에 대한 서비스 역할 설정 AWS Clean Rooms - AWS Clean Rooms
관리자 사용자 생성하기공동 작업 구성원의 IAM 역할 생성Amazon S3에서 데이터를 읽을 서비스 역할 생성Amazon Athena에서 데이터를 읽을 서비스 역할 생성서비스 역할을 생성하여 Snowflake에서 데이터 읽기결과를 수신할 서비스 역할 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 서비스 역할 설정 AWS Clean Rooms

관리자 사용자 생성하기

를 사용하려면 관리자 사용자를 직접 생성하고 관리자 그룹에 관리자 사용자를 추가 AWS Clean Rooms해야 합니다.

다음 옵션 중 하나를 선택하여 관리 사용자를 생성합니다.

관리자를 관리하는 방법 한 가지 선택 목적 By 다른 방법
IAM Identity Center에서

(권장)

 단기 보안 인증 정보를 사용하여 AWS에 액세스합니다.

이는 보안 모범 사례와 일치합니다. 모범 사례에 대한 자세한 내용은 IAM 사용 설명서IAM의 보안 모범 사례를 참조하세요.

 AWS IAM Identity Center 사용 설명서의 시작하기 지침을 따르세요. AWS Command Line Interface 사용 설명서에서 사용하도록 AWS CLI 를 구성 AWS IAM Identity Center하여 프로그래밍 방식 액세스를 구성합니다.
IAM에서

(권장되지 않음)

 장기 보안 인증 정보를 사용하여 AWS에 액세스합니다. IAM 사용 설명서비상 액세스를 위한 IAM 사용자 생성에 나와 있는 지침을 따르세요. IAM 사용 설명서에 나온 IAM 사용자의 액세스 키 관리 단계를 수행하여 프로그래밍 방식의 액세스를 구성합니다.

공동 작업 구성원의 IAM 역할 생성

멤버는 공동 작업의 참가자인 AWS 고객입니다.

공동 작업 구성원의 IAM 역할을 생성하는 방법

  1. AWS Identity and Access Management 사용 설명서에 설명된 IAM 사용자에게 권한을 위임하는 역할 생성 절차를 수행합니다.

  2. 정책 생성 단계의 정책 편집기에서 JSON 탭을 선택한 다음 공동 작업 구성원에게 부여된 권한에 따라 정책을 추가합니다.

    AWS Clean Rooms 는 일반적인 사용 사례를 기반으로 다음과 같은 관리형 정책을 제공합니다.

    다음을 수행하려는 경우 ... 그럼... 을(를) 사용하세요.
    리소스 및 메타데이터 보기 AWS 관리형 정책: AWSCleanRoomsReadOnlyAccess
    Query AWS 관리형 정책: AWSCleanRoomsFullAccess
    결과 쿼리 및 수신 AWS 관리형 정책: AWSCleanRoomsFullAccess
    공동 작업 리소스는 관리하지만 쿼리하지 않음 AWS 관리형 정책: AWSCleanRoomsFullAccessNoQuerying

    에서 제공하는 다양한 관리형 정책에 대한 자세한 내용은 단원AWS 에 대한 관리형 정책 AWS Clean Rooms을 AWS Clean Rooms참조하십시오.

Amazon S3에서 데이터를 읽을 서비스 역할 생성

AWS Clean Rooms 는 서비스 역할을 사용하여 Amazon S3에서 데이터를 읽습니다.

이 서비스 역할을 생성하는 방법에는 두 가지가 있습니다.

  • 서비스 역할을 생성하는 데 필요한 IAM 권한이 있는 경우 AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성합니다.

  • iam:CreateRole, iam:CreatePolicyiam:AttachRolePolicy 권한이 없거나 IAM 역할을 수동으로 생성하려는 경우 다음 중 하나를 수행합니다.

    • 다음 절차에 따라 사용자 지정 신뢰 정책을 사용하여 서비스 역할을 생성합니다.

    • 다음 절차에 따라 서비스 역할을 생성하도록 관리자에게 요청합니다.

