작업 그룹 만들기 - Amazon Athena

작업 그룹 만들기

작업 그룹을 만들려면 CreateWorkgroup API 작업에 대한 권한이 필요합니다. 작업 그룹 및 태그에 대한 액세스 구성IAM 정책을 사용하여 작업 그룹 액세스 제어 단원을 참조하세요. 태그를 추가할 경우 TagResource에 대한 권한도 추가해야 합니다. 작업 그룹에 대한 태그 정책 예제 섹션을 참조하세요.

다음 절차는 Athena 콘솔을 사용하여 작업 그룹을 생성하는 방법을 보여줍니다. Athena API를 사용하여 작업 그룹을 생성하려면 CreateWorkGroup을 참조하세요.

Athena 콘솔에서 작업 그룹을 생성하려면

  1. 생성할 작업 그룹을 결정합니다. 몇 가지 고려해야 할 요소는 다음과 같습니다.

    • 각 작업 그룹에서 쿼리를 실행할 수 있는 사용자 및 작업 구성을 소유하는 사용자. IAM 정책을 사용하여 작업 그룹 권한을 적용합니다. 자세한 내용은 IAM 정책을 사용하여 작업 그룹 액세스 제어 단원을 참조하십시오.

    • Amazon S3에서 작업 그룹의 쿼리 결과에 사용할 위치. 작업 그룹의 모든 사용자가 이 위치에 액세스할 수 있어야 합니다.

    • 작업 그룹 쿼리 결과를 암호화해야 하는지 여부. 암호화는 쿼리별이 아니라 작업 그룹별로 수행되므로 암호화된 쿼리 결과와 암호화되지 않은 쿼리 결과에 대해 별도의 작업 그룹을 생성해야 합니다. 자세한 내용은 Amazon S3에 저장된 Athena 쿼리 결과 암호화 단원을 참조하십시오.

  2. 콘솔 탐색 창이 표시되지 않으면 왼쪽의 확장 메뉴를 선택합니다.

    확장 메뉴를 선택합니다.

  3. Athena 콘솔 탐색 창에서 작업 그룹(Workgroups)을 선택합니다.

  4. 작업 그룹 페이지에서 작업 그룹 생성을 선택합니다.

  5. 작업 그룹 생성(Create workgroup) 페이지에서 다음과 같이 필드에 값을 입력합니다.

    필드 설명
    작업 그룹 이름 필수 사항입니다. 작업 그룹의 고유한 이름을 입력합니다. 이름은 영숫자, 대시, 밑줄을 포함하여 1~128자를 포함할 수 있습니다. 작업 그룹을 만든 후에는 작업 그룹 이름을 변경할 수 없습니다.
    설명 선택 사항입니다. 작업 그룹에 대한 설명을 입력합니다. 최대 1024까지 입력할 수 있습니다.
    Choose the type of engine(엔진 유형 선택)

    Amazon S3의 데이터에 대해 임시 SQL 쿼리를 실행하거나 사전 구축된 데이터 소스 커넥터를 사용하여 Amazon S3 외부의 다양한 데이터 소스에서 페더레이션 쿼리를 실행하려면 Athena SQL을 선택합니다. Athena 쿼리 편집기, AWS CLI 또는 Athena API를 사용하여 쿼리를 실행할 수 있습니다.

    Python과 Apache Spark를 사용하여 Jupyter Notebook 애플리케이션을 생성, 편집, 실행하려면 Apache Spark를 선택합니다. Jupyter Notebook에는 코드, 텍스트, 마크다운, 수학, 도표 및 리치 미디어가 나열된 셀 목록이 포함되어 있습니다. 셀은 Athena의 대화형 노트북 세션에서 계산된 순서대로 실행됩니다. Spark 지원 작업 그룹 생성 및 구성에 대한 자세한 내용은 1단계: Athena에서 Spark 지원 작업 그룹 생성 단원을 참조하세요.

