Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Octroi d'autorisations de data lake à l'aide de la méthode LF-TBAC
<a name="granting-catalog-perms-TBAC"></a>

Vous pouvez accorder les autorisations `DESCRIBE` et `ASSOCIATE` Lake Formation sur les balises LF aux principaux afin qu'ils puissent visualiser les balises LF et les attribuer aux ressources du catalogue de données (bases de données, tables, vues et colonnes). Lorsque des balises LF sont attribuées aux ressources du catalogue de données, vous pouvez utiliser la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC) pour sécuriser ces ressources. Pour de plus amples informations, veuillez consulter [Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md).

Dans un premier temps, seul l'administrateur du lac de données peut accorder ces autorisations. Si l'administrateur du lac de données accorde ces autorisations avec l'option grant, d'autres principaux peuvent les accorder. Les `ASSOCIATE` autorisations `DESCRIBE` et sont expliquées dans[Meilleures pratiques et considérations relatives au contrôle d'accès basé sur les balises Lake Formation](lf-tag-considerations.md).

Vous pouvez accorder les `ASSOCIATE` autorisations `DESCRIBE` et sur un LF-Tag à un compte externe AWS . L'administrateur du lac de données de ce compte peut ensuite accorder ces autorisations aux autres principaux du compte. Les principaux auxquels l'administrateur du lac de données du compte externe accorde l'`ASSOCIATE`autorisation peuvent ensuite attribuer des balises LF aux ressources du catalogue de données que vous avez partagées avec leur compte.

Lorsque vous accordez à un compte externe, vous devez inclure l'option de subvention.

Vous pouvez accorder des autorisations sur les balises LF à l'aide de la AWS Lake Formation console, de l'API ou du AWS Command Line Interface ()AWS CLI.

**Note**  
Les étapes suivantes ne sont pas nécessaires pour les catalogues S3 Tables. Vous pouvez utiliser les balises LF pour accorder des autorisations sur les catalogues de tables S3 existants sans les supprimer ni les recréer.

**Activation de la prise en charge des balises LF pour les catalogues fédérés existants qui utilisent les autorisations de Lake Formation**

Procédez comme suit si vous possédez des catalogues fédérés existants qui utilisent les autorisations de Lake Formation, tels qu'Amazon Redshift Amazon DynamoDB ou des catalogues créés avant que le support des balises LF ne soit disponible pour les catalogues fédérés. 

1. Supprimer le catalogue existant : appelez l'opération `deleteCatalog` API pour supprimer le catalogue fédéré existant qui utilise les autorisations de Lake Formation.

1.  Créer un nouveau catalogue fédéré : créez un nouveau catalogue et orientez le nouveau catalogue vers votre espace de noms/partage de données existant. 

   Utiliser un nouveau nom pour le catalogue : ce processus met à jour vos catalogues fédérés préexistants afin de prendre en charge la fonctionnalité LF-Tag. Si vous souhaitez utiliser le même nom de catalogue, contactez AWS l'équipe d'assistance pour obtenir de l'aide. 

**Topics**
+ [Octroi d'autorisations au catalogue de données](#granting-cat-perms-TBAC-console)

**Consultez aussi**  
[Gestion des autorisations relatives aux valeurs des balises LF](TBAC-granting-tags.md)
[Gestion des balises LF pour le contrôle d'accès aux métadonnées](managing-tags.md)
[Contrôle d'accès basé sur des balises Lake Formation](tag-based-access-control.md)

## Octroi d'autorisations au catalogue de données
<a name="granting-cat-perms-TBAC-console"></a>

Utilisez la console Lake Formation ou accordez AWS CLI à Lake Formation des autorisations sur les bases de données, les tables, les vues et les colonnes du catalogue de données à l'aide de la méthode de contrôle d'accès basée sur les balises Lake Formation (LF-TBAC).

------
#### [ Console ]

Les étapes suivantes expliquent comment accorder des autorisations à l'aide de la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) et de la page **Accorder des autorisations aux lacs de données** sur la console Lake Formation. La page est divisée selon les sections suivantes :
+  **Principaux** — Les utilisateurs, les rôles et les autorisations Comptes AWS auxquelles accorder des autorisations.
+  **Balises LF ou ressources du catalogue** : bases de données, tables ou liens de ressources sur lesquels accorder des autorisations.
+  **Autorisations** — Les autorisations à accorder dans le cadre de la Lake Formation.

