Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Autorisation des connexions entre Amazon Quick Sight et les magasins de AWS données
<a name="enabling-access"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Pour qu'Amazon Quick Sight puisse accéder à vos AWS ressources, vous devez créer des groupes de sécurité qui autorisent les connexions à partir des plages d'adresses IP utilisées par les serveurs Amazon Quick Sight. Vous devez disposer AWS d'informations d'identification vous permettant d'accéder à ces AWS ressources pour modifier leurs groupes de sécurité.

Suivez les procédures décrites dans les sections suivantes pour activer les connexions Amazon Quick Sight.

**Topics**
+ [Autorisation des connexions entre Amazon Quick Sight et les instances de base de données Amazon RDS](enabling-access-rds.md)
+ [Autorisation des connexions entre Amazon Quick Sight et les clusters Amazon Redshift](enabling-access-redshift.md)
+ [Autorisation des connexions entre Amazon Quick et les instances Amazon EC2](enabling-access-ec2.md)
+ [Autoriser les connexions via AWS Lake Formation](lake-formation.md)
+ [Autoriser les connexions à Amazon Service OpenSearch](opensearch.md)
+ [Autorisation des connexions à Amazon Athena](athena.md)
+ [Intégrations d'accès aux données](data-access-integrations.md)

# Autorisation des connexions entre Amazon Quick Sight et les instances de base de données Amazon RDS
<a name="enabling-access-rds"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Pour qu'Amazon Quick Sight se connecte à une instance de base de données Amazon RDS, vous devez créer un nouveau groupe de sécurité pour cette instance de base de données. Ce groupe de sécurité contient une règle entrante autorisant l'accès à partir de la plage d'adresses IP appropriée pour les serveurs Quick qu'il contient. Région AWS Pour en savoir plus sur l'autorisation des connexions rapides, consultez [Activation manuelle de l'accès à une instance Amazon RDS dans un VPC](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html) ou [Activation manuelle de l'accès à une instance Amazon RDS qui ne se trouve pas](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html) dans un VPC.

Pour en savoir plus sur l'autorisation manuelle des connexions Amazon Quick Sight, consultez [Activation manuelle de l'accès à une instance Amazon RDS dans un VPC](https://docs.aws.amazon.com/quicksight/latest/user/rds-vpc-access.html) ou [Activation manuelle de l'accès à une instance Amazon RDS qui ne se trouve pas dans un](https://docs.aws.amazon.com/quicksight/latest/user/rds-classic-access.html) Amazon VPC.

Pour créer et attribuer un groupe de sécurité pour une instance de base de données Amazon RDS, vous devez disposer d’informations d’identification AWS qui permettent d’accéder à cette instance de base de données.

L'activation de la connexion entre les serveurs Amazon Quick et votre instance n'est qu'une des nombreuses conditions préalables à la création d'un ensemble de données basé sur une source de données AWS de base de données. Pour plus d'informations sur les éléments requis, consultez la section [Création d'un jeu de données à partir d'une base de données](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html).

**Topics**
+ [Activation manuelle de l'accès Amazon Quick Sight à une instance Amazon RDS dans un VPC](#rds-vpc-access)
+ [Activation manuelle de l'accès depuis Amazon Quick Sight à une instance Amazon RDS qui ne se trouve pas dans un VPC](#rds-classic-access)

## Activation manuelle de l'accès Amazon Quick Sight à une instance Amazon RDS dans un VPC
<a name="rds-vpc-access"></a>

Utilisez la procédure suivante pour activer l'accès Amazon Quick Sight à une instance de base de données Amazon RDS dans un VPC. Si votre instance de base de données Amazon RDS se trouve dans un sous-réseau privé (en relation avec Amazon Quick) ou auquel des passerelles Internet sont connectées, consultez [Connexion à un VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html) avec Amazon Quick.

**Pour activer l'accès Amazon Quick Sight à une instance de base de données Amazon RDS dans un VPC**

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)l'adresse.

1. Choisissez **Databases (Bases de données)**, recherchez l’instance de base de données et affichez ses détails. Pour ce faire, cliquez directement sur son nom (un lien hypertexte dans la colonne **DB identifier (Identificateur de base de données)**).

1. Recherchez **Port** et notez la valeur du **Port**. Il peut s’agir d’un nombre ou d’une plage.

1. Recherchez **VPC** et notez la valeur du **VPC**. 

1. Choisissez la valeur du **VPC** pour ouvrir la console VPC. Dans le volet de navigation de la console de gestion Amazon VPC, choisissez **Groupes de sécurité**.

1. Sélectionnez **Create Security Group** (Créer un groupe de sécurité).

1. Sur la page **Create Security Group (Créer un groupe de sécurité)**, entrez les informations du groupe de sécurité comme suit :
   + Sous **Name tag (Balise de nom)** et **Group name (Nom du groupe)**, saisissez **Amazon-QuickSight-access**.
   + Pour **Description**, saisissez **Amazon-QuickSight-access**.
   + Sous **VPC**, choisissez le VPC pour votre instance. Ce VPC est celui dont vous avez noté l’ID de VPC dans le champ **VPC ID**.

1. Choisissez **Créer**. Sur la page de confirmation, notez l’ID du groupe de sécurité dans le champ **Security Group ID**. Choisissez **Close (Fermer)** pour quitter cet écran.

1. Choisissez votre nouveau groupe de sécurité dans la liste, puis choisissez **Inbound Rules (Règles de trafic entrant)** dans la liste d’onglets au-dessous. 

1. Choisissez **Edit rules (Modifier les règles)** pour créer une règle. 

1. Sur la page **Edit inbound rules (Modifier les règles de trafic entrant)**, choisissez **Add rule (Ajouter une règle)** pour créer une règle. 

   Utilisez les valeurs suivantes :
   + Pour **Type**, choisissez **Règle TCP personnalisée**.
   + Pour **Protocol (Protocole)**, choisissez **TCP**.
   + Pour **Plage de ports**, saisissez le numéro de port ou la plage de ports du cluster Amazon RDS. Ce numéro de port (ou cette plage) est celui (ou celle) que vous avez noté(e) précédemment.
   + Pour **Source**, choisissez **Custom (Personnalisée)** dans la liste. À côté du mot « Personnalisé », entrez le bloc d'adresse CIDR correspondant à l' Région AWS endroit où vous comptez utiliser Amazon Quick. 

     Par exemple, pour l’Europe (Irlande), vous devez saisir le bloc d’adresse CIDR d’Europe (Irlande) : `52.210.255.224/27`. Pour plus d'informations sur les plages d'adresses IP prises en charge pour Amazon Quick Régions AWS, consultez [AWS Régions, sites Web, plages d'adresses IP et points de terminaison](https://docs.aws.amazon.com/quicksight/latest/user/regions.html).
**Note**  
Si vous avez activé Amazon Quick à plusieurs reprises Régions AWS, vous pouvez créer des règles entrantes pour chaque point de terminaison Amazon Quick CIDR. Cela permet à Amazon Quick d'avoir accès à l'instance de base de données Amazon RDS depuis n'importe quelle AWS région définie dans les règles de trafic entrant.   
Toute personne utilisant Amazon Quick à plusieurs Régions AWS reprises est traitée comme un seul utilisateur. En d'autres termes, même si vous utilisez Amazon Quick partout Région AWS, votre abonnement Amazon Quick (parfois appelé « compte ») et vos utilisateurs sont internationaux.

1. Dans **Description**, entrez une description utile, par exemple « *Europe (Ireland) QuickSight* ». 

1. Choisissez **Save rules (Enregistrer les règles)** pour enregistrer votre nouvelle règle de trafic entrant. Sélectionnez ensuite **Fermer**.

1. Revenez à la vue détaillée de l’instance de base de données. Revenez à la console Amazon RDS ([https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)) et choisissez **Bases de données**.

1. Choisissez l’identifiant de base de données pour l’instance RDS appropriée. Sélectionnez **Modifier**. Le même écran s’affiche que vous choisissiez cette option dans l’écran des bases de données ou dans l’écran de l’instance de base de données : **Modify DB Instance (Modifier l’instance de base de données)**.

1. Recherchez la section **Network & Security (Réseau et sécurité)** (troisième section en partant du haut). 

   Les groupes de sécurité actuellement affectés sont déjà choisis pour **Security Group (Groupe de sécurité)**. Ne supprimez aucun groupe de sécurité existant à moins d’en être sûr.

   Au lieu de cela, choisissez votre nouveau groupe de sécurité pour l’ajouter aux autres groupes sélectionnés. Si vous avez suivi le nom suggéré précédemment, le nom de ce groupe pourrait être similaire à **Amazon- QuickSight -access**.

1. Faites défiler l’écran jusqu’en bas. Choisissez **Continue (Continuer)**, puis **Modify DB Instance (Modifier l’instance de base de données)**.

1. Choisissez **Apply during the next scheduled maintenance (Appliquer lors de la prochaine maintenance planifiée**) (l’écran donne des précisions).

   Ne choisissez pas **Apply immediately (Appliquer immédiatement)**. Dans le cas contraire, toutes les modifications supplémentaires qui se trouvent dans la file d’attente des modifications en attente seront également appliquées. Certaines de ces modifications peuvent nécessiter un temps d’arrêt. Si vous arrêtez le serveur en dehors de la fenêtre de maintenance, cela peut entraîner un problème pour les utilisateurs de cette instance de base de données. Consultez vos administrateurs système avant d’appliquer des modifications immédiates.

1. Choisissez **Modify DB Instance (Modifier l’instance de base de données)** pour confirmer vos modifications. Attendez ensuite que la fenêtre de maintenance suivante soit terminée.

