기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이벤트 데이터 스토어 페더레이션
이벤트 데이터 스토어를 연동하면 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 AWS Glue 보고,에 데이터 카탈로그를 등록하고 AWS Lake Formation, Amazon Athena를 사용하여 이벤트 데이터에 대한 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다.
CloudTrail 콘솔 AWS CLI을 사용하여 페더레이션을 활성화하거나 EnableFederation API 작업. Lake 쿼리 페더레이션을 활성화하면 CloudTrail는 AWS Glue 데이터 카탈로그에 라는 관리형 데이터베이스aws:cloudtrail(데이터베이스가 아직 없는 경우)와 관리형 페더레이션 테이블을 생성합니다. 이벤트 데이터 스토어 ID는 테이블 이름에 사용됩니다.는 데이터 카탈로그의 페더레이션 리소스에 대한 세분화된 액세스 제어를 허용하는 서비스AWS Lake Formation인에서 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 CloudTrail 등록합니다.
Lake 쿼리 페더레이션을 활성화하려면 새 IAM 역할을 생성하거나 기존 역할을 선택해야 합니다. Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어의 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면는 역할에 필요한 권한을 CloudTrail 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할이 최소 권한을 제공하는지 확인합니다.
CloudTrail 콘솔을 사용하여 페더레이션을 비활성화 AWS CLI하거나 DisableFederation API 작업. 페더레이션 CloudTrail을 비활성화하면 AWS Glue AWS Lake Formation는 및 Amazon Athena와의 통합을 비활성화합니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 이벤트 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화하고 CloudTrail Lake에서 쿼리를 계속 실행할 수 있는 경우 CloudTrail Lake 데이터가 삭제되지 않습니다.
CloudTrail Lake 이벤트 데이터 스토어 연동에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 Amazon Athena 요금
주제
고려 사항
이벤트 데이터 스토어를 페더레이션할 때는 다음 사항을 고려하세요.
-
CloudTrail Lake 이벤트 데이터 스토어 연동에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 Amazon Athena 요금
을 참조하세요. -
Lake Formation은 페더레이션 리소스에 대한 권한을 관리하는 데 사용됩니다. 페더레이션 역할을 삭제하거나 Lake Formation에서 리소스에 대한 권한을 취소하거나 Athena에서 쿼리 AWS Glue를 실행할 수 없습니다. Lake Formation 작업에 대한 자세한 내용은 를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation 섹션을 참조하세요.
-
Amazon Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리하는 사람은 누구나
lakeformation:GetDataAccess작업을 허용하는 IAM 권한 정책을 가지고 있어야 합니다. AWS 관리형 정책: AmazonAthenaFullAccess는이 작업을 허용합니다. 인라인 정책을 사용하는 경우 이 작업을 허용하도록 권한 정책을 업데이트하세요. 자세한 내용은 Lake Formation 및 Athena 사용자 권한 관리를 참조하세요. -
Athena에서 페더레이션 테이블에 대한 뷰를 생성하려면
aws:cloudtrail이외의 대상 데이터베이스가 필요합니다. 데이터베이스aws:cloudtrail가 관리되기 때문입니다 CloudTrail. -
Amazon에서 데이터 세트를 생성하려면 사용자 지정 사용 SQL 옵션을 선택해야 QuickSight합니다. 자세한 내용은 Amazon Athena 데이터를 사용하여 데이터 세트 생성을 참조하십시오.
-
페더레이션이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 페더레이션 이벤트 데이터 스토어를 삭제하려면 먼저 페더레이션 및 종료 방지 기능이 활성화된 경우 비활성화해야 합니다.
-
조직 이벤트 데이터 스토어에는 다음 고려 사항이 적용됩니다.
-
위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 Lake Formation 데이터 공유 기능을 사용하여 계속해서 정보를 쿼리하고 공유할 수 있습니다.
-
위임된 관리자 계정이나 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.
