기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이벤트 데이터 스토어를 페더레이션할 때는 데이터 카탈로그에서 페더레이션 리소스의 세분화된 액세스 제어를 허용하는 역할을 담당하는 AWS Lake Formation서비스인에 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 CloudTrail 등록합니다. 이 섹션에서는 Lake Formation을 사용하여 CloudTrail Lake 페더레이션 리소스를 관리하는 방법을 설명합니다.
페더레이션을 활성화하면는 AWS Glue 데이터 카탈로그에서 다음 리소스를 CloudTrail 생성합니다.
-
관리형 데이터베이스 - 계정
aws:cloudtrail
당 이름으로 1개의 데이터베이스를 CloudTrail 생성합니다. 데이터베이스를 CloudTrail 관리합니다. 에서 데이터베이스를 삭제하거나 수정할 수 없습니다 AWS Glue. -
관리형 페더레이션 테이블 - 각 페더레이션 이벤트 데이터 스토어에 대해 테이블 1개를 CloudTrail 생성하고 테이블 이름에 이벤트 데이터 스토어 ID를 사용합니다.는 테이블을 CloudTrail 관리합니다. 의 테이블은 삭제하거나 수정할 수 없습니다 AWS Glue. 테이블을 삭제하려면 이벤트 데이터 스토어에서 페더레이션을 비활성화해야 합니다.
페더레이션 리소스에 대한 액세스 제어
두 가지 권한 방법 중 하나를 사용하여 관리형 데이터베이스 및 테이블에 대한 액세스를 제어할 수 있습니다.
-
IAM 액세스 제어만 - 액세스 제어IAM만 사용하면 필요한 IAM 권한이 있는 계정의 모든 사용자에게 모든 Data Catalog 리소스에 대한 액세스 권한이 부여됩니다. 에서를 AWS Glue 사용하는 방법에 대한 자세한 내용은에서 를 AWS Glue 사용하는 방법을 IAM IAM참조하세요.
Lake Formation 콘솔에서이 메서드는 IAM 액세스 제어만 사용으로 표시됩니다.
참고
데이터 필터를 생성하고 다른 Lake Formation 기능을 사용하려면 Lake Formation 액세스 제어를 사용해야 합니다.
-
Lake Formation 액세스 제어 - 이 방법은 다음과 같은 이점을 제공합니다.
-
데이터 필터를 생성하여 열 수준, 행 수준, 셀 수준의 보안을 구현할 수 있습니다.https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html 자세한 내용은 AWS Lake Formation 개발자 안내서의 Securing data lakes with row-level access control을 참조하세요.
-
Lake Formation 관리자와 데이터베이스 및 리소스 작성자만 데이터베이스와 테이블을 볼 수 있습니다. 다른 사용자가 이러한 리소스에 액세스해야 하는 경우 Lake Formation 권한을 사용하여 액세스 권한을 명시적으로 부여해야 합니다.
-
액세스 제어에 대한 자세한 내용은 세분화된 액세스 제어 방법을 참조하세요.
페더레이션 리소스의 권한 방법 결정
페더레이션을 처음 활성화하면는 Lake Formation 데이터 레이크 설정을 사용하여 관리형 데이터베이스와 관리형 페더레이션 테이블을 CloudTrail 생성합니다.
가 페더레이션을 CloudTrail 활성화한 후 해당 리소스에 대한 권한을 확인하여 관리형 데이터베이스 및 관리형 페더레이션 테이블에 사용 중인 권한 방법을 확인할 수 있습니다. 리소스에 대해 ALL
(수퍼)를 IAM_ALLOWED_PRINCIPALS
설정할 수 있는 경우 리소스는 IAM 권한에 의해서만 관리됩니다. 설정이 누락된 경우 리소스는 Lake Formation 권한으로 관리됩니다. Lake Formation 권한에 대한 자세한 내용은 Lake Formation 권한 참조에서 확인할 수 있습니다.
관리형 데이터베이스와 관리형 페더레이션 테이블의 권한 방법은 다를 수 있습니다. 예를 들어, 데이터베이스와 테이블의 값을 확인하면 다음과 같은 내용을 볼 수 있습니다.
-
데이터베이스의 경우가
ALL
(Super)를에 할당하는 값은IAM_ALLOWED_PRINCIPALS
가 데이터베이스에 대한 액세스 제어IAM만 사용하고 있음을 나타내는 권한에 있습니다. -
테이블의 경우
IAM_ALLOWED_PRINCIPALS
에ALL
(Super)을 할당하는 값이 없으며, 이는 Lake Formation 권한에 따른 액세스 제어를 나타냅니다.
Lake Formation의 페더레이션 리소스에 대해 IAM_ALLOWED_PRINCIPALS
에 ALL
(Super) 할당 권한을 추가하거나 제거하여 언제든지 액세스 방법을 전환할 수 있습니다.
Lake Formation을 사용하여 크로스 계정 공유
이 섹션에서는 Lake Formation을 사용하여 계정 간에 관리형 데이터베이스와 관리형 페더레이션 테이블을 공유하는 방법을 설명합니다.
다음 단계를 수행하여 계정 간에 관리형 데이터베이스를 공유할 수 있습니다.
-
크로스 계정 데이터 공유 버전을 버전 4로 업데이트합니다.
-
Lake Formation 액세스 제어로 전환하려면 데이터베이스에서
IAM_ALLOWED_PRINCIPALS
에Super
할당 권한(있는 경우)을 제거합니다. -
데이터베이스의 외부 계정에
Describe
권한을 부여합니다. -
Data Catalog 리소스가와 공유되고 계정이 공유 계정 AWS 계정 과 동일한 AWS 조직에 있지 않은 경우 AWS Resource Access Manager ()의 리소스 공유 초대를 수락합니다AWS RAM. 자세한 내용은 에서 리소스 공유 초대 수락을 참조하세요 AWS RAM.
이 단계를 완료한 후에는 외부 계정에서 데이터베이스를 볼 수 있어야 합니다. 기본적으로 데이터베이스를 공유해도 데이터베이스의 어떤 테이블에도 액세스할 수 없습니다.
다음 단계를 수행하여 모든 관리형 페더레이션 테이블 또는 개별 관리형 페더레이션 테이블을 외부 계정과 공유할 수 있습니다.
-
크로스 계정 데이터 공유 버전을 버전 4로 업데이트합니다.
-
Lake Formation 액세스 제어로 전환하려면 테이블에서
IAM_ALLOWED_PRINCIPALS
에Super
할당 권한(있는 경우)을 제거합니다. -
(선택 사항) 열 또는 행을 제한하는 데이터 필터를 지정합니다.
-
테이블의 외부 계정에
Select
권한을 부여합니다. -
Data Catalog 리소스가와 공유되고 계정이 공유 계정 AWS 계정 과 동일한 AWS 조직에 있지 않은 경우 AWS Resource Access Manager ()의 리소스 공유 초대를 수락합니다AWS RAM. 조직의 경우 RAM 설정을 사용하여 자동으로 수락할 수 있습니다. 자세한 내용은 에서 리소스 공유 초대 수락을 참조하세요 AWS RAM.
-
이제 테이블이 보입니다. 이 테이블에서 Amazon Athena 쿼리를 활성화하려면 공유 테이블을 사용하여 이 계정에 리소스 링크를 생성합니다.
소유 계정은 Lake Formation에서 외부 계정에 대한 권한을 제거하거나 페더레이션을 비활성화하여 언제든지 공유를 취소할 수 있습니다 CloudTrail.