## Activation manuelle de l'accès depuis Amazon Quick Sight à une instance Amazon RDS qui ne se trouve pas dans un VPC
<a name="rds-classic-access"></a>

Utilisez la procédure suivante pour accéder à une instance de base de données Amazon RDS qui ne se trouve pas dans un VPC. Vous pouvez associer un groupe de sécurité à une instance de base de données en utilisant **Modify** sur la console RDS, l'API `ModifyDBInstance` Amazon RDS ou la `modify-db-instance` AWS CLI commande.

**Note**  
Cette section a été incluse à des fins de rétrocompatibilité.

**Utilisation de la console afin d’accéder à une instance de base de données Amazon RDS qui ne se trouve pas dans un VPC**

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)l'adresse.

1. Choisissez **Databases (Bases de données)**, sélectionnez l’instance de base de données, puis choisissez **Modify (Modifier)**.

1. Choisissez **Security Groups** dans le panneau de navigation.

1. Choisissez **Create DB Security Group**.

1. Saisissez **Amazon-QuickSight-access** pour les valeurs **Name (Nom)** et **Description**, puis choisissez **Create (Créer)**.

1. Le nouveau groupe de sécurité est sélectionné par défaut.

   Sélectionnez l’icône d’informations en regard du groupe de sécurité, comme illustré ci-dessous.

1. Sous **Connection Type (Type de connexion)**, choisissez **CIDR/IP**.

1. Sous **CIDR/IP to Authorize (CIDR/IP à autoriser)**, entrez le bloc d’adresses CIDR approprié. Pour plus d'informations sur les plages d'adresses IP prises en charge pour Amazon Quick Régions AWS, consultez [AWS Régions, sites Web, plages d'adresses IP et points de terminaison](https://docs.aws.amazon.com/quicksight/latest/user/regions.html).

1. Choisissez **Authorize** (Autoriser).

1. Revenez à la page **Instances** de la console de gestion Amazon RDS, choisissez l’instance que vous voulez rendre accessible, choisissez **Actions de l’instance**, puis **Modifier**. 

1. Dans la section **Network & Security**, le ou les groupes de sécurité actuellement affectés sont déjà choisis pour **Security Group**. Appuyez sur CTRL et choisissez **Amazon- QuickSight -access** en plus des autres groupes sélectionnés.

1. Choisissez **Continue**, puis **Modify DB Instance**.

# Autorisation des connexions entre Amazon Quick Sight et les clusters Amazon Redshift
<a name="enabling-access-redshift"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Vous pouvez fournir un accès aux données Amazon Redshift à l’aide de trois méthodes d’authentification : propagation d’identité fiable, rôle d’exécution en tant que IAM ou informations d’identification de base de données Amazon Redshift.

Avec une propagation d'identité fiable, l'identité d'un utilisateur est transmise à Amazon Redshift par le biais d'une authentification unique gérée par IAM Identity Center. L'identité d'un utilisateur qui accède à un tableau de bord dans Amazon Quick Sight est transmise à Amazon Redshift. Dans Amazon Redshift, des autorisations précises sont appliquées aux données avant que celles-ci ne soient présentées à l'utilisateur dans une ressource Amazon Quick. Les auteurs Amazon Quick peuvent également se connecter aux sources de données Amazon Redshift sans saisir de mot de passe ni rôle IAM. Si Amazon Redshift Spectrum est utilisé, toute la gestion des autorisations est centralisée dans Amazon Redshift. La propagation d'identités fiables est prise en charge lorsqu'Amazon Quick et Amazon Redshift utilisent la même instance organisationnelle d'IAM Identity Center. La propagation d’identité approuvée n’est actuellement pas prise en charge pour les fonctionnalités suivantes.
+ SPICE jeux de données
+ SQL personnalisé sur les sources de données
+ Alerts (Alertes)
+ Rapports envoyés par e-mail
+ Amazon Quick Q
+ Exportations au format CSV, Excel et PDF
+ Détection des anomalies

Pour qu'Amazon Quick puisse se connecter à une instance Amazon Redshift, vous devez créer un nouveau groupe de sécurité pour cette instance. Ce groupe de sécurité contient une règle entrante qui autorise l'accès depuis la plage d'adresses IP appropriée pour les serveurs Amazon Quick qu'il contient. Région AWS Pour en savoir plus sur l'autorisation des connexions Amazon Quick, consultez [Activation manuelle de l'accès à un cluster Amazon Redshift dans un](https://docs.aws.amazon.com/quicksight/latest/user/redshift-vpc-access.html) VPC.

L'activation de la connexion entre les serveurs Amazon Quick et votre cluster n'est qu'une des nombreuses conditions préalables à la création d'un ensemble de données basé sur une source de données AWS de base de données. Pour plus d'informations sur les éléments requis, consultez la section [Création d'un jeu de données à partir d'une base de données](https://docs.aws.amazon.com/quicksuite/latest/userguide/create-a-database-data-set.html).

**Topics**
+ [Permettre une propagation d’identité fiable avec Amazon Redshift](#redshift-trusted-identity-propagation)
+ [Activation manuelle de l’accès à un cluster Amazon Redshift dans un VPC](#redshift-vpc-access)
+ [Activation de l’accès à Amazon Redshift Spectrum](#redshift-spectrum-access)

## Permettre une propagation d’identité fiable avec Amazon Redshift
<a name="redshift-trusted-identity-propagation"></a>

La propagation d'identité fiable authentifie l'utilisateur final dans Amazon Redshift lorsqu'il accède aux ressources Amazon Quick qui exploitent une source de données compatible avec la propagation d'identité fiable. Lorsqu'un auteur crée une source de données avec une propagation d'identité fiable, l'identité des consommateurs de la source de données dans Amazon Quick Sight est propagée et connectée. CloudTrail Cela permet aux administrateurs de base de données de gérer de manière centralisée la sécurité des données dans Amazon Redshift et d'appliquer automatiquement toutes les règles de sécurité des données aux consommateurs de données dans Amazon Quick. Avec les autres méthodes d'authentification, les autorisations de données de l'auteur qui a créé la source de données sont appliquées à tous les consommateurs de la source de données. L'auteur de la source de données peut choisir d'appliquer une sécurité supplémentaire au niveau des lignes et des colonnes aux sources de données qu'il crée dans Amazon Quick Sight.

Les sources de données de propagation d’identité fiables ne sont prises en charge que dans les jeux de données Direct Query. Les jeux de données SPICE ne prennent actuellement pas en charge la propagation d’identités fiables.

**Topics**
+ [Conditions préalables](#redshift-trusted-identity-propagation-prerequisites)
+ [Permettre une propagation d'identité fiable dans Amazon Quick Sight](#redshift-trusted-identity-propagation-enable)
+ [Connexion à Amazon Redshift avec propagation d’identité fiable](#redshift-trusted-identity-propagation-connect)

### Conditions préalables
<a name="redshift-trusted-identity-propagation-prerequisites"></a>

Avant de commencer, assurez-vous d’avoir tous les prérequis nécessaires.
+ La propagation d'identité fiable n'est prise en charge que pour les comptes Amazon Quick intégrés à IAM Identity Center. Pour plus d'informations, consultez [Configurer votre compte Amazon Quick avec IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
+ Une application Amazon Redshift intégrée à IAM Identity Center. Le cluster Amazon Redshift que vous utilisez doit appartenir à la même organisation AWS Organizations que le compte Amazon Quick que vous souhaitez utiliser. Le cluster doit également être configuré avec la même instance d'organisation dans IAM Identity Center que celle pour laquelle votre compte Amazon Quick est configuré. Pour plus d’informations sur la configuration d’un cluster Amazon Redshift, consultez [Integrating IAM Identity Center](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-iam-access-control-idp-connect.html).

### Permettre une propagation d'identité fiable dans Amazon Quick Sight
<a name="redshift-trusted-identity-propagation-enable"></a>

Pour configurer Amazon Quick Sight afin de se connecter aux sources de données Amazon Redshift avec une propagation d'identité fiable, configurez les étendues Amazon OAuth Redshift sur votre compte Amazon Quick.

Pour ajouter une portée permettant à Amazon Quick d'autoriser la propagation d'identité vers Amazon Redshift, spécifiez l' Compte AWS ID du compte Amazon Quick et le service avec lequel vous souhaitez autoriser la propagation d'identité, dans ce cas. `'REDSHIFT'`

Spécifiez l'ARN de l'application IAM Identity Center du cluster Amazon Redshift vers lequel vous autorisez Amazon Quick à propager les identités des utilisateurs. Cette information se trouve dans la console Amazon Redshift. Si vous ne spécifiez pas de cibles autorisées pour le champ d'application Amazon Redshift, Amazon Quick autorise les utilisateurs de n'importe quel cluster Amazon Redshift partageant la même instance IAM Identity Center. L'exemple ci-dessous configure Amazon Quick pour qu'il se connecte aux sources de données Amazon Redshift avec une propagation d'identité fiable.

```
aws quicksight update-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX" "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

L'exemple suivant supprime des OAuth étendues d'un compte Amazon Quick.

```
aws quicksight delete-identity-propagation-config --aws-account-id "AWSACCOUNTID" --service "REDSHIFT" --authorized-targets "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXXapl-XXXXXXXXXXXX "arn:aws:sso::XXXXXXXXXXXX:application/ssoins-XXXXXXXXXXXX/apl-XXXXXXXXXXXX"
```

L'exemple suivant répertorie tous les OAuth scopes actuellement présents sur un compte Amazon Quick.

