Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrement d'un emplacement Amazon S3 chiffré
Lake Formation s'intègre à AWS Key Management Service(AWS KMS) pour vous permettre de configurer plus facilement d'autres services intégrés pour chiffrer et déchiffrer les données sur les sites Amazon Simple Storage Service (Amazon S3).
Ils Clés gérées par AWS sont tous deux gérés par AWS KMS keys le client et pris en charge. Actuellement, le chiffrement/déchiffrement côté client n'est pris en charge qu'avec Athena.
Vous devez spécifier un rôle AWS Identity and Access Management (IAM) lorsque vous enregistrez un emplacement Amazon S3. Pour les emplacements Amazon S3 chiffrés, soit le rôle doit être autorisé à chiffrer et à déchiffrer les données avec le AWS KMS key, soit la politique en matière de KMS clés doit accorder des autorisations sur la clé du rôle.
Important
Évitez d'enregistrer un compartiment Amazon S3 sur lequel les paiements par les demandeurs sont activés. Pour les buckets enregistrés auprès de Lake Formation, le rôle utilisé pour enregistrer le bucket est toujours considéré comme le demandeur. Si un autre AWS compte accède au bucket, l'accès aux données est facturé au propriétaire du bucket si le rôle appartient au même compte que le propriétaire du bucket.
Le moyen le plus simple d'enregistrer l'emplacement consiste à utiliser le rôle lié au service Lake Formation. Ce rôle accorde les autorisations de lecture/écriture requises sur l'emplacement. Vous pouvez également utiliser un rôle personnalisé pour enregistrer l'emplacement, à condition qu'il réponde aux exigences deExigences relatives aux rôles utilisés pour enregistrer des sites.
Important
Si vous avez utilisé un Clé gérée par AWS pour chiffrer l'emplacement Amazon S3, vous ne pouvez pas utiliser le rôle lié au service Lake Formation. Vous devez utiliser un rôle personnalisé et ajouter IAM des autorisations sur la clé du rôle. Les détails sont fournis plus loin dans cette section.
Les procédures suivantes expliquent comment enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client ou d'un Clé gérée par AWS.
Avant de commencer
Passez en revue les exigences relatives au rôle utilisé pour enregistrer l'emplacement.
Pour enregistrer un emplacement Amazon S3 chiffré à l'aide d'une clé gérée par le client
Note
Si la KMS clé ou l'emplacement Amazon S3 ne se trouvent pas dans le même AWS compte que le catalogue de données, suivez Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes plutôt les instructions indiquées.
-
Ouvrez la AWS KMS console à l'https://console---aws.amazon.com.rproxy.goskope.comadresse /kms
et connectez-vous en tant qu'utilisateur administratif AWS Identity and Access Management (IAM) ou en tant qu'utilisateur pouvant modifier la politique de KMS clé utilisée pour chiffrer l'emplacement. -
Dans le volet de navigation, choisissez Clés gérées par le client, puis choisissez le nom de la KMS clé souhaitée.
-
Sur la page des détails KMS clés, choisissez l'onglet Politique clé, puis effectuez l'une des opérations suivantes pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation en tant qu'utilisateur KMS clé :
-
Si la vue par défaut s'affiche (avec les sections Administrateurs clés, Suppression des clés, Utilisateurs clés et Autres AWS comptes), dans la section Utilisateurs clés, ajoutez votre rôle personnalisé ou le rôle lié au service Lake Formation.
AWSServiceRoleForLakeFormationDataAccess
-
Si la politique clé (JSON) s'affiche, modifiez la politique pour ajouter votre rôle personnalisé ou le rôle lié au service Lake Formation
AWSServiceRoleForLakeFormationDataAccess
à l'objet « Autoriser l'utilisation de la clé », comme indiqué dans l'exemple suivant.Note
Si cet objet est manquant, ajoutez-le avec les autorisations indiquées dans l'exemple. L'exemple utilise le rôle lié à un service.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/
. Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur lakeformation:RegisterResource
IAM autorisé. -
Dans le volet de navigation, sous Administration, sélectionnez Data lake locations.
-
Choisissez Register location, puis Browse pour sélectionner un chemin Amazon Simple Storage Service (Amazon S3).
-
(Facultatif, mais fortement recommandé) Choisissez Vérifier les autorisations de localisation pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
-
Pour IAMle rôle, choisissez soit le rôle
AWSServiceRoleForLakeFormationDataAccess
lié au service (par défaut), soit votre rôle personnalisé qui répond aux. Exigences relatives aux rôles utilisés pour enregistrer des sites -
Choisissez Enregistrer l'emplacement.
Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Autorisations de rôle liées à un service pour Lake Formation.
Pour enregistrer une position Amazon S3 chiffrée à l'aide d'un Clé gérée par AWS
Important
Si l'emplacement Amazon S3 ne figure pas dans le même AWS compte que le catalogue de données, suivez Enregistrement d'un emplacement Amazon S3 chiffré sur plusieurs AWS comptes plutôt les instructions indiquées dans le document.
-
Créez un IAM rôle à utiliser pour enregistrer l'emplacement. Assurez-vous qu'il répond aux exigences répertoriées dansExigences relatives aux rôles utilisés pour enregistrer des sites.
-
Ajoutez la politique intégrée suivante au rôle. Il accorde des autorisations sur la clé du rôle. La
Resource
spécification doit indiquer le nom de ressource Amazon (ARN) du Clé gérée par AWS. Vous pouvez les obtenir à ARN partir de la AWS KMS console. Pour obtenir le bon ARN résultat, assurez-vous de vous connecter à la AWS KMS console avec le même AWS compte et la même région Clé gérée par AWS que ceux utilisés pour chiffrer l'emplacement.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "
<Clé gérée par AWS ARN>
" } ] } -
Ouvrez la AWS Lake Formation console à l'adresse https://console.aws.amazon.com/lakeformation/
. Connectez-vous en tant qu'administrateur du lac de données ou en tant qu'utilisateur lakeformation:RegisterResource
IAM autorisé. -
Dans le volet de navigation, sous Administration, sélectionnez Data lake locations.
-
Choisissez Register location, puis Browse pour sélectionner un chemin Amazon S3.
-
(Facultatif, mais fortement recommandé) Choisissez Vérifier les autorisations de localisation pour afficher la liste de toutes les ressources existantes dans l'emplacement Amazon S3 sélectionné ainsi que leurs autorisations.
L'enregistrement de l'emplacement sélectionné peut permettre aux utilisateurs de votre Lake Formation d'accéder aux données déjà présentes à cet emplacement. La consultation de cette liste vous permet de garantir la sécurité des données existantes.
-
Pour IAMle rôle, choisissez le rôle que vous avez créé à l'étape 1.
-
Choisissez Enregistrer l'emplacement.