1. 

**Ouvrez la page des autorisations du lac de données Grant.**

   Ouvrez la AWS Lake Formation console sur [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)et connectez-vous en tant qu'administrateur de lac de données ou en tant qu'utilisateur ayant obtenu les autorisations de Lake Formation sur les ressources du catalogue de données via LF-TBAC avec l'option d'autorisation.

   Dans le volet de navigation, sous **Autorisations**, sélectionnez **Autorisations du lac de données**. Ensuite, choisissez **Accorder**.

1. 

**Spécifiez les principes.**

    Dans la section **Principaux**, choisissez un type de principal, puis spécifiez les principaux auxquels accorder des autorisations.  
![La section Principaux contient quatre vignettes nommées dans le texte suivant. Chaque vignette contient un bouton d'option et du texte. La vignette IAM Identity Center est sélectionnée et la liste déroulante des utilisateurs et des groupes se trouve sous les vignettes.](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**Utilisateurs et rôles IAM**  
Choisissez un ou plusieurs utilisateurs ou rôles dans la liste des **utilisateurs et des rôles IAM**.  
**IAM Identity Center **  
Choisissez un ou plusieurs utilisateurs ou dans la liste **Utilisateurs et groupes**.  
**Utilisateurs et groupes SAML**  
Pour les **utilisateurs et les groupes SAML et Quick**, entrez un ou plusieurs Amazon Resource Names (ARNs) pour les utilisateurs ou les groupes fédérés via SAML, ou ARNs pour les utilisateurs ou groupes Quick. Appuyez sur Entrée après chaque ARN.  
Pour plus d'informations sur la façon de construire le ARNs, voir[Lake Formation accorde et AWS CLI révoque des commandes](lf-permissions-reference.md#perm-command-format).  
L'intégration de Lake Formation à Quick n'est prise en charge que pour Quick Enterprise Edition.  
**Comptes externes**  
Pour **Comptes AWS AWS l'organisation** ou le **principal IAM**, entrez une ou plusieurs organisations Compte AWS IDs IDs IDs, unités organisationnelles ou ARN valides pour l'utilisateur ou le rôle IAM. Appuyez sur **Entrée** après chaque identifiant.  
Un identifiant d'organisation se compose de « o- » suivi de 10 à 32 lettres minuscules ou chiffres.  
L'identifiant d'une unité organisationnelle commence par « ou- » suivi de 4 à 32 lettres minuscules ou chiffres (identifiant de la racine contenant l'unité organisationnelle). Cette chaîne est suivie d'un deuxième tiret « - » et de 8 à 32 lettres minuscules ou chiffres supplémentaires.

1. 

**Spécifiez les balises LF.**

   Assurez-vous que l'option **Resources matching by LF-Tags** est sélectionnée. **Choisissez des **paires clé-valeur LF-Tag ou des** expressions LF-Tag enregistrées.**

   1. Si vous choisissez l'option **paires clé-valeur LF-Tag**, choisissez les clés et les valeurs.

      Si vous choisissez plusieurs valeurs, vous créez une expression LF-Tag à l'aide d'un `OR` opérateur. Cela signifie que si l'une des valeurs de balise LF correspond à une balise LF attribuée à une ressource de catalogue de données, des autorisations sur cette ressource vous sont accordées.  
![La section LF-Tag ou ressources du catalogue contient deux vignettes disposées horizontalement, chaque vignette contenant un bouton d'option et un texte descriptif. Les options sont les suivantes : Ressources associées par des balises LF (recommandé) et Ressources de catalogue de données nommées. Les ressources correspondant aux balises LF sont sélectionnées. Sous les vignettes se trouvent un champ clé et un champ valeurs disposés horizontalement. Le champ Clé contient « module » et le champ Valeurs est une liste déroulante contenant trois entrées : Commandes, Ventes et Clients. Chaque entrée est associée à une case à cocher. La case à cocher pour les clients est sélectionnée. À droite de ces deux champs se trouve un bouton Supprimer. En bas se trouve un bouton Ajouter une balise LF, indiquant que vous pouvez ajouter une autre ligne contenant les champs Clé et Valeurs et un bouton Supprimer.](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)

   1. (Facultatif) Choisissez à nouveau **Ajouter une paire clé-valeur de balise LF** pour spécifier une autre balise LF.