```
aws quicksight list-identity-propagation-configs --aws-account-id "AWSACCOUNTID"
```

### Connexion à Amazon Redshift avec propagation d’identité fiable
<a name="redshift-trusted-identity-propagation-connect"></a>

Suivez la procédure suivante pour vous connecter à la propagation d’identité fiable Amazon Redshift.

**Connexion à Amazon Redshift Servershift avec propagation d’identité fiable**

1. Créez un nouvel ensemble de données dans Amazon Quick. Pour plus d'informations sur la création d'un jeu de données, consultez la section [Création de jeux de données.](https://docs.aws.amazon.com/quicksight/latest/user/creating-data-sets.html)

1. Choisissez Amazon Redshift comme source de données pour le nouveau jeu de données.
**Note**  
Le type d’authentification d’une source de données existante ne peut pas être remplacé par une propagation d’identité sécurisée

1. Choisissez IAM Identity Center comme option d’identité pour la source de données, puis choisissez **Créer une source de données**.

## Activation manuelle de l’accès à un cluster Amazon Redshift dans un VPC
<a name="redshift-vpc-access"></a>


|  | 
| --- |
|  S’applique à : édition Enterprise  | 

Utilisez la procédure suivante pour activer l'accès d'Amazon Quick Sight à un cluster Amazon Redshift dans un VPC.

**Pour activer l'accès d'Amazon Quick Sight à un cluster Amazon Redshift dans un VPC**

1. Connectez-vous à la console Amazon Redshift AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/redshiftv2/](https://console.aws.amazon.com/redshiftv2/)

1. Accédez au cluster que vous souhaitez mettre à disposition dans Amazon Quick.

1. Localisez **Port** dans la section **Cluster Properties (Propriétés du cluster)**. Notez la valeur de **Port**. 

1. Localisez **VPC ID (ID de VPC)** dans la section **Cluster Properties (Propriétés du cluster)** et notez la valeur **VPC ID**. Choisissez **l’ID du VPC** pour ouvrir la console Amazon VPC.

1. Dans la console Amazon VPC, choisissez **Groupes de sécurité** dans le panneau de navigation. 

1. Sélectionnez **Create Security Group** (Créer un groupe de sécurité).

1. Sur la page **Create Security Group (Créer un groupe de sécurité)**, entrez les informations du groupe de sécurité comme suit :
   + Sous **Security group name (Nom du groupe de sécurité)**, saisissez **redshift-security-group**.
   + Pour **Description**, saisissez **redshift-security-group**.
   + Pour **VPC**, choisissez l’Amazon VPC pour votre cluster Amazon Redshift. Il s’agit du VPC dont vous avez noté l’ID de VPC.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

   Votre nouveau groupe de sécurité doit figurer sur l’écran.

1. Créez un groupe de sécurité avec les informations suivante.
   + Sous **Security group name (Nom du groupe de sécurité)**, saisissez **quicksight-security-group**.
   + Pour **Description**, saisissez **quicksight-security-group**.
   + Pour **VPC**, choisissez l’Amazon VPC pour votre cluster Amazon Redshift. Il s’agit du VPC dont vous avez noté l’ID de VPC.

1. Sélectionnez **Create security group** (Créer un groupe de sécurité).

1. Après avoir créé les nouveaux groupes de sécurité, créez des règles entrantes pour les nouveaux groupes.

   Choisissez le nouveau groupe de sécurité `redshift-security-group` et entrez les valeurs suivantes.
   + Pour **Type**, choisissez **Amazon Redshift**.
   + Pour **Protocol (Protocole)**, choisissez **TCP**.
   + Pour **Plage de ports**, saisissez le numéro de port du cluster Amazon Redshift auquel vous donnez accès. Il s’agit du numéro de port que vous avez noté à une étape antérieure.
   + Pour **Source**, entrez l’ID du groupe de sécurité de `quicksight-security-group`.

1. Choisissez **Save rules (Enregistrer les règles)** pour enregistrer votre nouvelle règle de trafic entrant.

1. Répétez l’étape précédente pour `quicksight-security-group` et saisissez les valeurs suivantes.
   + Pour **Type**, sélectionnez **All traffic** (Tout le trafic).
   + Pour **Protocole**, choisissez **All (Tout)**.
   + Pour **Plage de ports**, choisissez **All (Tout)**.
   + Pour **Source**, entrez l’ID du groupe de sécurité de `redshift-security-group`.

1. Choisissez **Save rules (Enregistrer les règles)** pour enregistrer votre nouvelle règle de trafic entrant.

1. Dans Amazon Quick, accédez au menu **Gérer Amazon Quick**.

1. Choisissez **Manage VPC connections (Gérer les connexions VPC)**, puis **Add VPC connection (Ajouter une connexion VPC)**.

1. Configurez la nouvelle connexion VPC avec les valeurs suivantes.
   + Pour le **VPC connection name (nom de connexion VPC)**, choisissez un nom significatif pour la connexion VPC.
   + Pour l’**ID VPC**, choisissez le VPC dans lequel se trouve le cluster Amazon Redshift.
   + Dans le **Subnet ID (ID sous-réseau)**, choisissez le sous-réseau de la zone de disponibilité (AZ) utilisé pour Amazon Redshift.
   + Pour l’**identifiant du groupe de sécurité**, copiez-collez l’identifiant du groupe de sécurité pour`quicksight-security-group`.

1. Choisissez **Créer**. La génération du nouveau VPC peut prendre plusieurs minutes.

1. Dans la console Amazon Redshift, accédez au cluster Amazon Redshift configuré pour `redshift-security-group`. Choisissez **Propriétés**. Sous **Network and security settings (Paramètres réseau et de sécurité)**, entrez le nom du groupe de sécurité.

1. Dans Amazon Quick, choisissez **Ensembles de données**, puis sélectionnez **Nouvel ensemble de données**. Créez un nouveau jeu de données avec les valeurs suivantes.
   + Pour **Data source (Source de données)**, choisissez **Amazon Redshift Auto-discovered**.
   + Donnez un nom significatif à la source de données.
   + L'ID d'instance doit être renseigné automatiquement avec la connexion VPC que vous avez créée dans Amazon Quick. Si l’ID d’instance ne se remplit pas automatiquement, choisissez le VPC que vous avez créé dans la liste déroulante.
   + Entrez les informations d’identification de la base de données. Si votre compte Amazon Quick utilise une propagation d'identité fiable, choisissez **Single Sign-on**.

1. Validez la connexion, puis choisissez **Create data source (Créer une source de données)**.

Si vous souhaitez restreindre davantage les règles sortantes par défaut, mettez à jour la règle sortante de `quicksight-security-group` pour autoriser uniquement le trafic Amazon Redshift à `redshift-security-group`. Vous pouvez également supprimer la règle sortante qui se trouve dans le `redshift-security-group`.

## Activation de l’accès à Amazon Redshift Spectrum
<a name="redshift-spectrum-access"></a>

À l'aide d'Amazon Redshift Spectrum, vous pouvez connecter Amazon Quick à un catalogue externe avec Amazon Redshift. Par exemple, vous pouvez accéder au catalogue Amazon Athena. Vous pouvez alors interroger les données non structurées de votre lac de données Amazon S3 en utilisant un cluster Amazon Redshift au lieu du moteur de requête Athena. 

Vous pouvez également combiner des jeux de données qui incluent des données stockées dans Amazon Redshift et dans S3. Vous pouvez ensuite y accéder en utilisant la syntaxe SQL dans Amazon Redshift. 

Après avoir enregistré votre catalogue de données (pour Athena) ou votre schéma externe (pour un [métastore Hive](https://aws.amazon.com/blogs/big-data/migrate-external-table-definitions-from-a-hive-metastore-to-amazon-athena/)), vous pouvez utiliser Amazon Quick pour choisir le schéma externe et les tables Amazon Redshift Spectrum. Ce processus fonctionne comme avec n’importe quelle autre table Amazon Redshift de votre cluster. Vous n’avez pas besoin de charger ou de transformer vos données. 

Pour plus d’informations sur l’utilisation d’Amazon Redshift Spectrum, consultez la rubrique [Utilisation d’Amazon Redshift Spectrum pour interroger des données externes](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) dans le *Guide du développeur de base de données Amazon Redshift.*

Pour vous connecter à l’aide de Redshift Spectrum, procédez comme suit :
+ Créez ou identifiez un rôle IAM associé au cluster Amazon Redshift.
+ Ajouter les stratégies IAM `AmazonS3ReadOnlyAccess` et `AmazonAthenaFullAccess` au rôle IAM.
+ Inscrire un schéma externe ou un catalogue de données pour les tables que vous prévoyez d’utiliser.

Redshift Spectrum vous permet d’établir une séparation entre le stockage et le calcul, si bien que vous pouvez les mettre à l’échelle séparément. Vous payez uniquement pour les requêtes que vous exécutez.

Pour vous connecter aux tables Redshift Spectrum, vous n'avez pas besoin d'autoriser Amazon Quick à accéder à Amazon S3 ou Athena. Amazon Quick a uniquement besoin d'accéder au cluster Amazon Redshift. Pour plus de détails sur la configuration de Redshift Spectrum, consultez la rubrique [Premiers pas avec Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-getting-started-using-spectrum.html) dans le *Guide du développeur de base de données Amazon Redshift.*

# Autorisation des connexions entre Amazon Quick et les instances Amazon EC2
<a name="enabling-access-ec2"></a>


|  | 
| --- |
|    S’applique à : édition Enterprise et édition Standard  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Pour qu'Amazon Quick Sight se connecte à une instance Amazon EC2, vous devez créer un nouveau groupe de sécurité pour cette instance. Ce groupe de sécurité contient une règle entrante autorisant l'accès à partir de la plage d'adresses IP appropriée pour les serveurs Quick qu'il contient. Région AWS

Pour modifier les groupes de sécurité pour ces instances Amazon EC2, vous devez disposer d’informations d’identification AWS vous permettant d’accéder aux instances.

L'activation de la connexion entre les serveurs Quick et votre instance n'est qu'une des nombreuses conditions préalables à la création d'un ensemble de données basé sur une source de données AWS de base de données. Pour plus d'informations sur les éléments requis, consultez la section [Création d'un jeu de données à partir d'une base de données](https://docs.aws.amazon.com/quicksight/latest/user/create-a-database-data-set.html).

**Pour activer l'accès rapide d'Amazon à une instance Amazon EC2**

1. Connectez-vous à la console Amazon EC2 AWS Management Console et ouvrez-la à l'adresse. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Si votre instance EC2 se trouve dans un VPC, sélectionnez-la pour afficher le volet des détails de l’instance. Recherchez et notez son ID de VPC en vue d’une utilisation ultérieure.

1. Choisissez **Security Groups (Groupes de sécurité)** dans la section **NETWORK & SECURITY (Réseaux et sécurité)** du volet de navigation de gauche. Ensuite, choisissez **Create Security Group (Créer un groupe de sécurité)**, comme indiqué ci-dessous.

1. Entrez les informations relatives au groupe de sécurité comme suit :
   + Sous **Security group name (Nom du groupe de sécurité)**, saisissez **Amazon-QuickSight-access**.
   + Pour **Description**, saisissez **Amazon-QuickSight-access**.
   + Pour **VPC**, choisissez l’ID de VPC que vous avez noté à l’étape 2 si votre instance Amazon EC2 se trouve dans un VPC. Sinon, choisissez **No VPC**.

1. Choisissez **Add Rule** dans l’onglet **Inbound**.

1. Créez une règle avec les valeurs suivantes :
   + Pour **Type**, choisissez **Règle TCP personnalisée**.
   + Pour **Protocol (Protocole)**, choisissez **TCP**.
   + (Facultatif) Pour **Plage de ports**, saisissez le numéro de port utilisé par l’instance sur cette instance Amazon EC2 à laquelle vous donnez accès.
   + Pour **Source**, entrez le bloc d'adresse CIDR correspondant à l' Région AWS endroit où vous prévoyez d'utiliser Amazon Quick. Par exemple, voici le bloc d’adresses CIDR pour Europe (Irlande) : `52.210.255.224/27`. Pour plus d'informations sur les plages d'adresses IP d'Amazon Quick dans AWS les régions prises en charge, consultez [AWS Régions, sites Web, plages d'adresses IP et points de terminaison](https://docs.aws.amazon.com/quicksight/latest/user/regions.html).
**Note**  
Si vous avez activé Amazon Quick à plusieurs reprises Régions AWS, vous pouvez créer des règles entrantes pour chaque point de terminaison Amazon Quick CIDR. Cela permet à Amazon Quick d'avoir accès à l'instance de base de données Amazon RDS à partir de n'importe quelle instance Région AWS définie dans les règles entrantes.   
Un utilisateur ou un administrateur Amazon Quick qui utilise Amazon Quick dans plusieurs AWS régions est traité comme un seul utilisateur. En d'autres termes, même si vous utilisez Amazon Quick partout Région AWS, votre compte Amazon Quick et vos utilisateurs sont internationaux.

1. Choisissez **Créer**.

1. Choisissez **Instances** dans la section **INSTANCES** du volet de navigation, puis choisissez l’instance que vous voulez rendre accessible.

1. Choisissez **Actions**, **Networking (Mise en réseau)**, puis **Change Security Groups (Modifier les groupes de sécurité)**. 

1. Dans **Change Security Groups**, choisissez le groupe de sécurité **Amazon- QuickSight -access**. 

   Choisissez ensuite **Assign Security Groups (Attribuer les groupes de sécurité)**, comme indiqué ci-dessous.

# Autoriser les connexions via AWS Lake Formation
<a name="lake-formation"></a>


|  | 
| --- |
|  S’applique à : édition Enterprise  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Si vous interrogez des données avec Amazon Athena, vous pouvez utiliser Amazon Quick Sight AWS Lake Formation pour simplifier la façon dont vous sécurisez et vous connectez à vos données. Lake Formation complète le modèle d'autorisations Gestion des identités et des accès AWS (IAM) en fournissant son propre modèle d'autorisations qui est appliqué aux services d' AWS analyse et d'apprentissage automatique. Ce modèle d’autorisations défini de manière centralisée contrôle l’accès aux données à un niveau granulaire par le biais d’un mécanisme simple d’octroi et de révocation. Vous avez la possibilité d’utiliser Lake Formation à la place ou en complément de l’utilisation de politiques délimitées à IAM.

Lorsque vous configurez Lake Formation, vous enregistrez vos sources de données pour lui permettre de déplacer les données vers un nouveau lac de données dans Amazon S3. Lake Formation et Athena fonctionnent parfaitement avec AWS Glue Data Catalog, ce qui permet de les utiliser ensemble en toute simplicité. Les bases de données et les tables Athena sont des conteneurs de métadonnées. Ces conteneurs décrivent le schéma sous-jacent des données, les instructions du langage de définition des données (DDL) et l’emplacement des données dans Amazon S3. 

Le schéma suivant montre les relations entre les AWS services concernés. 

![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/quick/latest/userguide/images/lake-formation-architecture-drawing-1.png)


