores externes pour gérer les autorisations d'accès aux ensembles de données dans Amazon S3 à l'aide de Lake Formation. Aucune migration de métadonnées dans le catalogue de données n'est nécessaire.
Pour de plus amples informations, veuillez consulter [Gestion des autorisations sur les ensembles de données qui utilisent des métastores externes](data-sharing-hms.md).
+ **Intégrer Lake Formation à AWS Data Exchange** — Lake Formation prend en charge l'octroi de licences d'accès à vos données via AWS Data Exchange. Si vous souhaitez obtenir une licence pour vos données de Lake Formation, [consultez AWS Data Exchange le](https://docs.aws.amazon.com/data-exchange/latest/userguide/what-is.html) *guide de l'AWS Data Exchange utilisateur*.
# AWS Lake Formation : comment ça marche
AWS Lake Formation fournit un modèle d'autorisations du système de gestion de base de données relationnelle (RDBMS) pour accorder ou révoquer l'accès aux ressources du catalogue de données telles que les bases de données, les tables et les colonnes contenant des données sous-jacentes dans Amazon S3. Les autorisations Lake Formation, faciles à gérer, remplacent les politiques complexes relatives aux compartiments Amazon S3 et les politiques IAM correspondantes.
Dans Lake Formation, vous pouvez implémenter des autorisations à deux niveaux :
+ Application des autorisations au niveau des métadonnées sur les ressources du catalogue de données, telles que les bases de données et les tables
+ Gestion des autorisations d'accès au stockage sur les données sous-jacentes stockées dans Amazon S3 pour le compte de moteurs intégrés
## Flux de travail de gestion des autorisations de Lake Formation
Lake Formation s'intègre aux moteurs d'analyse pour interroger les magasins de données Amazon S3 et les objets de métadonnées enregistrés auprès de Lake Formation. Le schéma suivant illustre le fonctionnement de la gestion des autorisations dans Lake Formation.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/lf-workflow.png)
**Étapes de haut niveau de la gestion des autorisations de Lake Formation**
Avant que Lake Formation ne puisse fournir des contrôles d'accès aux données de votre lac de données, un [*administrateur de lac de données*](initial-lf-config.md#create-data-lake-admin) ou un utilisateur disposant d'autorisations administratives définit des politiques utilisateur individuelles pour les tables du catalogue de données afin d'autoriser ou de refuser l'accès aux tables du catalogue de données à l'aide des autorisations de Lake Formation.
Ensuite, l'administrateur du lac de données ou un utilisateur délégué par l'administrateur accorde des autorisations Lake Formation aux utilisateurs sur les bases de données et les tables du catalogue de données, et enregistre l'emplacement de la table sur Amazon S3 auprès de Lake Formation.
1. **Obtenir des métadonnées** — Un principal (utilisateur) envoie une requête ou un script ETL à un [moteur d'analyse intégré](working-with-services.md) tel qu'Amazon Athena, AWS Glue Amazon EMR ou Amazon Redshift Spectrum. Le moteur d'analyse intégré identifie la table demandée et envoie une demande de métadonnées au catalogue de données.
1. **Vérifier les autorisations** — Le catalogue de données vérifie les autorisations de l'utilisateur auprès de Lake Formation, et si l'utilisateur est autorisé à accéder à la table, renvoie les métadonnées qu'il est autorisé à voir au moteur.
1. **Obtenir des informations d'identification** — Le catalogue de données indique au moteur si la table est gérée par Lake Formation ou non. Si les données sous-jacentes sont enregistrées auprès de Lake Formation, le moteur d'analyse demande à Lake Formation de fournir un accès temporaire aux données.
1. **Obtenir des données** — Si l'utilisateur est autorisé à accéder à la table, Lake Formation fournit un accès temporaire au moteur d'analyse intégré. À l'aide de l'accès temporaire, le moteur d'analyse extrait les données d'Amazon S3 et effectue le filtrage nécessaire, tel que le filtrage par colonne, ligne ou cellule. Lorsque le moteur a terminé d'exécuter la tâche, il renvoie les résultats à l'utilisateur. Ce processus s'appelle la vente [d'informations d'identification.](using-cred-vending.md)
Si la table n'est pas gérée par Lake Formation, le deuxième appel du moteur d'analyse est directement envoyé à Amazon S3. La politique de compartiment Amazon S3 et la politique utilisateur IAM concernées sont évaluées pour l'accès aux données.
