Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gérer les autorisations des utilisateurs de Lake Formation et d'Athena
Lake Formation fournit des informations d'identification pour interroger les magasins de données Amazon S3 ou les catalogues fédérés enregistrés auprès de Lake Formation. Si vous avez déjà utilisé des politiques IAM pour autoriser ou refuser les autorisations de lecture de catalogues ou d'emplacements de données dans Amazon S3, vous pouvez utiliser les autorisations Lake Formation à la place. Cependant, d'autres autorisations IAM sont toujours nécessaires.
Chaque fois que vous utilisez des politiques IAM, veillez à respecter les bonnes pratiques IAM. Pour plus d'informations, consultez la rubrique Bonnes pratiques IAM du Guide de l'utilisateur IAM.
Les sections suivantes résument les autorisations requises pour utiliser Athena afin d'interroger les données enregistrées dans Lake Formation. Pour plus d'informations, consultez la rubrique Sécurité dans AWS Lake Formation du Guide du développeur AWS Lake Formation .
Récapitulatif des autorisations
Autorisations basées sur l'identité pour Lake Formation et Athena
Appartenances des groupes de travail Athena dans l'historique des requêtes
Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
Autorisations basées sur l'identité pour Lake Formation et Athena
Toute personne utilisant Athena pour interroger des données enregistrées dans Lake Formation doit disposer d'une politique d'autorisations IAM qui autorise l'action lakeformation:GetDataAccess
. AWS politique gérée : AmazonAthenaFullAccess autorise cette action. Si vous utilisez des politiques en ligne, veillez à mettre à jour les politiques d'autorisations afin d'autoriser cette action.
Dans Lake Formation, un administrateur de lac de données est autorisé à créer des objets de métadonnées tels que des bases de données et des tables, à accorder des autorisations à d'autres utilisateurs et à enregistrer de nouveaux emplacements ou catalogues de données Amazon S3. Pour enregistrer de nouveaux emplacements, des autorisations sont nécessaires pour le rôle lié au service de Lake Formation. Pour plus d'informations, consultez les rubriques Création d'un administrateur de lac de données et Autorisations de rôles liés à des services pour Lake Formation du Guide du développeur AWS Lake Formation .
Un utilisateur de Lake Formation peut utiliser Athena pour interroger des bases de données, des tables, des colonnes de tables et des magasins de données ou catalogues Amazon S3 sous-jacents en fonction des autorisations de Lake Formation qui leur ont été accordées par les administrateurs de Lake Formation. Les utilisateurs ne peuvent pas créer de bases de données ou de tables, ni enregistrer de nouveaux emplacements Simple Storage Service (Amazon S3) dans Lake Formation. Pour de plus amples informations, consultez Création d'un utilisateur de lac de données dans le Guide du développeur AWS Lake Formation .
Dans Athena, les politiques d'autorisation basées sur l'identité, y compris celles des groupes de travail Athena, contrôlent toujours l'accès aux actions Athena pour les utilisateurs de comptes Amazon Web Services. En outre, l'accès fédéré peut être fourni par l'authentification basée sur SAML disponible avec les pilotes Athena. Pour plus d’informations, consultez Utilisez des groupes de travail pour contrôler l'accès aux requêtes et les coûts, Utiliser les politiques IAM pour contrôler l'accès aux groupes de travail et Activer l'accès fédéré à l'API Athena.
Pour plus d'informations, consultez la rubrique Octroi d'autorisations Lake Formation du Guide du développeur AWS Lake Formation .
Autorisations Simple Storage Service (Amazon S3) pour les emplacements des résultats de requêtes Athena
Les emplacements des résultats des requêtes dans Simple Storage Service (Amazon S3) pour Athena ne peuvent pas être enregistrés dans Lake Formation. Les autorisations de Lake Formation ne limitent pas l'accès à ces emplacements. À moins que vous ne limitiez l'accès, les utilisateurs d'Athena peuvent accéder aux fichiers de résultats de requêtes et aux métadonnées alors qu'ils ne disposent pas d'autorisations Lake Formation pour les données. Pour éviter cela, nous vous recommandons d'utiliser des groupes de travail pour spécifier l'emplacement des résultats des requêtes et d'aligner l'appartenance à un groupe de travail sur les autorisations de Lake Formation. Vous pouvez ensuite utiliser les politiques d'autorisation IAM pour limiter l'accès aux emplacements des résultats des requêtes. Pour plus d'informations sur les résultats des requêtes, voir Travailler avec les résultats des requêtes et les requêtes récentes.