Une fois Lake Formation configuré, vous pouvez utiliser Amazon Quick pour accéder aux bases de données et aux tables par leur nom ou par le biais de requêtes SQL. Amazon Quick fournit un éditeur complet dans lequel vous pouvez écrire des requêtes SQL. Vous pouvez également utiliser la console Athena, l' AWS CLIéditeur de requêtes ou votre éditeur de requêtes préféré. Pour plus d’informations, consultez la rubrique [Accès à Athena](https://docs.aws.amazon.com/athena/latest/ug/accessing-ate.html) dans le *Guide de l’utilisateur Amazon Athena.* 

Utilisez les rubriques ci-dessous pour configurer une connexion Lake Formation via Lake Formation ou Amazon Quick.

**Topics**
+ [Activation de la connexion à partir de Lake Formation](#lake-formation-lf-steps)
+ [Activation de la connexion depuis Amazon Quick](#lake-formation-qs-steps)

## Activation de la connexion à partir de Lake Formation
<a name="lake-formation-lf-steps"></a>

Avant de commencer à utiliser cette solution avec Quick, assurez-vous que vous pouvez accéder à vos données à l'aide d'Athena with Lake Formation. Après avoir vérifié que la connexion fonctionne via Athena, vous devez uniquement vérifier qu'Amazon Quick peut se connecter à Athena. Cela signifie que vous n’avez pas à résoudre les problèmes de connexion entre les trois produits en même temps. Un moyen simple de tester la connexion consiste à utiliser la [console de requête Athena](https://console.aws.amazon.com/athena/) pour exécuter une simple commande SQL, par exemple `SELECT 1 FROM table`.

Pour configurer Lake Formation, la personne ou l’équipe qui y travaille doit avoir accès pour créer un nouveau rôle IAM et accéder à Lake Formation. Elle a également besoin des informations affichées dans la liste ci-dessous. Pour plus d’informations, consultez la rubrique [Configuration de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html) dans le *Guide du développeur AWS Lake Formation .*
+ Collectez les noms des ressources Amazon (ARNs) des utilisateurs et des groupes de Quick qui ont besoin d'accéder aux données de Lake Formation. Ces utilisateurs doivent être des auteurs ou des administrateurs d'Amazon Quick.

**Pour trouver un utilisateur et un groupe Amazon Quick ARNs**

  1. Utilisez le AWS CLI pour rechercher un utilisateur ARNs pour les auteurs et les administrateurs Amazon Quick. Pour ce faire, exécutez la commande `list-users` suivante sur votre terminal (Linux ou Mac) ou dans l’invite de commande (Windows).

     ```
     aws quicksight list-users --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     La réponse renvoie des informations pour chaque utilisateur. Dans l’exemple ci-dessous, l’Amazon Resource Name (ARN) est indiqué en gras. 

     ```
     RequestId: a27a4cef-4716-48c8-8d34-7d3196e76468
     Status: 200
     UserList:
     - Active: true
       Arn: arn:aws:quicksight:us-east-1:111122223333:user/default/SaanviSarkar
       Email: SaanviSarkar@example.com
       PrincipalId: federated/iam/AIDAJVCZOVSR3DESMJ7TA
       Role: ADMIN
       UserName: SaanviSarkar
     ```

     Pour éviter d'utiliser le AWS CLI, vous pouvez créer le ARNs pour chaque utilisateur manuellement.

  1. (Facultatif) Utilisez le AWS CLI ARNs pour rechercher des groupes Amazon Quick en exécutant la `list-group` commande suivante sur votre terminal (Linux ou Mac) ou sur votre invite de commande (Windows).

     ```
     aws quicksight list-groups --aws-account-id 111122223333 --namespace default --region us-east-1
     ```

     La réponse renvoie des informations pour chaque groupe. Dans l’exemple ci-dessous, l’ARN est indiqué en gras. 

     ```
     GroupList:
     - Arn: arn:aws:quicksight:us-east-1:111122223333:group/default/DataLake-Scorecard
       Description: Data Lake for CXO Balanced Scorecard
       GroupName: DataLake-Scorecard
       PrincipalId: group/d-90671c9c12/6f9083c2-8400-4389-8477-97ef05e3f7db
     RequestId: c1000198-18fa-4277-a1e2-02163288caf6
     Status: 200
     ```

     Si vous n'avez aucun groupe Amazon Quick, ajoutez-en un en utilisant AWS CLI pour exécuter la `create-group` commande. Il n'existe actuellement aucune option permettant de le faire depuis la console Amazon Quick. Pour plus d'informations, consultez [Création et gestion de groupes dans Amazon Quick](https://docs.aws.amazon.com/quicksight/latest/user/creating-quicksight-groups.html).

     Pour éviter d'utiliser le AWS CLI, vous pouvez créer le ARNs pour chaque groupe manuellement.

## Activation de la connexion depuis Amazon Quick
<a name="lake-formation-qs-steps"></a>

Pour travailler avec Lake Formation et Athena, assurez-vous que les autorisations relatives aux AWS ressources sont configurées dans Amazon Quick :
+ Activez l’accès à Amazon Athena.
+ Activez l’accès aux compartiments appropriés dans Amazon S3. Généralement, l’accès à S3 est activé lorsque vous activez Athena. Toutefois, comme vous avez la possibilité de modifier les autorisations S3 en dehors de ce processus, il est conseillé de les vérifier séparément.

Pour plus d'informations sur la façon de vérifier ou de modifier les autorisations AWS des ressources dans Quick, voir [Autoriser la découverte automatique des AWS ressources](https://docs.aws.amazon.com/quicksight/latest/user/autodiscover-aws-data-sources.html) et [Accès aux sources de données](https://docs.aws.amazon.com/quicksight/latest/user/access-to-aws-resources.html). 

# Autoriser les connexions à Amazon Service OpenSearch
<a name="opensearch"></a>


|  | 
| --- |
|  S’applique à : édition Enterprise  | 


|  | 
| --- |
|    Public cible : administrateurs système  | 

Avant de pouvoir l'utiliser OpenSearch dans un ensemble de données Amazon Quick Sight, l'administrateur Quick doit effectuer quelques tâches avec la coopération d'une personne ayant accès à la OpenSearch console. 

Pour commencer, identifiez chaque OpenSearch domaine auquel vous souhaitez vous connecter. Rassemblez ensuite les informations suivantes pour chaque domaine :
+ Le nom du OpenSearch domaine.
+  OpenSearch Version utilisée par ce domaine.
+ Le nom de ressource Amazon (ARN) du OpenSearch domaine.
+ Point de terminaison HTTPS. 
+ L'URL OpenSearch des tableaux de bord, si vous utilisez des tableaux de bord. Vous avez la possibilité d’extrapoler l’URL des tableaux de bord en ajoutant « `/dashboards/` » à un point de terminaison.
+ Si le domaine possède un point de terminaison VPC, collectez toutes les informations associées dans l'onglet VPC de la console de service : OpenSearch 
  + L’ID de VPC
  + Les groupes de sécurité VPC
  + Le ou les rôles IAM associés
  + Les zones de disponibilité associées
  + Les sous-réseaux associés
+ Si le domaine possède un point de terminaison normal (et non un point de terminaison de VPC), notez qu’il utilise le réseau public.
+ Heure de début de l’instantané automatique quotidien (si vos utilisateurs veulent le savoir).

Avant de poursuivre, l'administrateur Amazon Quick active les connexions autorisées entre Amazon Quick et OpenSearch Service. Ce processus est obligatoire pour chaque AWS service auquel vous vous connectez depuis Amazon Quick. Vous ne devez effectuer cette opération qu'une seule fois Compte AWS pour chaque AWS service que vous utilisez comme source de données. 

Pour le OpenSearch service, le processus d'autorisation ajoute la politique AWS gérée `AWSQuickSightOpenSearchPolicy` à votre Compte AWS. 

**Important**  
Assurez-vous que la politique IAM de votre OpenSearch domaine n'entre pas en conflit avec les autorisations de`AWSQuickSightOpenSearchPolicy`. Vous trouverez la politique d'accès au domaine dans la console OpenSearch de service. Pour plus d'informations, consultez [la section Configuration des politiques d'accès](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-creating) dans le manuel *Amazon OpenSearch Service Developer Guide*.

**Pour activer ou désactiver les connexions depuis Amazon Quick to OpenSearch Service**

1. Dans Amazon Quick, choisissez **Administrator** et **Manage Amazon Quick**.

1. Choisissez **Sécurité et autorisations**, **Ajouter ou supprimer**.

1. Pour activer les connexions, cochez la case **Amazon OpenSearch Service**.

   Pour désactiver les connexions, décochez la case **Amazon OpenSearch Service**.

1. Choisissez **Mettre à jour** pour confirmer vos choix.

Si nécessaire, utilisez les rubriques ci-dessous pour configurer une connexion OpenSearch VPC et les autorisations d'accès à Amazon Quick. OpenSearch

**Topics**
+ [Utilisation d’une connexion VPC](#opensearch-and-vpc-connection)
+ [Utilisation des OpenSearch autorisations](#opensearch-permissions)

## Utilisation d’une connexion VPC
<a name="opensearch-and-vpc-connection"></a>

Dans certains cas, votre OpenSearch domaine se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC. Dans ce cas, assurez-vous de déterminer si Amazon Quick est déjà connecté à l'ID VPC utilisé par le OpenSearch domaine. Vous pouvez réutiliser une connexion VPC existante. Si vous n’êtes pas sûr de son fonctionnement, vous pouvez la tester. Pour plus d'informations, consultez [Tester la connexion à votre source de données Amazon VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-creating-a-quicksight-data-source-profile.html).

Si aucune connexion n'est déjà définie dans Amazon Quick pour le VPC que vous souhaitez utiliser, vous pouvez en créer une. Cette tâche est un processus en plusieurs étapes que vous devez réaliser avant de poursuivre. Pour savoir comment ajouter Amazon Quick à un VPC et ajouter une connexion d'Amazon Quick au VPC, consultez Connexion à un Amazon VPC avec [Amazon](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html) Quick.

## Utilisation des OpenSearch autorisations
<a name="opensearch-permissions"></a>

Après avoir configuré Amazon Quick pour vous connecter au OpenSearch service, vous devrez peut-être activer les autorisations dans OpenSearch. Pour cette partie du processus de configuration, vous pouvez utiliser le lien OpenSearch Tableaux de bord pour chaque OpenSearch domaine. Utilisez la liste suivante pour déterminer les autorisations dont vous avez besoin :

1. Pour les domaines qui utilisent un contrôle précis des accès, configurez les autorisations sous la forme d’un rôle. Ce processus est similaire à l'utilisation de politiques délimitées dans Amazon Quick.

1. Pour chaque domaine pour lequel vous créez un rôle, ajoutez un mappage de rôle. 

Pour plus d’informations, regardez ci-après.

Si le [contrôle d'accès détaillé est activé](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/fgac.html) sur votre OpenSearch domaine, certaines autorisations doivent être configurées afin que le domaine soit accessible depuis Amazon Quick. Effectuez ces étapes pour chaque domaine que vous souhaitez utiliser. 

La procédure suivante utilise les OpenSearch tableaux de bord, un outil open source qui fonctionne avec. OpenSearch Vous trouverez le lien vers les tableaux de bord sur le tableau de bord du domaine sur la console OpenSearch de service. 

**Pour ajouter des autorisations à un domaine afin d'autoriser l'accès depuis Amazon Quick**

1. Ouvrez OpenSearch les tableaux de bord pour le OpenSearch domaine avec lequel vous souhaitez travailler. L’URL est `opensearch-domain-endpoint/dashboards/`. 

1. Dans le volet de navigation, choisissez **Sécurité**.

   Si vous ne voyez pas le volet de navigation, ouvrez-le à l’aide de l’icône de menu en haut à gauche. Pour que le menu reste ouvert, choisissez **Navigation Dock** en bas à gauche. 

1. Choisissez **Roles (Rôles)**, **Create role (Créer un rôle)**.

1. Nommez le rôle **quicksight\$1role**. 

   Vous pouvez choisir un autre nom, mais nous recommandons celui-ci parce que nous l’utilisons dans notre documentation et il est donc plus facile à prendre en charge.

1. Sous **Autorisations du cluster**, ajoutez les autorisations suivantes :
   + `cluster:monitor/main`
   + `cluster:monitor/health`
   + `cluster:monitor/state`
   + `indices:data/read/scroll`
   + `indices:data/read/scroll/clear`,

1. Sous **Autorisations d’index**, spécifiez **\$1** comme modèle d’index.

1. Pour les **Autorisations d’index**, ajoutez les autorisations suivantes :
   + `indices:admin/get`
   + `indices:admin/mappings/get`
   + `indices:admin/mappings/fields/get*`
   + `indices:data/read/search*`
   + `indices:monitor/settings/get`

1. Choisissez **Créer**.

1. Répétez cette procédure pour chaque OpenSearch domaine que vous prévoyez d'utiliser.

Utilisez la procédure suivante pour ajouter un mappage de rôle pour les autorisations que vous avez ajoutées dans la procédure précédente. Il peut s’avérer plus efficace d’ajouter les autorisations et le mappage de rôle dans le cadre d’un processus unique. Ces instructions sont séparées pour des raisons de clarté.

**Création d’un mappage de rôle pour le rôle IAM que vous avez ajouté**

1. Ouvrez OpenSearch les tableaux de bord pour le OpenSearch domaine avec lequel vous souhaitez travailler. L’URL est `opensearch-domain-endpoint/dashboards/`. 

1. Dans le volet de navigation, choisissez **Sécurité**.

1. Recherchez et ouvrez **quicksight\$1role** dans la liste.

1. Dans l’onglet **Utilisateurs mappés**, sélectionnez **Gestion du mappage**.

1. Dans la **section Rôles principaux**, entrez l'ARN du rôle IAM AWS géré pour Amazon Quick. Voici un exemple.

   ```
   arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
   ```

1. Choisissez **Mappage**.

1. Répétez cette procédure pour chaque OpenSearch domaine que vous souhaitez utiliser.

# Autorisation des connexions à Amazon Athena
<a name="athena"></a>

Si vous devez utiliser Amazon Quick Sight with Amazon Athena ou Amazon Athena Federated Query, vous devez d'abord autoriser les connexions à Athena et aux compartiments associés dans Amazon Simple Storage Service (Amazon S3). Amazon Athena est un service de requête interactif qui facilite l’analyse des données dans Amazon S3 à l’aide du langage SQL standard. Athena Federated Query permet d'accéder à davantage de types de données en utilisant. AWS LambdaÀ l'aide d'une connexion entre Quick et Athena, vous pouvez écrire des requêtes SQL pour interroger des données stockées dans des sources de données relationnelles, non relationnelles, d'objets et personnalisées. Pour plus d’informations, consultez la rubrique [Utilisation de la requête fédérée Athena](https://docs.aws.amazon.com/athena/latest/ug/connect-to-a-data-source.html) dans le Guide de l’utilisateur Amazon Athena. 

Prenez en compte les points suivants lors de la configuration de l'accès à Athena depuis Quick :
+ Athena stocke les résultats des requêtes d'Amazon Quick Sight dans un bucket. Par défaut, ce compartiment possède un nom similaire à `aws-athena-query-results-AWSREGION-AWSACCOUNTID`, par exemple `aws-athena-query-results-us-east-2-111111111111`. Il est donc important de s'assurer qu'Amazon Quick Sight dispose des autorisations nécessaires pour accéder au bucket qu'Athena utilise actuellement.
+ Si votre fichier de données est chiffré à l'aide d'une AWS KMS clé, autorisez le rôle Amazon Quick Sight IAM à déchiffrer la clé. Pour ce faire, le moyen le plus simple est d’utiliser l’ AWS CLI. 

   AWS CLI Pour ce faire, vous pouvez exécuter l'opération d'API KMS [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) dans. 