    작업 그룹을 생성한 후 분석 엔진을 업그레이드할 수 있지만(예: Athena 엔진 버전 2에서 Athena 엔진 버전 3으로) 엔진 유형을 변경할 수는 없습니다. 예를 들어 Athena 엔진 버전 3 작업 그룹을 PySpark 엔진 버전 3 작업 그룹으로 변경할 수 없습니다.
    쿼리 엔진 업데이트 새 Athena 엔진 버전이 릴리스될 때 작업 그룹을 업데이트하는 방법을 선택합니다. 사용자는 Athena가 작업 그룹을 업그레이드 시기를 결정하도록 하거나 엔진 버전을 수동으로 선택할 수 있습니다. 자세한 내용은 Athena 엔진 버전 관리 단원을 참조하십시오.
    인증 작업 그룹에 IAM 인증 또는 페더레이션을 사용하려면 AWS Identity and Access Management(IAM)를 선택합니다. Microsoft Active Directory와 같은 SAML 2.0 ID 제공업체 사용자 및 그룹 등의 인력 ID를 지원하려면 IAM Identity Center를 선택합니다. 자세한 내용은 IAM Identity Center 지원 Athena 작업 그룹 사용AWS IAM Identity Center 사용 설명서애플리케이션 간 신뢰할 수 있는 자격 증명 전파를 참조하세요. 작업 그룹이 생성된 후에는 작업 그룹의 인증 유형을 변경할 수 없습니다.
    IAM Identity Center 액세스를 위한 서비스 역할 Athena가 사용자를 대신하여 IAM Identity Center에 액세스하려면 IAM 권한이 필요합니다. IAM 서비스 역할에 대한 자세한 내용은 IAM 사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하십시오.
    쿼리 결과의 위치(Location of query result)

    (선택 사항) Amazon S3 버킷 경로 또는 접두사를 입력합니다. 버킷과 접두사를 지정하려면 지정하기 전에 해당 버킷과 접두사가 존재해야 합니다. Amazon S3 버킷 생성에 대한 자세한 내용은 버킷 생성을 참조하세요.

    참고

    콘솔에서 쿼리를 실행할 경우 쿼리 결과 위치 지정은 선택 사항입니다. 작업 그룹에 대해 또는 설정에서 이를 지정하지 않을 경우 Athena는 기본 쿼리 결과 위치를 사용합니다. API 또는 드라이버를 사용해 쿼리를 실행할 경우 최소한 다음 두 곳 중 하나에서 쿼리 결과 위치를 지정해야 합니다. 즉, 개인 쿼리의 경우 OutputLocation을 통해 지정하고, 작업 그룹 쿼리의 경우 WorkGroupConfiguration을 통해 지정합니다.
    예상 버킷 소유자(Expected bucket owner) 선택 사항입니다. 출력 위치 버킷의 소유자가 될 것으로 예상되는 AWS 계정의 ID를 입력합니다. 이는 추가 보안 조치입니다. 버킷 소유자의 계정 ID가 여기에서 지정한 ID와 일치하지 않으면 버킷으로의 출력 시도가 실패합니다. 자세한 내용은 Amazon S3 사용 설명서버킷 소유자 조건을 사용하여 버킷 소유권 확인을 참조하세요.
    참고

    예상 버킷 소유자 설정은 Athena 쿼리 결과에 대해 지정한 Amazon S3 출력 위치에만 적용됩니다. 외부 Amazon S3 버킷의 데이터 소스 위치, CTASINSERT INTO 대상 테이블 위치, UNLOAD 문 출력 위치, 연합 쿼리의 유출 버킷 작업 또는 다른 계정의 테이블에 대해 실행되는 SELECT 쿼리 등의 다른 Amazon S3 위치에는 적용되지 않습니다.
    버킷 소유자에게 쿼리 결과에 대한 전체 제어 권한 할당

    이 필드는 기본적으로 선택 취소되어 있습니다. 이 옵션을 선택하고 쿼리 결과 위치 버킷에 ACL이 사용 설정된 경우, 버킷 소유자에게 쿼리 결과에 대한 전체 제어 액세스 권한을 부여합니다. 예를 들어, 쿼리 결과 위치가 다른 계정이 소유한 경우 이 옵션을 사용하여 소유권을 부여하고 쿼리 결과에 대한 모든 권한을 다른 계정에 부여할 수 있습니다.