      Si vous spécifiez plusieurs balises LF, vous créez une expression de balise LF à l'aide d'un opérateur. `AND` Le principal n'obtient des autorisations sur une ressource de catalogue de données que si une balise LF correspondante a été attribuée à la ressource pour chaque balise LF de l'expression LF-Tag.

   1. Choisissez l'option **Enregistrer en tant que nouvelle expression** pour réutiliser l'expression.

      Vous devez `Create LF-Tag expression` enregistrer les expressions.

      Pour plus d'informations sur les expressions LF-Tag, consultez. [Gestion des expressions LF-Tag pour le contrôle d'accès aux métadonnées](managing-tag-expressions.md)

1. 

**Spécifiez les autorisations.**

   Spécifiez les autorisations que vous souhaitez accorder au principal pour faire correspondre les ressources du catalogue de données. Les ressources correspondantes sont les ressources auxquelles des balises LF ont été attribuées qui correspondent à l'une des expressions de balise LF accordées au principal. 

   Vous pouvez spécifier les autorisations à accorder sur les bases de données correspondantes, les tables correspondantes et les vues correspondantes.  
![Deux sections de la page sont affichées. La section Autorisations de base de données contient des cases à cocher pour les autorisations de base de données et les autorisations pouvant être accordées. Sous la section Base de données, la section Autorisations relatives aux tables affiche les cases à cocher pour les autorisations relatives aux tables et aux autorisations pouvant être accordées.](http://docs.aws.amazon.com/fr_fr/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)

   Sous **Autorisations de base** de données, sélectionnez les autorisations de base de données à accorder au principal sur les bases de données correspondantes.

   Sous **Autorisations relatives aux tables**, sélectionnez les autorisations de table ou de vue à accorder au principal sur les tables et les vues correspondantes.

   Vous pouvez également choisir `Select``Describe`, et `Drop` les autorisations dans le **tableau, les autorisations** à appliquer aux vues.

1. Choisissez **Accorder**.

------
#### [ AWS CLI ]

Vous pouvez utiliser la méthode AWS Command Line Interface (AWS CLI) et la méthode de contrôle d'accès basé sur les balises Lake Formation (LF-TBAC) pour accorder à Lake Formation des autorisations sur les bases de données, les tables et les colonnes du catalogue de données.

**Octroi d'autorisations de data lake à l'aide de la méthode AWS CLI et de la méthode LF-TBAC**
+ Utilisez la commande `grant-permissions`.  
**Example**  

  L'exemple suivant accorde l'expression LF-tag « `module=*` » (toutes les valeurs de la clé `module` LF-Tag) à l'utilisateur. `datalake_user1` Cet utilisateur aura l'`CREATE_TABLE`autorisation d'accéder à toutes les bases de données correspondantes, c'est-à-dire aux bases de données auxquelles a été attribuée la balise LF avec la clé`module`, quelle que soit la valeur.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 
  ```  
**Example**  

  L'exemple suivant accorde l'expression LF-tag « `(level=director) AND (region=west OR region=south)` » à l'utilisateur. `datalake_user1` Cet utilisateur aura les `DROP` autorisations `SELECT``ALTER`, et avec l'option d'autorisation sur les tables correspondantes, c'est-à-dire les tables auxquelles les deux `level=director` et (`region=west`ou`region=south`) ont été assignés.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
  ```  
**Example**  

  L'exemple suivant accorde l'expression LF-tag « `module=orders` » au AWS compte 1234-5678-9012. L'administrateur du lac de données de ce compte peut ensuite accorder l'expression `module=orders` « » aux principaux de son compte. Ces principaux auront alors l'`CREATE_TABLE`autorisation de faire correspondre les bases de données détenues par le compte 1111-2222-3333 et partagées avec le compte 1234-5678-9012 en utilisant soit la méthode des ressources nommées, soit la méthode LF-TBAC.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
  ```

------