  ```
  aws kms create-grant --key-id <KMS_KEY_ARN> /
  --grantee-principal <QS_ROLE_ARN> --operations Decrypt
  ```

  Le nom de ressource Amazon (ARN) pour le rôle Amazon Quick est au format `arn:aws:iam::<account id>:role/service-role/aws-quicksight-s3-consumers-role-v<version number>` et est accessible depuis la console IAM. Pour trouver l’ARN de votre clé KMS, utilisez la console S3. Accédez au compartiment qui contient votre fichier de données et choisissez l’onglet **Overview (Présentation)**. La clé est située en regard de **KMS key ID (ID de clé KMS)**.
+ Pour les connexions Amazon Athena, Amazon S3 et Athena Query Federation, Amazon Quick utilise le rôle IAM suivant par défaut : 

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-s3-consumers-role-v0
  ```

  Si ce n'`aws-quicksight-s3-consumers-role-v0`est pas le cas, Amazon Quick utilise :

  ```
  arn:aws:iam::AWS-ACCOUNT-ID:role/service-role/aws-quicksight-service-role-v0
  ```
+ Si vous avez attribué des politiques délimitées à vos utilisateurs, vérifiez qu’elles contiennent l’autorisation `lambda:InvokeFunction`. Sans cette autorisation, vos utilisateurs ne peuvent pas accéder aux requêtes fédérées Athena. Pour plus d'informations sur l'attribution de politiques IAM à vos utilisateurs dans Amazon Quick, consultez [Configuration d'un accès granulaire aux AWS services](https://docs.aws.amazon.com/quicksight/latest/user/scoping-policies-iam-interface.html) via IAM. Pour plus d'informations sur l'InvokeFunctionautorisation lambda :, consultez la section [Actions, ressources et clés de condition AWS Lambda dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awslambda.html) de l'*utilisateur IAM*.