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) du *Guide de l'utilisateur IAM*.
**Topics**
+ [Flux de travail de gestion des autorisations de Lake Formation](#lf-workflow)
+ [Autorisations relatives aux métadonnées](metadata-permissions.md)
+ [Gestion de l'accès au stockage](storage-permissions.md)
+ [Partage de données entre comptes dans Lake Formation](cross-data-sharing-lf.md)
# Autorisations relatives aux métadonnées
Lake Formation fournit l'autorisation et le contrôle d'accès au catalogue de données. Lorsqu'un rôle IAM appelle l'API du catalogue de données depuis n'importe quel système, le catalogue de données vérifie les autorisations de données de l'utilisateur et renvoie uniquement les métadonnées auxquelles l'utilisateur est autorisé à accéder. Par exemple, si un rôle IAM n'a accès qu'à une seule table dans une base de données et qu'un service ou un utilisateur assumant le rôle effectue l'`GetTables`opération, la réponse ne contiendra qu'une seule table, quel que soit le nombre de tables de la base de données.
**Paramètres par défaut - autorisations `IAMAllowedPrincipal` de groupe**
AWS Lake Formation, par défaut, attribue des autorisations à toutes les bases de données et tables à un groupe virtuel nommé`IAMAllowedPrincipal`. Ce groupe est unique et visible uniquement au sein de Lake Formation. Le `IAMAllowedPrincipal` groupe inclut tous les principaux IAM qui ont accès aux ressources du catalogue de données via les politiques principales IAM et AWS Glue les politiques de ressources. Si cette autorisation existe sur une base de données ou une table, tous les principaux auront accès à la base de données ou à la table.
Si vous souhaitez fournir des autorisations plus détaillées sur une base de données ou une table, supprimez `IAMAllowedPrincipal` l'autorisation et Lake Formation appliquera toutes les autres politiques associées à cette base de données ou table. Par exemple, s'il existe une politique qui permet à l'utilisateur A d'accéder à la base de données A avec `DESCRIBE` des autorisations, et `IAMAllowedPrincipal` qu'elle existe avec toutes les autorisations, l'utilisateur A continuera à effectuer toutes les autres actions jusqu'à ce que l'`IAMAllowedPrincipal`autorisation soit révoquée.
En outre, par défaut, le `IAMAllowedPrincipal` groupe dispose d'autorisations sur toutes les nouvelles bases de données et tables lors de leur création. Deux configurations contrôlent ce comportement. Le premier est au niveau du compte et de la région, ce qui permet cela pour les bases de données nouvellement créées, et le second au niveau de la base de données. Pour modifier le paramètre par défaut, voir[Modifier le modèle d'autorisation par défaut ou utiliser le mode d'accès hybride](initial-lf-config.md#setup-change-cat-settings).
## Octroi d’autorisations
Les administrateurs des lacs de données peuvent accorder des autorisations de catalogue de données aux principaux afin que ceux-ci puissent créer et gérer des bases de données et des tables, et accéder aux données sous-jacentes.
**Autorisations au niveau de la base de données et de la table**
Lorsque vous accordez des autorisations au sein de Lake Formation, le concédant doit spécifier le principal auquel les autorisations doivent être accordées, les ressources pour lesquelles les autorisations doivent être accordées et les actions que le bénéficiaire doit avoir accès pour effectuer. Pour la plupart des ressources de Lake Formation, la liste principale et les ressources auxquelles accorder des autorisations sont similaires, mais les actions qu'un bénéficiaire peut effectuer varient en fonction du type de ressource. Par exemple, `SELECT` des autorisations sont disponibles pour les tables pour lire les tables, mais `SELECT` pas pour les bases de données. L'`CREATE_TABLE`autorisation est autorisée sur les bases de données, mais pas sur les tables.
Vous pouvez accorder AWS Lake Formation des autorisations de deux manières :
+ [Méthode de ressource nommée](granting-cat-perms-named-resource.md) : vous permet de choisir les noms de base de données et de tables tout en accordant des autorisations aux utilisateurs.
