Utilisation d’Athena pour interroger des données enregistrées dans AWS Lake Formation
AWS Lake Formation vous permet de définir et d’appliquer des stratégies d’accès au niveau des bases de données, des tables et des colonnes lorsque vous utilisez des requêtes Athena pour lire des données stockées dans Amazon S3 ou accessibles via des sources de données fédérées. Lake Formation fournit une couche d’autorisation et de gouvernance sur les données stockées dans Amazon S3 ou dans des catalogues de données fédérés. Vous pouvez utiliser une hiérarchie d'autorisations dans Lake Formation pour accorder ou révoquer les autorisations de lecture des objets du catalogue de données tels que les bases de données, les tables et les colonnes. Lake Formation simplifie la gestion des autorisations et vous permet d'implémenter un contrôle d'accès précis (FGAC) pour vos données.
Vous pouvez utiliser Athena pour interroger à la fois les données qui sont enregistrées dans Lake Formation et celles qui ne le sont pas.
Les autorisations Lake Formation s’appliquent lorsque vous utilisez Athena pour interroger des données sources à partir d’emplacements Amazon S3 ou de catalogues de données enregistrés dans Lake Formation. Elles s’appliquent également lorsque vous créez des bases de données et des tables qui pointent vers des emplacements de données Amazon S3 ou des catalogues de données enregistrés.
Les autorisations Lake Formation ne s’appliquent pas lors de l’écriture d’objets ni lors de l’interrogation de données ou de métadonnées qui ne sont pas enregistrées dans Lake Formation. Pour les données sources et les métadonnées qui ne sont pas enregistrées dans Lake Formation, l’accès est déterminé par des politiques d’autorisation IAM et des actions AWS Glue. Les emplacements des résultats des requêtes Athena dans Simple Storage Service (Amazon S3) ne peuvent pas être enregistrés dans Lake Formation, et les politiques d'autorisation IAM pour Simple Storage Service (Amazon S3) contrôlent l'accès. En outre, les autorisations de Lake Formation ne s'appliquent pas à l'historique des requêtes Athena. Vous pouvez utiliser des groupes de travail Athena pour contrôler l'accès à l'historique des requêtes.
Pour plus d'informations sur Lake Formation, consultez la FAQ sur Lake Formation
Application d’autorisations Lake Formation à des bases de données et des tables existantes
Si vous débutez avec Athena et que vous utilisez Lake Formation pour configurer l’accès aux données de requête, il n’est pas nécessaire de configurer des politiques IAM pour que les utilisateurs puissent lire les données et créer des métadonnées. Vous pouvez utiliser Lake Formation pour gérer les autorisations.
Il n'est pas nécessaire d'enregistrer les données dans Lake Formation et de mettre à jour les politiques d'autorisations IAM. Si les données ne sont pas enregistrées dans Lake Formation, les utilisateurs Athena qui disposent des autorisations appropriées peuvent continuer à les interroger.
Si des utilisateurs Athena existants interrogent des données Amazon S3 qui ne sont pas enregistrées dans Lake Formation, vous pouvez mettre à jour les autorisations IAM pour Amazon S3, et le AWS Glue Data Catalog le cas échéant, afin de centraliser la gestion des accès utilisateur à l’aide d’autorisations Lake Formation. Pour obtenir l'autorisation de lire les emplacements de données Simple Storage Service (Amazon S3), vous pouvez mettre à jour les politiques basées sur les ressources et les politiques basées sur l'identité afin de modifier les autorisations Simple Storage Service (Amazon S3). Pour l'accès aux métadonnées, si vous avez configuré des politiques au niveau des ressources pour un contrôle d'accès précis avec AWS Glue, vous pouvez utiliser les autorisations Lake Formation pour gérer l'accès.
Pour de plus amples informations, consultez Configuration de l’accès aux bases de données et aux tables dans le AWS Glue Data Catalog et Mise à niveau des autorisations de données AWS Glue vers le modèle AWS Lake Formation dans le Guide du développeur AWS Lake Formation.
Rubriques