    버킷의 S3 객체 소유권 설정이 버킷 소유자 기본인 경우 버킷 소유자는 이 작업 그룹에서 작성된 모든 쿼리 결과 객체도 소유합니다. 예를 들어, 외부 계정의 작업 그룹에서 이 옵션을 활성화하고 쿼리 결과 위치를 계정의 버킷 소유자 기본의 S3 객체 소유권 설정을 가진 Amazon S3 버킷으로 설정한 경우, 외부 작업 그룹의 쿼리 결과에 대한 전체 제어 권한을 갖습니다.

    쿼리 결과 버킷의 S3 객체 소유권 설정이 버킷 소유자 시행인 경우 이 옵션은 아무 영향이 없습니다. 자세한 내용은 Amazon S3 사용 설명서객체 소유권 설정 섹션을 참조하세요.
    쿼리 결과 암호화

    선택 사항입니다. 모든 작업 그룹 쿼리에 대해 Amazon S3에서 쿼리 결과를 암호화합니다. 특정 작업 그룹에서 모든 쿼리를 암호화하거나 전혀 암호화하지 않아야 하므로 암호화된 쿼리와 암호화되지 않은 쿼리에 대해 별도의 작업 그룹을 생성하는 것이 좋습니다.

    선택할 경우 암호화 유형, 암호화 키를 선택하고 KMS 키 ARN을 입력합니다.

    키가 없는 경우 AWS KMS 콘솔을 열고 키를 만드세요. 자세한 정보는 AWS Key Management Service 개발자 안내서키 생성을 참조하세요.
    encryption_type을 최소 암호화로 설정

    선택 사항입니다. 작업 그룹의 모든 사용자에서 쿼리 결과에 최소 유형의 암호화를 적용하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 암호화 유형의 계층 구조를 포함하는 테이블이 표시됩니다. 이 테이블에는 특정 암호화 유형을 최소 암호화로 지정할 때 작업 그룹 사용자가 사용할 수 있는 암호화 유형도 표시됩니다. 이 옵션을 사용하려면 클라이언트 측 설정 재정의를 선택하지 않아야 합니다.

    자세한 내용은 작업 그룹에 대한 최소 암호화 구성 단원을 참조하십시오.
    S3 Access Grants 활성화 IAM Identity Center를 인증 모드로 선택하면 이 필드가 기본적으로 선택됩니다. 이 옵션을 선택하면 Amazon S3 위치에 IAM Identity Center 사용자 또는 그룹 기반 권한이 적용됩니다.
    사용자 ID 기반 S3 접두사 생성 이 옵션을 선택하면 Athena에서 쿼리 결과를 저장할 때 Amazon S3 접두사를 생성합니다. 접두사는 사용자의 IAM Identity Center 사용자 ID를 기반으로 합니다.
    Override client-side settings(클라이언트 측 설정 재정의) 이 필드는 기본적으로 선택 취소되어 있습니다. 이 필드를 선택할 경우, 작업 그룹 설정이 작업 그룹의 모든 쿼리에 적용되고 클라이언트 측 설정을 재정의합니다. 자세한 내용은 Override client-side settings(클라이언트 측 설정 재정의) 단원을 참조하십시오.
    Publish query metrics to CloudWatch(CloudWatch에 쿼리 지표 게시) 이 필드는 기본적으로 선택됩니다. CloudWatch에 쿼리 지표를 게시합니다. CloudWatch를 사용하여 Athena 쿼리 지표 모니터링 섹션을 참조하세요.
    Requester Pays S3 buckets(요청자 지불 S3 버킷)