**Pour autoriser Amazon Quick à se connecter à Athena ou aux sources de données fédérées Athena**

1. (Facultatif) Si vous utilisez AWS Lake Formation Athena, vous devez également activer Lake Formation. Pour plus d'informations, consultez la section [Autorisation des connexions via AWS Lake Formation](https://docs.aws.amazon.com/quicksight/latest/user/lake-formation.html). 

1. Ouvrez le menu de votre profil en haut à droite et choisissez **Gérer QuickSight**. Pour cela, vous devez être un administrateur Amazon Quick. Si l'option **Gérer** n'apparaît pas dans QuickSight le menu du profil, cela signifie que vous ne disposez pas des autorisations suffisantes. 

1. Choisissez **Sécurité et autorisations**, **Ajouter ou supprimer**. 

1. Choisissez la case à côté d’Amazon Athena, puis cliquez sur **Suivant**. 

   Si elle était déjà activée, vous devrez peut-être double-cliquer dessus. Faites cela même si Amazon Athena est déjà activé, afin de pouvoir consulter les paramètres. Aucune modification n’est enregistrée tant que vous n’avez pas sélectionné **Mettre à jour** à la fin de cette procédure.

1.  Activez les compartiments S3 auxquels vous souhaitez accéder.

1. (Facultatif) Pour activer les requêtes fédérées Athena, sélectionnez les fonctions Lambda que vous souhaitez utiliser. 
**Note**  
Vous ne pouvez voir les fonctions Lambda pour les catalogues Athena que dans la même région d'Amazon Quick.

1. Pour confirmer vos modifications, choisissez **Terminer**.

   Pour annuler, choisissez **Cancel (Annuler)**.

1. Pour enregistrer les modifications apportées à la sécurité et aux autorisations, choisissez **Mettre à jour**.

**Test des paramètres d’autorisation de connexion**

1. Sur la page de démarrage rapide d'Amazon, sélectionnez **Ensembles de données**, **Nouveau jeu de données**.

1. Choisissez la carte Athena.

1. Suivez les invites de l’écran pour créer une nouvelle source de données Athena en utilisant les ressources auxquelles vous devez vous connecter. Choisissez **Valider la connexion** pour tester la connexion.

1. Si la connexion est validée, cela signifie que vous avez réussi à configurer une connexion Athena ou une connexion de requête fédérée Athena.

   Si vous ne disposez pas des autorisations suffisantes pour vous connecter à un jeu de données Athena ou exécuter une requête Athena, un message d'erreur s'affiche vous demandant de contacter un administrateur Amazon Quick. Cette erreur signifie que vous devez revérifier vos paramètres d'autorisation de connexion pour détecter la différence. 

1. Une fois la connexion établie, vous ou vos auteurs Amazon Quick pouvez créer des connexions aux sources de données et les partager avec d'autres auteurs Amazon Quick. Les auteurs peuvent ensuite créer plusieurs ensembles de données à partir des connexions, à utiliser dans les tableaux de bord Amazon Quick.

   Pour obtenir des informations sur la résolution des problèmes liés à Athena, consultez la section [Problèmes de connectivité lors de l'utilisation d'Athena avec](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-athena.html) Amazon Quick.

## Utilisation d’une propagation d’identité fiable avec Athena
<a name="athena-trusted-identity-propagation"></a>

La propagation fiable des identités permet aux AWS services d'accéder aux AWS ressources en fonction du contexte d'identité de l'utilisateur et de partager en toute sécurité l'identité de cet utilisateur avec d'autres AWS services. Ces fonctionnalités permettent de définir, d’accorder et de consigner plus facilement l’accès des utilisateurs.

Lorsque les administrateurs configurent Quick, Athena, Amazon S3 Access Grants et AWS Lake Formation avec IAM Identity Center, ils peuvent désormais activer la propagation fiable de l'identité entre ces services et autoriser la propagation de l'identité de l'utilisateur entre les services. Lorsqu'un utilisateur de l'IAM Identity Center accède aux données depuis Quick, Athena ou Lake Formation peuvent prendre des décisions d'autorisation en utilisant les autorisations définies pour leur appartenance à un utilisateur ou à un groupe par le fournisseur d'identité de l'organisation.

La propagation fiable des identités avec Athena ne fonctionne que lorsque les autorisations sont gérées via Lake Formation. Les autorisations des utilisateurs sur les données se trouvent dans Lake Formation.

### Conditions préalables
<a name="athena-trusted-identity-propagation-prerequisites"></a>

Avant de démarrer, assurez-vous de répondre aux conditions préalables suivantes.

