Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d’Athena pour interroger des données enregistrées dans AWS Lake Formation

AWS Lake Formation vous permet de définir et d’appliquer des stratégies d’accès au niveau des bases de données, des tables et des colonnes lorsque vous utilisez des requêtes Athena pour lire des données stockées dans Amazon S3 ou accessibles via des sources de données fédérées. Lake Formation fournit une couche d’autorisation et de gouvernance sur les données stockées dans Amazon S3 ou dans des catalogues de données fédérés. Vous pouvez utiliser une hiérarchie d'autorisations dans Lake Formation pour accorder ou révoquer les autorisations de lecture des objets du catalogue de données tels que les bases de données, les tables et les colonnes. Lake Formation simplifie la gestion des autorisations et vous permet d'implémenter un contrôle d'accès précis (FGAC) pour vos données.

Vous pouvez utiliser Athena pour interroger à la fois les données qui sont enregistrées dans Lake Formation et celles qui ne le sont pas.

Les autorisations Lake Formation s’appliquent lorsque vous utilisez Athena pour interroger des données sources à partir d’emplacements Amazon S3 ou de catalogues de données enregistrés dans Lake Formation. Elles s’appliquent également lorsque vous créez des bases de données et des tables qui pointent vers des emplacements de données Amazon S3 ou des catalogues de données enregistrés.

Les autorisations Lake Formation ne s’appliquent pas lors de l’écriture d’objets ni lors de l’interrogation de données ou de métadonnées qui ne sont pas enregistrées dans Lake Formation. Pour les données source et les métadonnées qui ne sont pas enregistrées auprès de Lake Formation, l'accès est déterminé par les politiques et AWS Glue actions d'autorisation IAM. Les emplacements des résultats des requêtes Athena dans Simple Storage Service (Amazon S3) ne peuvent pas être enregistrés dans Lake Formation, et les politiques d'autorisation IAM pour Simple Storage Service (Amazon S3) contrôlent l'accès. En outre, les autorisations de Lake Formation ne s'appliquent pas à l'historique des requêtes Athena. Vous pouvez utiliser des groupes de travail Athena pour contrôler l'accès à l'historique des requêtes.

Pour plus d'informations sur Lake Formation, consultez Lake Formation FAQs et le Guide du AWS Lake Formation développeur.

Application d’autorisations Lake Formation à des bases de données et des tables existantes

Si vous débutez avec Athena et que vous utilisez Lake Formation pour configurer l’accès aux données de requête, il n’est pas nécessaire de configurer des politiques IAM pour que les utilisateurs puissent lire les données et créer des métadonnées. Vous pouvez utiliser Lake Formation pour gérer les autorisations.

Il n'est pas nécessaire d'enregistrer les données dans Lake Formation et de mettre à jour les politiques d'autorisations IAM. Si les données ne sont pas enregistrées dans Lake Formation, les utilisateurs Athena qui disposent des autorisations appropriées peuvent continuer à les interroger.

Si certains de vos utilisateurs Athena interrogent des données Amazon S3 qui ne sont pas enregistrés auprès de Lake Formation, vous pouvez mettre à jour les autorisations IAM pour Amazon S3 (et le cas échéant) afin de pouvoir utiliser les AWS Glue Data Catalog autorisations de Lake Formation pour gérer l'accès des utilisateurs de manière centralisée. Pour obtenir l'autorisation de lire les emplacements de données Simple Storage Service (Amazon S3), vous pouvez mettre à jour les politiques basées sur les ressources et les politiques basées sur l'identité afin de modifier les autorisations Simple Storage Service (Amazon S3). Pour l'accès aux métadonnées, si vous avez configuré des politiques au niveau des ressources pour un contrôle d'accès précis AWS Glue, vous pouvez utiliser les autorisations de Lake Formation pour gérer l'accès à la place.

Pour plus d'informations, reportez-vous Configurez l'accès aux bases de données et aux tables dans le AWS Glue Data Catalog à la section Mise à niveau des autorisations de AWS Glue données pour le AWS Lake Formation modèle dans le Guide du AWS Lake Formation développeur.