Gestion des autorisations utilisateur Lake Formation et Athena
Lake Formation fournit des informations d’identification pour l’interrogation de magasins de données Amazon S3 ou de catalogues fédérés enregistrés dans Lake Formation. Si vous utilisiez auparavant des politiques IAM pour accorder ou refuser des autorisations de lecture de catalogues ou d’emplacements de données dans Amazon S3, vous pouvez utiliser des autorisations Lake Formation à la place. Cependant, d'autres autorisations IAM sont toujours nécessaires.
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique Bonnes pratiques IAM du Guide de l'utilisateur IAM.
Les sections suivantes résument les autorisations requises pour utiliser Athena afin d'interroger les données enregistrées dans Lake Formation. Pour plus d'informations, consultez la rubrique Sécurité dans AWS Lake Formation du Guide du développeur AWS Lake Formation.
Récapitulatif des autorisations
Autorisations basées sur l'identité pour Lake Formation et Athena
Appartenances des groupes de travail Athena dans l'historique des requêtes
Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
Autorisations basées sur l'identité pour Lake Formation et Athena
Toute personne utilisant Athena pour interroger des données enregistrées dans Lake Formation doit disposer d'une politique d'autorisations IAM qui autorise l'action lakeformation:GetDataAccess. AWSPolitique gérée par : AmazonAthenaFullAccess autorise cette action. Si vous utilisez des politiques en ligne, veillez à mettre à jour les politiques d'autorisations afin d'autoriser cette action.
Dans Lake Formation, un administrateur de lac de données est autorisé à créer des objets de métadonnées tels que des bases de données et des tables, à accorder des autorisations Lake Formation à d’autres utilisateurs et à enregistrer de nouveaux emplacements Amazon S3 ou de nouveaux catalogues de données. Pour enregistrer de nouveaux emplacements, des autorisations sont nécessaires pour le rôle lié au service de Lake Formation. Pour plus d'informations, consultez les rubriques Création d'un administrateur de lac de données et Autorisations de rôles liés à des services pour Lake Formation du Guide du développeur AWS Lake Formation.
Un utilisateur Lake Formation peut utiliser Athena pour interroger des bases de données, des tables, des colonnes de table et des magasins de données Amazon S3 ou des catalogues sous-jacents en fonction des autorisations Lake Formation que les administrateurs de lac de données lui ont accordées. Les utilisateurs ne peuvent pas créer de bases de données ou de tables, ni enregistrer de nouveaux emplacements Simple Storage Service (Amazon S3) dans Lake Formation. Pour de plus amples informations, consultez Création d'un utilisateur de lac de données dans le Guide du développeur AWS Lake Formation.
Dans Athena, les politiques d'autorisation basées sur l'identité, y compris celles des groupes de travail Athena, contrôlent toujours l'accès aux actions Athena pour les utilisateurs de comptes Amazon Web Services. En outre, l'accès fédéré peut être fourni par l'authentification basée sur SAML disponible avec les pilotes Athena. Pour plus d’informations, consultez Utilisation de groupes de travail pour contrôler l’accès aux requêtes et les coûts, Utilisation de politiques IAM pour contrôler l’accès aux groupes de travail. et Activation de l’accès fédéré à l’API Athena.
Pour plus d'informations, consultez la rubrique Octroi d'autorisations Lake Formation du Guide du développeur AWS Lake Formation.
Autorisations Simple Storage Service (Amazon S3) pour les emplacements des résultats de requêtes Athena
Les emplacements des résultats des requêtes dans Simple Storage Service (Amazon S3) pour Athena ne peuvent pas être enregistrés dans Lake Formation. Les autorisations Lake Formation ne limitent pas l’accès à ces emplacements. Si vous n’appliquez pas de limite d’accès, les utilisateurs Athena peuvent accéder aux fichiers de résultats des requêtes et aux métadonnées sans disposer d’autorisations Lake Formation sur les données. Pour éviter cela, nous vous recommandons d'utiliser des groupes de travail pour spécifier l'emplacement des résultats des requêtes et d'aligner l'appartenance à un groupe de travail sur les autorisations de Lake Formation. Vous pouvez ensuite utiliser les politiques d'autorisation IAM pour limiter l'accès aux emplacements des résultats des requêtes. Pour plus d'informations sur les résultats des requêtes, voir Utilisation des résultats des requêtes et des requêtes récentes.