Appartenances des groupes de travail Athena dans l'historique des requêtes
L'historique des requêtes d'Athena présente une liste des requêtes enregistrées et des chaînes de requête complètes. À moins que vous n'utilisiez des groupes de travail pour séparer l'accès aux historiques de requêtes, les utilisateurs d'Athena qui ne sont pas autorisés à interroger les données dans Lake Formation peuvent visualiser les chaînes de requêtes exécutées sur ces données, y compris les noms de colonnes, les critères de sélection, etc. Nous vous recommandons d'utiliser des groupes de travail pour séparer les historiques de requêtes, et d'aligner l'appartenance à un groupe de travail Athena sur les autorisations de Lake Formation pour en limiter l'accès. Pour de plus amples informations, veuillez consulter Utilisez des groupes de travail pour contrôler l'accès aux requêtes et les coûts.
Autorisations Lake Formation aux données
Outre l'autorisation de base d'utiliser Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations Lake Formation pour accéder aux ressources qu'ils interrogent. Ces autorisations sont accordées et gérées par un administrateur Lake Formation. Pour de plus amples informations, consultez Sécurité et contrôle d'accès aux métadonnées et données dans le Guide du développeur AWS Lake Formation .
Autorisations IAM permettant d'écrire dans des emplacements Simple Storage Service (Amazon S3)
Les autorisations Lake Formation sur Simple Storage Service (Amazon S3) ne comprennent pas la possibilité d'écrire sur Simple Storage Service (Amazon S3). Les instructions CTAS (Create Table As Statements) nécessitent un accès en écriture à l'emplacement Simple Storage Service (Amazon S3) des tables. Pour exécuter des requêtes CTAS sur des données enregistrées dans Lake Formation, les utilisateurs d'Athena doivent disposer d'autorisations IAM leur permettant d'écrire dans la table des emplacements Simple Storage Service (Amazon S3), en plus des autorisations Lake Formation appropriées leur permettant de lire les emplacements des données. Pour de plus amples informations, veuillez consulter Création d'une table à partir des résultats d'une requête (CTAS).
Autorisations pour les données chiffrées, les métadonnées et les résultats de requête Athena
Les données source sous-jacentes dans Amazon S3 et les métadonnées du catalogue enregistré auprès de Lake Formation peuvent être chiffrées. Il n'y a aucun changement dans la manière dont Athena traite le chiffrement des résultats des requêtes lors de l'utilisation d'Athena pour interroger des données enregistrées dans Lake Formation. Pour de plus amples informations, veuillez consulter Chiffrez les résultats des requêtes Athena stockés dans Amazon S3.
-
Chiffrement des données source : le chiffrement des données sources des emplacements de données Simple Storage Service (Amazon S3) est pris en charge. Les utilisateurs d'Athena qui interrogent des emplacements Simple Storage Service (Amazon S3) chiffrés enregistrés dans Lake Formation ont besoin d'autorisations pour chiffrer et déchiffrer les données. Pour plus d'informations sur les exigences, voir Options de chiffrement Simple Storage Service (Amazon S3) prises en charge et Autorisations pour les données chiffrées dans Simple Storage Service (Amazon S3).
-
Chiffrement des métadonnées : le chiffrement des métadonnées dans le AWS Glue Data Catalog est pris en charge. Pour les principals qui utilisent Athena, les politiques basées sur l'identité doivent autoriser les actions
"kms:GenerateDataKey"
,"kms:Decrypt"
et"kms:Encrypt"
pour la clé utilisée pour chiffrer les métadonnées. Pour plus d'informations, consultez le Chiffrement du catalogue de données dans le Guide du développeur AWS Glue et Configurez l'accès depuis Athena aux métadonnées chiffrées dans AWS Glue Data Catalog.
Autorisations basées sur les ressources pour les compartiments Simple Storage Service (Amazon S3) dans des comptes externes (facultatif)
Pour interroger un emplacement de données Simple Storage Service (Amazon S3) dans un compte différent, une politique IAM basée sur les ressources (politique de compartiment) doit autoriser l'accès à l'emplacement. Pour de plus amples informations, veuillez consulter Configurer l'accès entre comptes dans Athena aux compartiments Amazon S3.
Pour plus d'informations sur l'accès aux catalogues depuis un autre compte, consultezOption A : configurer l'accès au catalogue de données entre comptes dans Athena.