Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de Lake Formation pour un cluster EMR compatible avec IAM Identity Center
Vous pouvez l'intégrer [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/)à votre AWS IAM Identity Center cluster EMR activé.
Tout d’abord, assurez-vous qu’une instance Identity Center est configurée dans la même région que votre cluster. Pour de plus amples informations, veuillez consulter [Création d’une instance d’Identity Center](emr-idc-start.md#emr-idc-start-instance). Pour afficher l’ARN de l’instance, accédez aux détails de l’instance dans la console IAM Identity Center ou utilisez la commande suivante pour afficher les détails de toutes vos instances depuis la CLI :
```
aws sso-admin list-instances
```
Utilisez ensuite l'ARN et l'ID de votre AWS compte avec la commande suivante pour configurer Lake Formation afin qu'il soit compatible avec IAM Identity Center :
```
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json
json input:
{
"CatalogId": "account-id/org-account-id",
"InstanceArn": "identity-center-instance-arn"
}
```
À présent, appelez `put-data-lake-settings` et activez `AllowFullTableExternalDataAccess` avec Lake Formation :
```
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json
json input:
{
"DataLakeSettings": {
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "admin-ARN"
}
],
"CreateDatabaseDefaultPermissions": [...],
"CreateTableDefaultPermissions": [...],
"AllowExternalDataFiltering": true,
"AllowFullTableExternalDataAccess": true
}
}
```
Enfin, accordez des autorisations de table complètes à l’ARN d’identité pour l’utilisateur qui accède au cluster EMR. L’ARN contient l’ID utilisateur d’Identity Center. Accédez à Identity Center dans la console, sélectionnez **Utilisateurs**, puis sélectionnez l’utilisateur pour afficher ses paramètres dans **Informations générales**.
Copiez l’ID utilisateur et collez-le dans l’ARN suivant pour `user-id` :
```
arn:aws:identitystore:::user/user-id
```
**Note**
Les requêtes sur le cluster EMR ne fonctionnent que si l’identité Identity Center IAM dispose d’un accès complet à la table protégée de Lake Formation. Dans le cas contraire, la requête échouera.
Utilisez la commande suivante pour accorder à l’utilisateur l’accès complet aux tables :
```
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
},
"Resource": {
"Table": {
"DatabaseName": "tip_db",
"Name": "tip_table"
}
},
"Permissions": [
"ALL"
],
"PermissionsWithGrantOption": [
"ALL"
]
}
```
## Ajout de l'ARN de l'application à IDC pour l'intégration de Lake Formation
Pour interroger les ressources compatibles avec Lake Formation, l'ARN de l'application IDC doit être ajouté. Pour cela, procédez comme suit :
1. Sur la console, choisissez **AWS Lake Formation**.
1. Sélectionnez l'intégration **IAM Identity Center et l'intégration** de l'**application Lake Formation** en faisant correspondre l'ARN de l'application. L'ARN apparaîtra dans la liste des **ID d'application**.