Appartenances des groupes de travail Athena dans l'historique des requêtes
L'historique des requêtes d'Athena présente une liste des requêtes enregistrées et des chaînes de requête complètes. À moins que vous n'utilisiez des groupes de travail pour séparer l'accès aux historiques de requêtes, les utilisateurs d'Athena qui ne sont pas autorisés à interroger les données dans Lake Formation peuvent visualiser les chaînes de requêtes exécutées sur ces données, y compris les noms de colonnes, les critères de sélection, etc. Nous vous recommandons d'utiliser des groupes de travail pour séparer les historiques de requêtes, et d'aligner l'appartenance à un groupe de travail Athena sur les autorisations de Lake Formation pour en limiter l'accès. Pour de plus amples informations, consultez Utilisation de groupes de travail pour contrôler l’accès aux requêtes et les coûts.
Autorisations Lake Formation aux données
Outre l'autorisation de base d'utiliser Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations Lake Formation pour accéder aux ressources qu'ils interrogent. Ces autorisations sont accordées et gérées par un administrateur Lake Formation. Pour de plus amples informations, consultez Sécurité et contrôle d'accès aux métadonnées et données dans le Guide du développeur AWS Lake Formation.
Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
Les autorisations Lake Formation sur Simple Storage Service (Amazon S3) ne comprennent pas la possibilité d'écrire sur Simple Storage Service (Amazon S3). Les instructions CTAS (Create Table As Statements) nécessitent un accès en écriture à l'emplacement Simple Storage Service (Amazon S3) des tables. Pour exécuter des requêtes CTAS sur des données enregistrées dans Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations IAM leur permettant d'écrire dans la table des emplacements Simple Storage Service (Amazon S3), en plus des autorisations Lake Formation appropriées leur permettant de lire les emplacements des données. Pour de plus amples informations, consultez Création d’une table à partir des résultats des requêtes (CTAS).
Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
Les données sources sous-jacentes d’Amazon S3 et les métadonnées du catalogue qui sont enregistrées dans Lake Formation peuvent être chiffrées. Il n'y a aucun changement dans la manière dont Athena traite le chiffrement des résultats des requêtes lors de l'utilisation d'Athena pour interroger des données enregistrées dans Lake Formation. Pour de plus amples informations, consultez Chiffrement des résultats de requêtes Athena stockés dans Amazon S3.
-
Chiffrement des données source : le chiffrement des données sources des emplacements de données Simple Storage Service (Amazon S3) est pris en charge. Les utilisateurs d'Athena qui interrogent des emplacements Simple Storage Service (Amazon S3) chiffrés enregistrés dans Lake Formation ont besoin d'autorisations pour chiffrer et déchiffrer les données. Pour plus d'informations sur les exigences, voir Options de chiffrement Simple Storage Service (Amazon S3) prises en charge et Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).
-
Chiffrement des métadonnées – Le chiffrement des métadonnées dans le AWS Glue Data Catalog est pris en charge. Pour les principals qui utilisent Athena, les politiques basées sur l'identité doivent autoriser les actions
"kms:GenerateDataKey","kms:Decrypt"et"kms:Encrypt"pour la clé utilisée pour chiffrer les métadonnées. Pour plus d'informations, consultez le Chiffrement du catalogue de données dans le Guide du développeur AWS Glue et Configuration de l’accès à des métadonnées chiffrées dans le AWS Glue Data Catalog depuis Athena.
Autorisations basées sur les ressources pour les compartiments Simple Storage Service (Amazon S3) dans des comptes externes (facultatif)
Pour interroger un emplacement de données Simple Storage Service (Amazon S3) dans un compte différent, une politique IAM basée sur les ressources (politique de compartiment) doit autoriser l'accès à l'emplacement. Pour de plus amples informations, consultez Configuration de l’accès intercompte aux compartiments Amazon S3 dans Athena.
Pour plus d’informations sur l’accès aux catalogues d’un autre compte, consultez Option A : Configuration de l’accès intercompte au catalogue de données dans Athena.