참고

사용자 또는 IAM 관리자는 콘솔을 사용하여 AWS Clean Rooms 서비스 역할을 생성하는 데 필요한 권한이 없는 경우에만이 절차를 따라야 합니다.

사용자 지정 신뢰 정책을 사용하여 Amazon S3에서 데이터를 읽을 서비스 역할을 생성하려면

  1. 사용자 지정 신뢰 정책을 사용하여 역할을 생성합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차를 참조하세요.

  2. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용합니다.

    참고

    역할이 특정 공동 작업 멤버십의 컨텍스트에서만 사용되도록 하려면 신뢰 정책의 범위를 더 좁힐 수 있습니다. 자세한 내용은 교차 서비스 혼동된 대리자 예방 단원을 참조하십시오.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 권한 정책을 사용합니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 예를 들어 Amazon S3 데이터에 대한 사용자 지정 KMS 키를 설정한 경우 추가 AWS Key Management Service (AWS KMS) 권한으로이 정책을 수정해야 할 수 있습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "NecessaryGluePermissions",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:aws-region:accountId:database/database",
                "arn:aws:glue:aws-region:accountId:table/table",
                "arn:aws:glue:aws-region:accountId:catalog"
            ]
        },
 	{
            "Effect": "Allow",
            "Action": [
                "glue:GetSchema",
                "glue:GetSchemaVersion"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "NecessaryS3BucketPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        },
        {
            "Sid": "NecessaryS3ObjectPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3::bucket/prefix/*"
            ],
            "Condition":{
                "StringEquals":{
                    "s3:ResourceAccount":[
                        "s3BucketOwnerAccountId"
                    ]
                }
            }
        }
        
    ]
}

  4. 자리 표시자를 자신의 정보로 바꿉니다.

  5. 계속해서 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 역할을 생성합니다.

Amazon Athena에서 데이터를 읽을 서비스 역할 생성

AWS Clean Rooms 는 서비스 역할을 사용하여 Amazon Athena에서 데이터를 읽습니다.

사용자 지정 신뢰 정책을 사용하여 Athena에서 데이터를 읽을 서비스 역할을 생성하려면

  1. 사용자 지정 신뢰 정책을 사용하여 역할을 생성합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차를 참조하세요.

  2. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용합니다.

    참고

    역할이 특정 공동 작업 멤버십의 컨텍스트에서만 사용되도록 하려면 신뢰 정책의 범위를 더 좁힐 수 있습니다. 자세한 내용은 교차 서비스 혼동된 대리자 예방 단원을 참조하십시오.

    { 

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RoleTrustPolicyForCleanRoomsService",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
}

  3. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 권한 정책을 사용합니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Athena 데이터를 읽는 데 필요한 권한을 지원합니다. 그러나 Amazon S3 데이터를 설정한 방식에 따라이 정책을 수정해야 할 수 있습니다. 예를 들어 Amazon S3 데이터에 대한 사용자 지정 KMS 키를 이미 설정한 경우 추가 AWS KMS 권한으로이 정책을 수정해야 할 수 있습니다.

    AWS Glue 리소스와 기본 Athena 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "athena:GetDataCatalog",
                "athena:GetWorkGroup",
                "athena:GetTableMetadata",
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution"
            ],
            "Resource": [
                "arn:aws:athena:region:accountId:workgroup/workgroup",
                "arn:aws:athena:region:accountId:datacatalog/AwsDataCatalog"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetTable",
                "glue:GetPartitions"
            ],
            "Resource": [
                "arn:aws:glue:region:accountId:catalog",
                "arn:aws:glue:region:accountId:database/database name",
                "arn:aws:glue:region:accountId:table/database name/table name"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:PutObject",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::bucket",
                "arn:aws:s3:::bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "lakeformation:GetDataAccess",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:region:accountId:key/*"
        }
    ]
}

  4. 자리 표시자를 자신의 정보로 바꿉니다.

  5. 계속해서 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 역할을 생성합니다.

Lake Formation 권한 설정

서비스 역할에는 GDC View에 대한 선택설명 액세스 권한과 GDC View가 저장된 AWS Glue 데이터베이스에 대한 설명 액세스 권한이 있어야 합니다.