    선택 사항입니다. 작업 그룹 사용자가 요청자 지불로 구성되어 있는 Amazon S3 버킷에 저장된 데이터를 쿼리할 경우 Turn on queries on requester pays buckets in Amazon S3(Amazon S3에서 요청자 지불 버킷에 대한 쿼리 켜기)를 선택합니다. 쿼리와 관련하여 적용 가능한 데이터 액세스 및 데이터 전송 요금은 쿼리를 실행하는 사용자의 계정에 청구됩니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서요청자 지불 버킷을 참조하세요.
    쿼리별 데이터 사용량 컨트롤(Per query data usage control) 선택 사항입니다. 쿼리가 스캔할 수 있는 최대 데이터 양에 대한 제한을 설정합니다. 작업 그룹에 대해 쿼리 제한당 하나만 설정할 수 있습니다. 제한은 작업 그룹의 모든 쿼리에 적용되며 쿼리가 제한을 초과할 경우 취소됩니다. 자세한 내용은 쿼리당 및 작업 그룹당 데이터 사용량 제어 구성 단원을 참조하십시오.
    워크그룹 데이터 사용량 알림(Workgroup data usage alerts) 선택 사항입니다. 이 작업 그룹에서 실행되는 쿼리가 특정 기간 내에 지정된 양의 데이터를 스캔할 때 여러 경고 임계값을 설정합니다. 알림은 Amazon CloudWatch 경보를 사용하여 구현되며 작업 그룹의 모든 쿼리에 적용됩니다. 자세한 내용은 Amazon CloudWatch 사용 설명서Amazon CloudWatch 경보 사용을 참조하세요.
    태그 선택 사항입니다. 작업 그룹에 태그를 한 개 이상 추가합니다. 태그는 Athena 작업 그룹 리소스에 할당하는 레이블입니다. 태그는 키와 값으로 구성됩니다. AWS 태깅 모범 사례를 사용하여 일관된 태그 세트를 생성하고 작업 그룹을 용도, 소유자 또는 환경별로 분류합니다. IAM 정책에서 태그를 사용하여 결제 비용을 관리할 수도 있습니다. 동일한 작업 그룹에 중복된 태그 키를 사용하지 마세요. 자세한 내용은 Athena 리소스 태깅 단원을 참조하십시오.

  6. 작업 그룹 생성을 선택합니다. 작업 그룹(Workgroups) 페이지의 목록에 해당 작업 그룹이 나타납니다.

    쿼리 편집기에서 Athena는 콘솔 오른쪽 상단의 작업 그룹 옵션에 현재 작업 그룹을 표시합니다. 이 옵션을 사용하여 작업 그룹을 전환할 수 있습니다. 쿼리를 실행하면 현재 작업 그룹에서 실행됩니다.

  7. 사용자 그룹 또는 역할에 대해 작업 그룹에 대한 액세스를 허용하는 IAM 정책을 생성합니다. 이 정책은 작업 그룹 멤버십과 workgroup 리소스에 대한 작업에 대한 액세스를 설정합니다. 자세한 내용은 IAM 정책을 사용하여 작업 그룹 액세스 제어 단원을 참조하십시오. JSON 정책 예제는 작업 그룹 및 태그에 대한 액세스 구성 단원을 참조하세요.

  8. (선택 사항) 클라이언트 측 설정 재정의 옵션 때문에 작업 그룹 전체 암호화가 적용되지 않는 경우 Amazon S3에서 작업 그룹의 모든 쿼리 결과에 대해 최소 수준의 암호화를 구성합니다. 이 기능을 사용하면 쿼리 결과가 암호화되지 않은 상태로 Amazon S3 버킷에 저장되지 않도록 합니다. 자세한 내용은 작업 그룹에 대한 최소 암호화 구성 단원을 참조하십시오.

  9. (선택 사항) Amazon CloudWatch 및 Amazon EventBridge를 사용하여 작업 그룹의 쿼리를 모니터링하고 비용을 제어할 수 있습니다. 자세한 내용은 CloudWatch 및 EventBridge를 사용하여 쿼리 모니터링 및 비용 제어 단원을 참조하십시오.

  10. (선택 사항) Billing and Cost Management 콘솔을 사용하여 작업 그룹에 비용 할당 태그를 지정합니다. 자세한 내용은 AWS Billing 사용 설명서에서 사용자 정의 비용 할당 태그 사용을 참조하세요.

  11. (선택 사항) 작업 그룹에서 쿼리 전용 처리 용량을 확보하려면 작업 그룹을 용량 예약에 추가합니다. 하나 이상의 작업 그룹을 예약에 할당할 수 있습니다. 자세한 내용은 쿼리 처리 용량 관리 단원을 참조하십시오.