+ [Contrôle d'accès basé sur les balises LF (LF-TBAC)](granting-catalog-perms-TBAC.md) : les utilisateurs créent des balises LF, les associent aux ressources du catalogue de données, accordent des autorisations sur les balises LF, associent des autorisations à des utilisateurs individuels et rédigent des politiques d'`Describe`autorisation LF à l'aide de balises LF destinées à différents utilisateurs. Ces LF-Tag-based politiques s'appliquent à toutes les ressources du catalogue de données associées à ces valeurs LF-Tag.
**Note**
Les balises LF sont propres à Lake Formation. Ils ne sont visibles que dans Lake Formation et ne doivent pas être confondus avec les balises de AWS ressources.
Le LF-TBAC est une fonctionnalité qui permet aux utilisateurs de regrouper les ressources dans des catégories définies par l'utilisateur de balises LF et d'appliquer des autorisations à ces groupes de ressources. C'est donc le meilleur moyen d'étendre les autorisations à un grand nombre de ressources du catalogue de données.
Pour de plus amples informations, veuillez consulter [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).
Lorsque vous accordez des autorisations à un directeur, Lake Formation évalue les autorisations comme une union de toutes les politiques relatives à cet utilisateur. Par exemple, si vous avez deux politiques sur une table pour un principal où l'une accorde des autorisations aux colonnes col1, col2 et col3 par le biais d'une méthode de ressource nommée, et l'autre politique accorde des autorisations à la même table et au même principal à col5, et col6 via des balises LF, les autorisations effectives seront une union des autorisations qui seraient col1, col2, col3, col5 et col6. Cela inclut également les filtres de données et les lignes.
**Autorisations de localisation des données**
Les autorisations de localisation des données permettent aux utilisateurs non administrateurs de créer des bases de données et des tables sur des sites Amazon S3 spécifiques. Si un utilisateur tente de créer une base de données ou une table dans un emplacement qu'il n'est pas autorisé à créer, la tâche de création échoue. Cela permet d'empêcher les utilisateurs de créer des tables à des emplacements arbitraires dans le lac de données et de contrôler les endroits où ces utilisateurs peuvent lire et écrire des données. Il existe une autorisation implicite lors de la création de tables dans l'emplacement Amazon S3 au sein de la base de données dans laquelle elles sont créées. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations de localisation des données](granting-location-permissions.md).
**Créer des autorisations de table et de base de données**
Par défaut, les utilisateurs non administrateurs ne sont pas autorisés à créer des bases de données ou des tables au sein d'une base de données. La création de bases de données est contrôlée au niveau du compte à l'aide des paramètres de Lake Formation afin que seuls les principaux autorisés puissent créer des bases de données. Pour de plus amples informations, veuillez consulter [Création d’une base de données](creating-database.md). Pour créer une table, le principal a besoin d'une `CREATE_TABLE` autorisation sur la base de données dans laquelle la table est créée. Pour de plus amples informations, veuillez consulter [Création de tablesAWS Glue Data Catalog Vues du bâtiment](creating-tables.md).
**Autorisations implicites et explicites**
Lake Formation fournit des autorisations implicites en fonction du personnage et des actions qu'il effectue. Par exemple, les administrateurs des lacs de données obtiennent automatiquement `DESCRIBE` des autorisations pour toutes les ressources du catalogue de données, des autorisations de localisation des données pour tous les emplacements, des autorisations pour créer des bases de données et des tables dans tous les emplacements, ainsi que `Grant` `Revoke` des autorisations sur n'importe quelle ressource. Les créateurs de bases de données obtiennent automatiquement toutes les autorisations de base de données sur les bases de données qu'ils créent, et les créateurs de tables obtiennent toutes les autorisations sur les tables qu'ils créent. Pour de plus amples informations, veuillez consulter [Permissions implicites de Lake Formation](implicit-permissions.md).
**Autorisations pouvant être accordées**
Les administrateurs de data lake ont la possibilité de déléguer la gestion des autorisations à des utilisateurs non administratifs en fournissant des autorisations pouvant être accordées. Lorsqu'un principal reçoit des autorisations pouvant être accordées sur une ressource et un ensemble d'autorisations, ce principal peut accorder des autorisations à d'autres principaux sur cette ressource.