Set up Lake Formation permissions for a GDC View
GDC View에 대한 Lake Formation 권한을 설정하려면

  1. https://console.aws.amazon.com/lakeformation/ Lake Formation 콘솔을 엽니다.

  2. 탐색 창의 데이터 카탈로그에서 데이터베이스를 선택한 다음 보기를 선택합니다.

  3. 보기를 선택한 다음 작업에서 부여를 선택합니다.

  4. 보안 주체의 IAM 사용자 및 역할에서 서비스 역할을 선택합니다.

  5. 권한 보기권한 보기에서 선택설명을 선택합니다.

  6. 권한 부여를 선택합니다.

Set up Lake Formation permissions for the AWS Glue database that the GDC View is stored in
GDC View가 저장되는 AWS Glue 데이터베이스에 대한 Lake Formation 권한을 설정하려면

  1. https://console.aws.amazon.com/lakeformation/ Lake Formation 콘솔을 엽니다.

  2. 탐색 창의 데이터 카탈로그에서 데이터베이스를 선택합니다.

  3. AWS Glue 데이터베이스를 선택한 다음 작업에서 부여를 선택합니다.

  4. 보안 주체의 IAM 사용자 및 역할에서 서비스 역할을 선택합니다.

  5. 데이터베이스 권한데이터베이스 권한에서 설명을 선택합니다.

  6. 권한 부여를 선택합니다.

서비스 역할을 생성하여 Snowflake에서 데이터 읽기

AWS Clean Rooms 는 서비스 역할을 사용하여 Snowflake가이 소스에서 데이터를 읽을 수 있도록 자격 증명을 검색합니다.

이 서비스 역할을 만드는 방법은 다음 두 가지입니다.

  • 서비스 역할을 생성하는 데 필요한 IAM 권한이 있는 경우 AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성합니다.

  • iam:CreateRole, iam:CreatePolicyiam:AttachRolePolicy 권한이 없거나 IAM 역할을 수동으로 생성하려는 경우 다음 중 하나를 수행합니다.

    • 다음 절차에 따라 사용자 지정 신뢰 정책을 사용하여 서비스 역할을 생성합니다.

    • 다음 절차에 따라 서비스 역할을 생성하도록 관리자에게 요청합니다.

참고

사용자 또는 IAM 관리자는 콘솔을 사용하여 AWS Clean Rooms 서비스 역할을 생성하는 데 필요한 권한이 없는 경우에만이 절차를 따라야 합니다.

사용자 지정 신뢰 정책을 사용하여 Snowflake에서 데이터를 읽을 서비스 역할을 생성하려면

  1. 사용자 지정 신뢰 정책을 사용하여 역할을 생성합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차를 참조하세요.

  2. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용합니다.

    참고

    역할이 특정 공동 작업 멤버십의 컨텍스트에서만 사용되도록 하려면 신뢰 정책의 범위를 더 좁힐 수 있습니다. 자세한 내용은 교차 서비스 혼동된 대리자 예방 단원을 참조하십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:region:accountId:membership/membershipId",
                        "arn:aws:cleanrooms:region:queryRunnerAccountId:membership/queryRunnerMembershipId"
                    ]
                }
            }
        }
    ]
}

  3. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 권한 정책 중 하나를 사용합니다.

    고객 소유 KMS 키로 암호화된 보안 암호에 대한 권한 정책

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier",
            "Effect": "Allow"
        },
        {
            "Sid": "AllowDecryptViaSecretsManagerForKey",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:region:keyOwnerAccountId:key/keyIdentifier",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.region.amazonaws.com",
                    "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:region:secretAccountId:secret:secretIdentifier"
                }
            }
        }
    ]
}

    로 암호화된 보안 암호에 대한 권한 정책 AWS 관리형 키

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:region:accountId:secret:secretIdentifier",
            "Effect": "Allow"
        }
    ]
}

  4. 자리 표시자를 자신의 정보로 바꿉니다.

  5. 계속해서 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 역할을 생성합니다.

결과를 수신할 서비스 역할 생성

참고

결과 수신만 가능한 구성원인 경우(콘솔에서 사용자의 멤버 자격결과 받기로만 표시됨) 다음 절차를 따르세요.