**Important**  
Lorsque vous remplissez les conditions préalables suivantes, notez que votre instance IAM Identity Center, votre groupe de travail Athena, Lake Formation et Amazon S3 Access Grants doivent tous être déployés dans la même région. AWS 
+ Configurez votre compte Quick avec IAM Identity Center. La propagation d'identité fiable n'est prise en charge que pour les comptes Quick intégrés à IAM Identity Center. Pour de plus amples informations, veuillez consulter [Configurez votre compte Amazon Quick avec IAM Identity Center](setting-up-sso.md#sec-identity-management-identity-center).
**Note**  
Pour créer des sources de données Athena, vous devez être un utilisateur d'IAM Identity Center (auteur) dans un compte Quick qui utilise IAM Identity Center.
+ Un groupe de travail Athena compatible avec IAM Identity Center. Le groupe de travail Athena que vous utilisez doit utiliser la même instance IAM Identity Center que le compte Quick. Pour de plus amples informations sur la configuration d’un groupe de travail Athena, consultez [Création d’un groupe de travail Athena compatible avec IAM Identity Center](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup) dans le guide de l’*utilisateur d’Amazon Athena*. 
+ L’accès au compartiment de résultats de requête Athena est géré avec les autorisations d’accès Amazon S3. Pour plus d’informations, voir la rubrique [Gestion des accès avec autorisations d’accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) du *Guide de l’utilisateur Amazon S3*. Si les résultats de votre requête sont chiffrés à l'aide d'une AWS KMS clé, le rôle IAM Amazon S3 Access Grant et le rôle de groupe de travail Athena ont tous deux besoin d'autorisations. AWS KMS
  + Pour plus d’informations, consultez la rubrique S3 [Access Grants and corporate directory identities](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) dans le Guide de l’utilisateur Amazon S3.
  + Le rôle autorisations d’accès Amazon S3 doit avoir cette action `STS:SetContext` dans sa politique de confiance pour la propagation des identités. Pour un exemple, consultez [Enregistrer un emplacement](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) dans le Guide de l’utilisateur Amazon S3.
+ Les autorisations relatives aux données doivent être gérées avec Lake Formation et Lake Formation doit être configurée avec la même instance IAM Identity Center que Quick et le groupe de travail Athena. Pour obtenir des informations sur la configuration, consultez la rubrique [Integrating IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html) dans le *Guide du développeur AWS Lake Formation *.
+ L’administrateur du lac de données doit accorder des autorisations aux utilisateurs et aux groupes de l’IAM Identity Center dans Lake Formation. Pour plus de détails, consultez la [section Octroi d’autorisations aux utilisateurs et aux groupes](https://docs.aws.amazon.com/lake-formation/latest/dg/grant-permissions-sso.html) dans le *AWS Lake Formation Guide du développeur*.
+ L'administrateur Quick doit autoriser les connexions à Athena. Pour en savoir plus, consultez [Autorisation des connexions à Amazon Athena](#athena). Notez qu'avec la propagation d'identité sécurisée, il n'est pas nécessaire d'accorder des autorisations ou AWS KMS des autorisations au bucket Amazon S3 au rôle Quick. Vous devez synchroniser les utilisateurs et les groupes autorisés à accéder au groupe de travail d’Athena avec le compartiment Amazon S3 qui stocke les résultats des requêtes avec les autorisations d’accès Amazon S3 afin que les utilisateurs puissent exécuter des requêtes avec succès et récupérer les résultats des requêtes dans le compartiment Amazon S3 en utilisant une propagation d’identité fiable.

### Configurer le rôle IAM avec les autorisations requises
<a name="athena-trusted-identity-propagation-configure-role"></a>

Pour utiliser la propagation d'identité sécurisée avec Athena, votre compte Quick doit disposer des autorisations requises pour accéder à vos ressources. Pour fournir ces autorisations, vous devez configurer votre compte Quick pour utiliser un rôle IAM doté de ces autorisations.

Si votre compte Quick utilise déjà un rôle IAM personnalisé, vous pouvez le modifier. Si vous ne possédez pas de rôle IAM existant, créez-en un en suivant les instructions de la section [Créer un rôle pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.

Le rôle IAM que vous créez ou modifiez doit contenir la politique de confiance et les autorisations suivantes.

#### Politique d’approbation requise
<a name="athena-trusted-identity-propagation-configure-role-trust-policy"></a>

Pour de plus amples informations sur la mise à jour de la politique d’approbation d’un rôle IAM, consultez [Mise à jour d’une politique d’approbation de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).

#### Autorisations Athena requises
<a name="athena-trusted-identity-propagation-configure-role-permissions"></a>

Pour plus d’informations sur la mise à jour de la politique de confiance d’un rôle IAM, voir [Mettre à jour les autorisations pour un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-permissions.html).

**Note**  
`Resource` utilise le `*` joker. Nous vous recommandons de le mettre à jour pour inclure uniquement les ressources Athena que vous souhaitez utiliser avec Quick.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:BatchGetQueryExecution",
                "athena:CancelQueryExecution",
                "athena:GetCatalogs",
                "athena:GetExecutionEngine",
                "athena:GetExecutionEngines",
                "athena:GetNamespace",
                "athena:GetNamespaces",
                "athena:GetQueryExecution",
                "athena:GetQueryExecutions",
                "athena:GetQueryResults",
                "athena:GetQueryResultsStream",
                "athena:GetTable",
                "athena:GetTables",
                "athena:ListQueryExecutions",
                "athena:RunQuery",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution",
                "athena:ListWorkGroups",
                "athena:ListEngineVersions",
                "athena:GetWorkGroup",
                "athena:GetDataCatalog",
                "athena:GetDatabase",
                "athena:GetTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Configurez votre compte Quick pour utiliser le rôle IAM
<a name="athena-trusted-identity-propagation-configure-role"></a>

Après avoir configuré le rôle IAM à l'étape précédente, vous devez configurer votre compte Quick pour l'utiliser. Pour plus d’informations sur la procédure à utiliser, consultez [Utilisation de rôles IAM existants dans Quick](security-create-iam-role.md#security-create-iam-role-use).

### Mettez à jour la configuration de propagation de l'identité avec AWS CLI
<a name="athena-trusted-identity-propagation-update-config"></a>

Pour autoriser Quick à propager les identités des utilisateurs finaux aux groupes de travail Athena, exécutez l'API `update-identity-propagation-config` suivante depuis le, en remplaçant AWS CLI les valeurs suivantes :
+ *us-west-2*Remplacez-la par la AWS région dans laquelle se trouve votre instance IAM Identity Center.
+ Remplacez *111122223333* par votre ID de compte AWS .

```
aws quicksight update-identity-propagation-config \
--service ATHENA \
--region us-west-2 \
--aws-account-id 111122223333
```

### Création d'un jeu de données Athena dans Quick
<a name="athena-trusted-identity-propagation-create-dataset"></a>

À présent, créez un jeu de données Athena dans Quick configuré avec le groupe de travail Athena activé par IAM Identity Center auquel vous souhaitez vous connecter. Pour plus d’informations sur la façon de créer une base de données Athena, consultez [Créer un jeu de données à l’aide des données Amazon Athena](create-a-data-set-athena.md).

### Principaux appels, considérations et limites
<a name="athena-trusted-identity-propagation-callouts-considerations"></a>

La liste suivante contient quelques points importants à prendre en compte lors de l'utilisation de la propagation d'identité sécurisée avec Quick et Athena.
+ Les sources de données Quick Athena qui utilisent une propagation d'identité fiable disposent des autorisations Lake Formation évaluées par rapport à l'utilisateur final IAM Identity Center et aux groupes IAM Identity Center auxquels l'utilisateur peut appartenir.
+ Lorsque vous utilisez des sources de données Athena qui utilisent une propagation d’identité fiable, nous recommandons que tout contrôle d’accès optimisé soit effectué dans Lake Formation. Toutefois, si vous choisissez d'utiliser la fonction de politique de réduction de la portée de Quick, les politiques de réduction de la portée seront évaluées par rapport à l'utilisateur final.
+ Les fonctionnalités suivantes sont désactivées pour les sources de données et les jeux de données qui utilisent la propagation d’identité sécurisée : jeux de données SPICE, code SQL personnalisé sur les sources de données, alertes de seuil, rapports par e-mail, sujets Q, articles, scénarios, exportations CSV, Excel et PDF, détection des anomalies.
+ Si vous rencontrez une latence ou des délais d’attente élevés, cela peut être dû à la combinaison d’un nombre élevé de groupes IAM Identity Center, de bases de données Athena, de tables et de règles de Lake Formation. Nous vous recommandons d’essayer de n’utiliser que le nombre nécessaire de ces ressources.

# Intégrations d'accès aux données
<a name="data-access-integrations"></a>

Les intégrations d'accès aux données dans Amazon Quick établissent des connexions sécurisées à des sources de données externes. Ils servent de base à la création de bases de connaissances. Contrairement aux connecteurs d'action qui exécutent des actions, les intégrations d'accès aux données se concentrent sur l'accès et l'indexation du contenu provenant d'applications et de services tiers.

Les intégrations d'accès aux données configurent uniquement l'authentification et pointent vers le projet ou l'organisation du service. Ils ne peuvent pas être utilisés directement à des fins d'analyse ou par des agents d'intelligence artificielle. Vous devez créer une base de connaissances connectée pour rendre les données accessibles.

## Comment fonctionnent les intégrations d'accès aux données
<a name="data-access-integrations-overview"></a>

Les intégrations d'accès aux données configurent l'authentification et établissent des connexions avec des organisations de services ou des projets tiers. Vous ne pouvez pas utiliser ces intégrations directement à des fins d'analyse. Vous devez créer des bases de connaissances liées à l'intégration de l'accès aux données afin de rendre les données accessibles aux agents d'intelligence artificielle, aux interfaces de chat et aux espaces.

La relation entre les intégrations d'accès aux données et les bases de connaissances est one-to-many la suivante :
+ Une seule intégration d'accès aux données peut prendre en charge plusieurs bases de connaissances.
+ Chaque base de connaissances sélectionne un contenu spécifique à partir de la source de données connectée.
+ Les bases de connaissances héritent de l'authentification et des autorisations d'accès de leur intégration d'accès aux données parent.