# Gestion de l'accès au stockage
Lake Formation utilise la fonctionnalité de distribution [automatique d'informations d'identification](using-cred-vending.md) pour fournir un accès temporaire aux données Amazon S3. La vente d'informations d'identification, ou de jetons, est un modèle courant qui fournit des informations d'identification temporaires aux utilisateurs, aux services ou à une autre entité dans le but d'accorder un accès à court terme à une ressource.
Lake Formation s'appuie sur ce modèle pour fournir un accès à court terme à des services AWS d'analyse tels qu'Athena afin d'accéder aux données pour le compte du principal appelant. Lorsqu'ils accordent des autorisations, les utilisateurs n'ont pas besoin de mettre à jour leurs politiques de compartiment Amazon S3 ou leurs politiques IAM, et ils n'ont pas besoin d'un accès direct à Amazon S3.
Le schéma suivant montre comment Lake Formation fournit un accès temporaire aux sites enregistrés :
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. Un principal (utilisateur) saisit une requête ou une demande de données pour une table par le biais d'un service intégré fiable tel qu'Athena, Amazon EMR, Redshift Spectrum ou. AWS Glue
1. Le service intégré vérifie l'autorisation de Lake Formation pour le tableau et les colonnes demandées et prend une décision d'autorisation. Si l'utilisateur n'est pas autorisé, Lake Formation refuse l'accès aux données et la requête échoue.
1. Une fois l'autorisation réussie et l'autorisation de stockage activée pour la table et l'utilisateur, le service intégré récupère les informations d'identification temporaires de Lake Formation pour accéder aux données.
1. Le service intégré utilise les informations d'identification temporaires de Lake Formation pour demander des objets à Amazon S3.
1. Amazon S3 fournit les objets Amazon S3 au service intégré. Les objets Amazon S3 contiennent toutes les données de la table.
1. Le service intégré assure l'application nécessaire des politiques relatives à la Formation des Lacs, telles que le filtrage au niveau des colonnes, au niveau des lignes et/ou au niveau des cellules. Le service intégré traite les requêtes et renvoie les résultats à l'utilisateur.
**Activer l'application des autorisations au niveau du stockage pour les tables du catalogue de données**
Par défaut, l'application au niveau du stockage n'est pas activée pour les tables du catalogue de données. Pour permettre l'application au niveau du stockage, vous devez enregistrer l'emplacement Amazon S3 de vos données sources auprès de Lake Formation et fournir un rôle IAM. Les autorisations au niveau du stockage seront activées pour toutes les tables ayant le même chemin d'emplacement de table ou le même préfixe que l'emplacement Amazon S3.
Lorsqu'un service intégré demande l'accès à l'emplacement des données pour le compte d'un utilisateur, le service Lake Formation assume ce rôle et renvoie les informations d'identification au service demandé avec des autorisations limitées sur la ressource afin que l'accès aux données puisse être effectué. Le rôle IAM enregistré doit disposer de tous les accès requis à l'emplacement Amazon S3, y compris AWS KMS les clés.
Pour de plus amples informations, veuillez consulter [Enregistrement d'un emplacement Amazon S3](register-location.md).
**AWS Services pris en charge**
AWS des services analytiques tels qu'Athena, Redshift Spectrum, Amazon AWS Glue EMR Amazon Quick et Amazon SageMaker AI s'intègrent à AWS Lake Formation à l'aide des opérations de l'API de vente automatique d'informations d'identification de Lake Formation. Pour consulter la liste complète des AWS services intégrés à Lake Formation, ainsi que le niveau de granularité et les formats de table qu'ils prennent en charge, voir[Collaboration avec d'autres AWS services](working-with-services.md).
# Partage de données entre comptes dans Lake Formation
Avec Lake Formation, vous pouvez partager les ressources du catalogue de données (bases de données et tables) au sein d'un AWS compte et entre les comptes dans une configuration simple à l'aide de la méthode des ressources nommées ou des balises LF. Vous pouvez partager une base de données complète ou sélectionner des tables d'une base de données avec tous les principaux IAM (rôles et utilisateurs IAM) d'un compte, vers d'autres AWS comptes au niveau du compte ou directement avec les principaux IAM d'un autre compte.