쿼리와 결과 수신이 모두 가능한 구성원인 경우(콘솔에서 사용자의 멤버 자격쿼리결과 받기 모두 해당) 이 절차를 건너뛸 수 있습니다.

결과만 수신할 수 있는 공동 작업 구성원의 경우는 서비스 역할을 AWS Clean Rooms 사용하여 공동 작업에서 쿼리된 데이터의 결과를 지정된 S3 버킷에 기록합니다.

이 서비스 역할을 만드는 방법은 다음 두 가지입니다.

  • 서비스 역할을 생성하는 데 필요한 IAM 권한이 있는 경우 AWS Clean Rooms 콘솔을 사용하여 서비스 역할을 생성합니다.

  • iam:CreateRole, iam:CreatePolicyiam:AttachRolePolicy 권한이 없거나 IAM 역할을 수동으로 생성하려는 경우 다음 중 하나를 수행합니다.

    • 다음 절차에 따라 사용자 지정 신뢰 정책을 사용하여 서비스 역할을 생성합니다.

    • 다음 절차에 따라 서비스 역할을 생성하도록 관리자에게 요청합니다.

참고

사용자 또는 IAM 관리자는 콘솔을 사용하여 AWS Clean Rooms 서비스 역할을 생성하는 데 필요한 권한이 없는 경우에만이 절차를 따라야 합니다.

사용자 지정 신뢰 정책을 사용하여 결과를 수신할 서비스 역할을 생성하려면

  1. 사용자 지정 신뢰 정책을 사용하여 역할을 생성합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차를 참조하세요.

  2. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 사용자 지정 신뢰 정책을 사용합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowIfExternalIdMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "sts:ExternalId": "arn:aws:*:region:*:dbuser:*/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa*"
                }
            }
        },
        {
            "Sid": "AllowIfSourceArnMatches",
            "Effect": "Allow",
            "Principal": {
                "Service": "cleanrooms.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ForAnyValue:ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
                    ]
                
                }
            }
        }
    ]
}

  3. 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 다음 권한 정책을 사용합니다.

    참고

    다음 예제 정책은 AWS Glue 메타데이터와 해당 Amazon S3 데이터를 읽는 데 필요한 권한을 지원합니다. 하지만 S3 데이터를 설정한 방법에 따라 이 정책을 수정해야 할 수도 있습니다.

    AWS Glue 리소스와 기본 Amazon S3 리소스는 AWS Clean Rooms 공동 작업 AWS 리전 과 동일해야 합니다.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation", 
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket_name/optional_key_prefix/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount":"accountId"
                }
            }
        }
    ]
}

  4. 자리 표시자를 자신의 정보로 바꿉니다.

    • 리전 – AWS 리전의 이름. 예: us-east-1.

    • a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — 쿼리할 수 있는 구성원의 멤버십 ID입니다. 멤버십 ID는 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면 AWS Clean Rooms 가이 구성원이이 공동 작업에서 분석을 실행할 때만 역할을 수임할 수 있습니다.

    • arn:aws:cleanrooms:us-east-1:555555555555:membership/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa — 쿼리할 수 있는 구성원의 단일 멤버십 ARN입니다. 멤버십 ARN은 공동 작업의 세부 정보 탭에서 찾을 수 있습니다. 이렇게 하면이 구성원 AWS Clean Rooms 이이 공동 작업에서 분석을 실행할 때만가 역할을 수임할 수 있습니다.

    • bucket_name – S3 버킷의 Amazon 리소스 이름(ARN). Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

    • accountId - S3 버킷이 위치한 AWS 계정 ID입니다.

      bucket_name/optional_key_prefixAmazon S3의 결과 대상의 Amazon 리소스 이름(ARN)입니다. Amazon S3 Amazon 리소스 이름(ARN)은 Amazon S3에 있는 버킷의 속성 탭에서 찾을 수 있습니다.

  5. 계속해서 사용자 지정 신뢰 정책을 사용하여 역할 생성(콘솔) 절차에 따라 역할을 생성합니다.