-
페더레이션에 필요한 권한
이벤트 데이터 스토어를 페더레이션하기 전에 페더레이션 역할과 페더레이션 활성화 및 비활성화에 필요한 모든 권한이 있는지 확인합니다. 페더레이션을 활성화하기 위해 기존 역할을 선택한 경우에만 페더레이션 IAM 역할 권한을 업데이트하면 됩니다. CloudTrail 콘솔을 사용하여 새 IAM 역할을 생성하도록 선택하면는 역할에 필요한 모든 권한을 CloudTrail 제공합니다.
IAM 이벤트 데이터 스토어 연동 권한
페더레이션을 활성화하면 새 IAM 역할을 생성하거나 기존 IAM 역할을 사용할 수 있습니다. 새 IAM 역할을 선택하면는 필요한 권한이 있는 IAM 역할을 CloudTrail 생성하며 사용자 측에서 추가 작업이 필요하지 않습니다.
기존 역할을 선택하는 경우 IAM 역할 정책이 페더레이션을 활성화하는 데 필요한 권한을 제공하는지 확인합니다. 이 섹션에서는 필요한 IAM 역할 권한 및 신뢰 정책의 예를 제공합니다.
다음 예제에서는 페더레이션 역할에 대한 권한 정책을 제공합니다. 첫 번째 문에는에 대한 이벤트 데이터 스토어 ARN 전체를 제공합니다Resource.
이 정책의 두 번째 명령문은 Lake Formation이 KMS 키로 암호화된 이벤트 데이터 스토어의 데이터를 복호화하도록 허용합니다. key-region, account-id및 key-id를 KMS 키 값으로 바꿉니다. 이벤트 데이터 스토어가 암호화에 KMS 키를 사용하지 않는 경우이 문을 생략할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFederationEDSDataAccess", "Effect": "Allow", "Action": "cloudtrail:GetEventDataStoreData", "Resource": "arn:aws:cloudtrail:eds-region:account-id:eventdatastore/eds-id" }, { "Sid": "LakeFederationKMSDecryptAccess", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:key-region:account-id:key/key-id" } ] }
다음 예제에서는가 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리하는 IAM 역할을 AWS Lake Formation 수임하도록 허용하는 IAM 신뢰 정책을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lakeformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
페더레이션 활성화에 필요한 권한
다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 활성화하는 데 필요한 최소 권한을 제공합니다. 이 정책은 CloudTrail 가 이벤트 데이터 스토어에서 페더레이션을 활성화하고, AWS Glue 데이터 카탈로그에서 페더레이션 리소스를 AWS Glue 생성하고, 리소스 등록을 관리할 AWS Lake Formation 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailEnableFederation", "Effect": "Allow", "Action": "cloudtrail:EnableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "FederationRoleAccess", "Effect": "Allow", "Action": [ "iam:PassRole", "iam:GetRole" ], "Resource": "arn:aws:iam::region:role/federation-role-name" }, { "Sid": "GlueResourceCreation", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:CreateTable", "glue:PassConnection" ], "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id", "arn:aws:glue:region:account-id:connection/aws:cloudtrail" ] }, { "Sid": "LakeFormationRegistration", "Effect": "Allow", "Action": [ "lakeformation:RegisterResource", "lakeformation:DeregisterResource" ], "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
페더레이션 비활성화에 필요한 권한
다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 비활성화하는 데 필요한 최소 리소스를 제공합니다. 이 정책은 CloudTrail 가 이벤트 데이터 스토어에서 페더레이션을 비활성화 AWS Glue 하고, AWS Glue 데이터 카탈로그에서 관리형 페더레이션 테이블을 삭제하고, Lake Formation이 페더레이션 리소스를 등록 취소하도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudTrailDisableFederation", "Effect": "Allow", "Action": "cloudtrail:DisableFederation", "Resource": "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" }, { "Sid": "GlueTableDeletion", "Effect": "Allow", "Action": "glue:DeleteTable", "Resource": [ "arn:aws:glue:region:account-id:catalog", "arn:aws:glue:region:account-id:database/aws:cloudtrail", "arn:aws:glue:region:account-id:table/aws:cloudtrail/eds-id" ] }, { "Sid": "LakeFormationDeregistration", "Effect": "Allow", "Action": "lakeformation:DeregisterResource", "Resource": "arn:aws:lakeformation:region:account-id:catalog:account-id" } ] }