Vous pouvez également partager les tables du catalogue de données avec des filtres de données afin de restreindre l'accès aux détails au niveau des lignes et des cellules. Lake Formation utilise AWS Resource Access Manager (AWS RAM) pour faciliter l'octroi d'autorisations entre comptes. Lorsqu'une ressource est partagée entre deux comptes, AWS RAM envoie des invitations au compte du destinataire. Lorsqu'un utilisateur accepte une invitation de AWS RAM partage, AWS RAM fournit les autorisations nécessaires à Lake Formation pour que les ressources du catalogue de données soient disponibles et pour activer l'application des niveaux de stockage. Pour de plus amples informations, veuillez consulter [Partage de données entre comptes dans Lake Formation](cross-account-permissions.md).
Lorsque l'administrateur du lac de données du compte destinataire accepte le AWS RAM partage, les ressources partagées sont disponibles dans le compte du destinataire. L'administrateur du lac de données accorde d'autres autorisations Lake Formation sur la ressource partagée aux principaux IAM supplémentaires du compte destinataire, s'il dispose d'`GRANTABLE`autorisations sur la ressource partagée.
Cependant, les principaux ne peuvent pas interroger les ressources partagées à l'aide d'Athena ou de Redshift Spectrum sans lien de ressource. Un lien de ressource est une entité du catalogue de données similaire à un concept Linux-Symlink.
L'administrateur du lac de données du compte destinataire crée un lien de ressource sur la ressource partagée. L'administrateur accorde des `Describe` autorisations sur le lien de ressource avec les autorisations requises sur la ressource partagée d'origine à d'autres utilisateurs. Un utilisateur du compte destinataire peut ensuite utiliser le lien de ressource pour interroger la ressource partagée à l'aide d'Athena et Redshift Spectrum. Pour plus d'informations sur les liens vers des ressources, consultez[Création de liens vers des ressources](creating-resource-links.md).
# Composantes de la Lake Formation
AWS Lake Formation repose sur l'interaction de plusieurs composants pour créer et gérer votre lac de données.
## Console Lake Formation
Vous utilisez la console Lake Formation pour définir et gérer votre lac de données et pour accorder et révoquer les autorisations de Lake Formation. Vous pouvez utiliser des plans sur la console pour découvrir, nettoyer, transformer et ingérer des données. Vous pouvez également activer ou désactiver l'accès à la console pour les utilisateurs individuels de Lake Formation.
## API Lake Formation et interface de ligne de commande
Lake Formation fournit des opérations d'API via plusieurs langages spécifiques SDKs et le AWS Command Line Interface ()AWS CLI. L'API Lake Formation fonctionne conjointement avec le AWS Glue API. L'API Lake Formation se concentre principalement sur la gestion des autorisations de Lake Formation, tandis que le AWS Glue L'API fournit une API de catalogue de données et une infrastructure gérée pour définir, planifier et exécuter des opérations ETL sur vos données.
Pour plus d'informations sur le AWS Glue API, consultez le [guide du AWS Glue développeur](https://docs.aws.amazon.com/glue/latest/dg/). Pour plus d'informations sur l'utilisation du AWS CLI, consultez la [référence des AWS CLI commandes](https://docs.aws.amazon.com/cli/latest/reference/).
## Autres AWS services
Lake Formation utilise les services suivants :
+ [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/)pour orchestrer les tâches et les robots d'exploration afin de transformer les données à l'aide du AWS Glue transforme.
+ [L'IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/) va accorder des politiques d'autorisation aux responsables de Lake Formation. Le modèle d'autorisation Lake Formation complète le modèle d'autorisation IAM pour sécuriser votre lac de données.
# Terminologie des Lake Formation
Voici quelques termes importants que vous rencontrerez dans ce guide.
## Lac de données
Le *lac de données* correspond à vos données persistantes stockées dans Amazon S3 et gérées par Lake Formation à l'aide d'un catalogue de données. Un lac de données stocke généralement les éléments suivants :
+ Données structurées et non structurées
+ Données brutes et données transformées
Pour qu'un chemin Amazon S3 se trouve dans un lac de données, il doit être *enregistré auprès* de Lake Formation.
## Accès aux données
Lake Formation fournit un accès sécurisé et granulaire aux données grâce à un nouveau modèle d'accord/de révocation des autorisations qui renforce les politiques (IAM). Gestion des identités et des accès AWS
Les analystes et les data scientists peuvent utiliser le portefeuille complet de services d' AWS analyse et d'apprentissage automatique, tels qu'Amazon Athena, pour accéder aux données. Les politiques de sécurité configurées de Lake Formation permettent de garantir que les utilisateurs ne peuvent accéder qu'aux données auxquelles ils sont autorisés à accéder.