## Création d'une intégration d'accès aux données
<a name="data-access-integrations-create"></a>

Utilisez la procédure suivante pour créer une intégration d'accès aux données qui établit les détails d'authentification et de connexion pour la création d'une base de connaissances. L'exemple suivant illustre le processus de configuration d'une intégration d'accès aux OneDrive données Microsoft, mais les étapes générales sont applicables à d'autres intégrations d'accès aux données.

**Pour créer une intégration d'accès aux données**

1. Accédez à la zone Configurer une nouvelle intégration de la page. Trouvez l'application pour laquelle vous souhaitez créer une intégration et une base de connaissances. Sélectionnez « OneDrive ».
**Note**  
La page Intégration contient par défaut l'onglet Bases de connaissances et il se peut que certaines bases de connaissances aient été configurées par d'autres et partagées. Si vous avez déjà configuré une intégration, consultez l'onglet de données et utilisez le menu d'action pour créer une base de connaissances à partir de là.

1. Sélectionnez l'icône plus (\$1) sur l'application pour créer une nouvelle intégration et une nouvelle base de connaissances.

1. Sélectionnez l' OneDrive option Importer des données depuis Microsoft et cliquez sur le bouton Suivant.
**Note**  
Certaines intégrations d'applications prennent en charge l'ingestion de données et les read/write actions. La configuration varie pour chacun d'entre eux. Pour configurer des actions, vous aurez besoin de plus d'informations de la part de votre administrateur.

1. Terminez le processus d'authentification :

   1. Une fenêtre contextuelle de OneDrive connexion Microsoft s'affichera automatiquement. Si ce n'est pas le cas, cliquez sur le OneDrive bouton Se connecter à Microsoft.

   1. Connectez-vous à l'aide de vos informations d'identification Amazon.

   1. Attendez qu'une bannière de réussite apparaisse.

   1. Cliquez sur le bouton « Suivant ».

1. Sélectionnez les données à intégrer dans la base de connaissances à l'aide du sélecteur de fichiers pour, OneDrive puis cliquez sur le bouton Ajouter.

1. Tapez un nom et une description dans une base de connaissances (facultatif), puis cliquez sur Créer.

1. Une notification de confirmation sera envoyée et l'ingestion et la synchronisation des données commenceront.

1. La synchronisation des données peut prendre plusieurs minutes, selon le nombre de fichiers ingérés. La colonne État restera en état de synchronisation jusqu'à ce qu'elle soit prête à passer à Disponible.

1. Lorsque la base de connaissances est prête, utilisez le chat pour poser des questions et interagir avec elle.
**Note**  
Par défaut, le chat utilise « toutes les données et applications » auxquelles vous avez accès et qui sont configurées en votre nom. Si vous souhaitez discuter avec une seule base de connaissances, sélectionnez la base de connaissances dans le sélecteur de données de discussion.
**Note**  
Vous pouvez également associer une base de connaissances à un espace en accédant à l'espace et en l'ajoutant.

Une fois la création réussie, votre intégration d'accès aux données apparaît dans la liste des intégrations. Vous pouvez désormais créer des bases de connaissances qui utilisent cette intégration pour accéder au contenu de la source de données connectée et l'indexer.

**Note**  
Pour connaître les étapes de configuration détaillées spécifiques à chaque source de données, consultez[Intégrations prises en charge](supported-integrations.md).

## Sources de données prises en charge
<a name="data-access-integrations-supported-sources"></a>

Amazon Quick prend en charge les intégrations d'accès aux données avec les applications et services suivants. Ces intégrations vous permettent de créer des bases de connaissances à partir de sources de données externes :
+ **Amazon S3** - Accédez aux documents et aux fichiers stockés dans des compartiments S3 à l'aide AWS d'informations d'identification.
+ **Atlassian Confluence** - Indexez les pages, les espaces et les pièces jointes à l'aide de l'authentification utilisateur ou de l'authentification du service.
+ **Google Drive** - Connectez-vous à des disques personnels et partagés à l'aide de l'authentification OAuth 2.0.
+ Contenu **Microsoft OneDrive** - Access OneDrive for Business utilisant l'authentification utilisateur ou l'authentification de service.
+ **Microsoft SharePoint** - Indexez le contenu SharePoint en ligne et sur le serveur à l'aide de l'authentification OAuth 2.0.
+ **Web Crawler - Indexez** le contenu des sites Web internes et externes à l'aide d'une authentification ou d'une form/SAML authentification de base.

Chaque source de données prend en charge différentes méthodes d'authentification et fonctionnalités d'accès au contenu. La relation entre les intégrations d'accès aux données et les bases de connaissances est la one-to-many suivante : une intégration peut prendre en charge plusieurs bases de connaissances, chacune sélectionnant un contenu spécifique à partir de la source de données connectée.

## Catégories de sources de données
<a name="data-access-integrations-categories"></a>

Les intégrations d'accès aux données sont organisées dans les catégories suivantes en fonction du type de contenu et des modèles d'accès :

**Stockage dans le cloud et systèmes de fichiers**  
+ AWS S3 - Accédez aux documents et aux fichiers stockés dans des compartiments S3.
+ Google Drive - Indexez le contenu des disques personnels et partagés.
+ Microsoft OneDrive - Connect to OneDrive for Business Content.

**Systèmes de gestion de contenu**  
+ Atlassian Confluence : accédez aux pages, aux espaces et aux pièces jointes.
+ Microsoft SharePoint - Indexez le contenu SharePoint en ligne et sur le serveur.

**Contenus Web**  
+ Web Crawler : indexe le contenu des sites Web internes et externes.

### Authentification et sécurité
<a name="data-access-integrations-authentication"></a>

Les intégrations d'accès aux données utilisent des méthodes d'authentification sécurisées pour protéger vos données et maintenir les contrôles d'accès. La méthode d'authentification dépend de la source de données spécifique et des exigences de sécurité de votre organisation.

**OAuth authentification**  
La plupart des intégrations basées sur le cloud (Google Drive OneDrive, Confluence Cloud) utilisent la OAuth version 2.0 pour une authentification sécurisée basée sur des jetons. Cette méthode permet à Amazon Quick d'accéder à vos données sans enregistrer vos informations d'identification.

**Authentification du compte de service**  
Les intégrations d'entreprise peuvent utiliser des comptes de service pour l'accès programmatique. Cette méthode est courante pour AWS S3 et d'autres sources de données basées sur l'infrastructure.

**Aucune authentification**  
Certaines intégrations, telles que les robots d'exploration Web accédant à des sites Web publics, peuvent ne pas nécessiter d'authentification. Cependant, les contrôles d'accès sont toujours appliqués en fonction de vos autorisations Amazon Quick.

**Note**  
Les exigences d'authentification et les méthodes disponibles varient en fonction du niveau d'utilisateur. Les options d'authentification des lecteurs peuvent être limitées par rapport aux auteurs.

### Contrôle d'accès et autorisations
<a name="data-access-integrations-permissions"></a>

Les intégrations d'accès aux données préservent la sécurité en appliquant des contrôles d'accès à plusieurs niveaux. Lorsque les utilisateurs interrogent du contenu via des bases de connaissances, Amazon Quick garantit qu'ils ne peuvent accéder qu'au contenu qu'ils sont autorisés à consulter.
+ **Autorisations au niveau de la source** - Les utilisateurs doivent disposer des autorisations appropriées dans le système source (Google Drive SharePoint, etc.).
+ **Autorisations au niveau de l'intégration** : l'accès à l'intégration elle-même est contrôlé par les autorisations Amazon Quick.
+ **Autorisations des bases de connaissances : les** bases de connaissances individuelles peuvent disposer de leurs propres contrôles d'accès.
+ **Contrôles d'accès au niveau de l'entité** : lorsque les utilisateurs demandent du contenu, Amazon Quick vérifie les autorisations pour chaque document ou article.

### Caractéristiques et capacités clés
<a name="data-access-integrations-features"></a>

Les intégrations d'accès aux données fournissent plusieurs fonctionnalités pour améliorer votre expérience d'intégration des données :
+ **Synchronisation en temps réel** : le contenu est automatiquement mis à jour lorsque des modifications sont apportées au système source.
+ **Indexation sélective** : choisissez des dossiers, des sites ou des types de contenu spécifiques à inclure dans vos bases de connaissances.
+ **Support des types de contenu** - Indexez différents formats de fichiers, notamment des documents, des feuilles de calcul, des présentations et des pages Web.
+ **Préservation des métadonnées - Conservez** les métadonnées importantes telles que les dates de création, les auteurs et les balises.
+ **Interrogations en langage naturel : activez la recherche et la réponse** aux questions basées sur l'IA dans votre contenu indexé.

### Avant de commencer
<a name="data-access-integrations-prerequisites"></a>

Avant de créer des intégrations d'accès aux données, assurez-vous de respecter les exigences suivantes :
+ **Autorisations Amazon Quick** : rôle d'auteur ou d'administrateur pour créer et gérer des intégrations.
+ **Accès au système source** : autorisations appropriées dans le système cible (un accès administratif peut être requis pour certaines intégrations).
+ **Informations d'authentification** : informations d'identification ou comptes de service valides pour le système cible.
+ **Connectivité réseau** : assurez-vous qu'Amazon Quick peut accéder à vos sources de données. Les exigences du réseau varient selon le type d'intégration :
  + **Bases de connaissances** - Ne prend pas en charge la connectivité VPC. Les sources de données doivent être accessibles via l'Internet public.
  + **Connecteurs d'action** : support de la connectivité VPC pour les serveurs de ressources au sein de votre VPC. Cependant, les serveurs d'authentification doivent rester accessibles au public.