## Mode d'accès hybride
Le mode d'accès hybride vous permet de sécuriser et d'accéder aux données cataloguées à l'aide des autorisations Lake Formation et des autorisations IAM et Amazon S3. Le mode d'accès hybride permet aux administrateurs de données d'intégrer les autorisations de Lake Formation de manière sélective et progressive, en se concentrant sur un cas d'utilisation de lac de données à la fois.
## Plan
Un *plan* est un modèle de gestion des données qui vous permet d'ingérer facilement des données dans un lac de données. Lake Formation fournit plusieurs plans, chacun correspondant à un type de source prédéfini, tel qu'une base de données relationnelle ou AWS CloudTrail des journaux. À partir d'un plan, vous pouvez créer un flux de travail. Les flux de travail se composent de AWS Glue robots d'exploration, de tâches et de déclencheurs générés pour orchestrer le chargement et la mise à jour des données. Les plans utilisent la source de données, la cible de données et le calendrier comme entrées pour configurer le flux de travail.
## Flux de travail
Un *flux de travail* est un conteneur pour un ensemble de AWS Glue jobs, crawlers et déclencheurs. Vous créez le flux de travail dans Lake Formation, qui s'exécute dans AWS Glue service. Lake Formation peut suivre l'état d'un flux de travail en tant qu'entité unique.
Lorsque vous définissez un flux de travail, vous sélectionnez le plan sur lequel il est basé. Vous pouvez ensuite exécuter des flux de travail à la demande ou selon un calendrier.
Les flux de travail que vous créez dans Lake Formation sont visibles dans le AWS Glue console sous forme de graphe acyclique dirigé (DAG). À l'aide du DAG, vous pouvez suivre la progression du flux de travail et résoudre les problèmes.
## Catalogue de données
Le *catalogue de données* est votre magasin de métadonnées permanent. Il s'agit d'un service géré qui vous permet de stocker, d'annoter et de partager des métadonnées dans le AWS cloud de la même manière que vous le feriez dans un métastore Apache Hive. Il fournit un référentiel uniforme dans lequel des systèmes disparates peuvent stocker et trouver des métadonnées pour suivre les données dans des silos de données, puis utiliser ces métadonnées pour interroger et transformer les données. Lake Formation utilise le AWS Glue Catalogue de données pour stocker les métadonnées relatives aux lacs de données, aux sources de données, aux transformations et aux cibles.
Les métadonnées relatives aux sources de données et aux cibles se présentent sous forme de bases de données et de tables. Les tables stockent des informations de schéma, des informations de localisation, etc. Les bases de données sont des ensembles de tables. Lake Formation fournit une hiérarchie d'autorisations pour contrôler l'accès aux bases de données et aux tables du catalogue de données.
Chaque AWS compte possède un catalogue de données par AWS région.
## Données sous-jacentes
*Les données sous-jacentes* font référence aux données sources ou aux données des lacs de données vers lesquels pointent les tables du catalogue de données.
## Principal
Un *principal* est un utilisateur ou un rôle Gestion des identités et des accès AWS (IAM) ou un utilisateur Active Directory.
## Administrateur du lac de données
Un *administrateur de lac de données* est un mandant qui peut accorder à n'importe quel principal (y compris lui-même) n'importe quelle autorisation sur n'importe quelle ressource du catalogue de données ou sur l'emplacement des données. Désignez un administrateur de lac de données comme premier utilisateur du catalogue de données. Cet utilisateur peut ensuite accorder des autorisations plus détaillées sur les ressources à d'autres principaux.
**Note**
Les utilisateurs administratifs IAM, c'est-à-dire les utilisateurs dotés de la politique `AdministratorAccess` AWS gérée, ne sont pas automatiquement des administrateurs de lacs de données. Par exemple, ils ne peuvent pas accorder d'autorisations Lake Formation sur les objets du catalogue à moins d'en avoir obtenu l'autorisation. Ils peuvent toutefois utiliser la console ou l'API Lake Formation pour se désigner comme administrateurs de lacs de données.
Pour plus d'informations sur les fonctionnalités d'un administrateur de lac de données, consultez[Permissions implicites de Lake Formation](implicit-permissions.md). Pour plus d'informations sur la désignation d'un utilisateur en tant qu'administrateur de data lake, consultez. [Création d'un administrateur de lac de données](initial-lf-config.md#create-data-lake-admin)
# AWS intégrations de services avec Lake Formation
Vous pouvez utiliser Lake Formation pour gérer les autorisations d'accès au niveau des bases de données, des tables et des colonnes sur les données stockées dans Amazon S3. Une fois vos données enregistrées auprès de Lake Formation, vous pouvez utiliser des services AWS d'analyse tels AWS Glue qu'Amazon Athena, Amazon Redshift Spectrum, Amazon EMR pour interroger les données. Les AWS services suivants s'intègrent aux autorisations de Lake Formation AWS Lake Formation et les respectent.
| AWS Service | Détails de l’intégration |
| --- | --- |
| [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/) | Thème de référence : [Utilisation AWS Lake Formation avec AWS Glue](glue-features-lf.md) AWS Glueet Lake Formation partagent le même catalogue de données. Pour les opérations de console (telles que l'affichage d'une liste de tables) et toutes les opérations d'API, les AWS Glue utilisateurs ne peuvent accéder qu'aux bases de données et aux tables sur lesquelles ils disposent des autorisations Lake Formation. |
| [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/) | Thème de référence : [Utilisation AWS Lake Formation avec Amazon Athena](athena-lf.md) Utilisez Lake Formation pour autoriser ou refuser les autorisations de lecture des données dans Amazon S3. Lorsque Amazon Athena les utilisateurs sélectionnent le AWS Glue catalogue dans l'éditeur de requêtes, ils ne peuvent interroger que les bases de données, les tables et les colonnes sur lesquelles ils sont autorisés à Lake Formation. Les requêtes utilisant des manifestes ne sont pas prises en charge. Actuellement, Lake Formation ne prend pas en charge la gestion des autorisations sur les opérations d'écriture telles que `VACUUM``MERGE`, `UPDATE` et `OPTIMIZE` sur les tables dans Open Table Formats. Outre les principaux utilisateurs qui s'authentifient auprès d'Athena via Gestion des identités et des accès AWS (IAM), Lake Formation prend en charge les utilisateurs d'Athena qui se connectent via le pilote JDBC ou ODBC et s'authentifient via SAML. Les fournisseurs SAML pris en charge incluent Okta et Microsoft Active Directory Federation Service (AD FS). |
| [Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) | Thème de référence : [Utilisation AWS Lake Formation avec Amazon Redshift Spectrum](RSPC-lf.md) Lorsque les utilisateurs d'Amazon Redshift créent un schéma externe sur une base de données dans le AWS Glue Data Catalog, ils peuvent uniquement interroger les tables et les colonnes de ce schéma pour lesquelles ils disposent des autorisations de Lake Formation. |
| [Édition Amazon Quick Enterprise](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html) | Référence : [Utilisation AWS Lake Formation avec Quick](qs-integ-lf.md) Lorsqu'un utilisateur d'Amazon Quick Enterprise Edition interroge un ensemble de données dans un emplacement Amazon S3, il doit disposer de l'`SELECT`autorisation Lake Formation sur les données. |
| [Amazon EMR](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/) | Référence : [Utilisation AWS Lake Formation avec Amazon EMR](emr-integ-lf.md) Vous pouvez intégrer les autorisations de Lake Formation lorsque vous créez un cluster Amazon EMR doté d'un rôle d'exécution. Un rôle d'exécution est un rôle IAM que vous associez à des tâches ou à des requêtes Amazon EMR, puis Amazon EMR utilise ce rôle pour accéder aux ressources. AWS |
Lake Formation travaille également avec [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) pour vous permettre de configurer plus facilement ces services intégrés afin de chiffrer et de déchiffrer les données sur les sites Amazon Simple Storage Service (Amazon S3).
# Ressources supplémentaires sur la Formation du Lac
Pour plus d'informations AWS Lake Formation, nous vous recommandons de continuer à en apprendre davantage sur les concepts présentés dans ce guide en utilisant les ressources suivantes :
**Topics**
+ [Blogs](#lf-blogs)
+ [Discussions techniques et webinaires](#talks-webinars)
+ [Architecture moderne](#modern-day-architecture)
+ [Ressources de maillage de données](#data-mesh-resources)
+ [Guides des meilleures pratiques](#best-practice-lf)
## Blogs
+ [AWS Lake Formation Bilan de l'année 2022](https://aws.amazon.com/blogs/big-data/aws-lake-formation-2022-year-in-review/)
+ [Architecture de données moderne multirégionale hautement résiliente](https://aws.amazon.com/blogs/big-data/build-a-multi-region-and-highly-resilient-modern-data-architecture-using-aws-glue-and-aws-lake-formation/)
+ [Partage entre comptes à l'aide de balises LF pour diriger les principaux IAM](https://aws.amazon.com/blogs/big-data/enable-cross-account-sharing-with-direct-iam-principals-using-aws-lake-formation-tags/)
+ [Tableau de bord de l'inventaire des autorisations de Lake Formation](https://aws.amazon.com/blogs/big-data/build-an-aws-lake-formation-permissions-inventory-dashboard-using-aws-glue-and-amazon-quicksight/)
+ [Maillage de données piloté par événements](https://aws.amazon.com/blogs/big-data/use-an-event-driven-architecture-to-build-a-data-mesh-on-aws/)
## Discussions techniques et webinaires
+ re:Invent 2020 — [Lacs de données : créez, sécurisez et partagez facilement](https://www.youtube.com/watch?v=r5F0hvuq9kY) avec AWS Lake Formation
+ re:Invent 2022 — [Création et exploitation d'un lac de données sur Amazon S3](https://www.youtube.com/watch?v=YCNVdK5kPWk)
+ AWS Summit SF 2022 — [Comprendre et mettre en place une architecture de données moderne](https://www.youtube.com/watch?v=rWQQDcqgcdw)
+ AWS Summit ATL 2022 — [Des lacs de données modernes avec AWS Lake Formation Amazon Redshift](https://www.youtube.com/watch?v=7H15CYpJRRI) et AWS Glue
+ AWS Summit ANZ 2022 — [Lacs de données, maisons lacustres et maillage de données : quoi, pourquoi et comment ?](https://www.youtube.com/watch?v=3354wJV3X58)
+ AWS Discussions techniques en ligne — [Simplifier les autorisations et la gouvernance dans votre lac de données](https://www.youtube.com/watch?v=OybeggHYfRI)
## Architecture moderne
+ [Modèles d'architecture moderne](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/modern-data-architecture.html)
## Ressources de maillage de données
+ [Créez une architecture de données moderne et un modèle de maillage de données à grande échelle à l'aide d'un contrôle d'accès AWS Lake Formation basé sur des balises](https://aws.amazon.com/blogs/big-data/build-a-modern-data-architecture-and-data-mesh-pattern-at-scale-using-aws-lake-formation-tag-based-access-control/)
+ [Comment JPMorgan Chase a créé une architecture de maillage de données pour générer une valeur significative afin d'améliorer sa plateforme de données d'entreprise](https://aws.amazon.com/blogs/big-data/how-jpmorgan-chase-built-a-data-mesh-architecture-to-drive-significant-value-to-enhance-their-enterprise-data-platform/)
+ [Créez un maillage de données sur AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/23e6326b-58ee-4ab0-9bc7-3c8d730eb851/en-US)
## Guides des meilleures pratiques
+ [AWS Lake Formation guides de bonnes pratiques](https://aws.github.io/aws-lakeformation-best-practices/)
## Débuter avec Lake Formation
La lecture de ces sections est indispensable:
+ [AWS Lake Formation : comment ça marche](how-it-works.md)— Découvrez la terminologie essentielle et la façon dont les différents composants interagissent.
+ [Débuter avec Lake Formation](getting-started-setup.md)— Obtenez des informations sur les prérequis et effectuez les tâches de configuration importantes.
+ [AWS Lake Formation tutoriels](getting-started-tutorials.md)— Suivez les step-by-step tutoriels pour apprendre à utiliser Lake Formation.
+ [Sécurité dans le AWS Lake Formation](security.md)— Découvrez comment vous pouvez contribuer à sécuriser l'accès aux données de Lake Formation.