기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 AWS IAM Identity Center 활성화된 EMR 클러스터AWS Lake Formation와 통합할 수 있습니다.
먼저 클러스터와 동일한 리전에 Identity Center 인스턴스가 설정되어 있는지 확인하세요. 자세한 내용은 Identity Center 인스턴스 생성 단원을 참조하십시오. 인스턴스 세부 정보를 볼 때 IAM Identity Center 콘솔에서 인스턴스 ARN을 찾거나 다음 명령을 사용하여 CLI에서 모든 인스턴스의 세부 정보를 볼 수 있습니다.
aws sso-admin list-instances그런 다음 다음 명령과 함께 ARN 및 AWS 계정 ID를 사용하여 IAM Identity Center와 호환되도록 Lake Formation을 구성합니다.
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json
json input:
{
"CatalogId": "account-id/org-account-id",
"InstanceArn": "identity-center-instance-arn"
}이제 Lake Formation을 이용하여 put-data-lake-settings을 간접적으로 호출하고 AllowFullTableExternalDataAccess를 활성화하세요.
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json
json input:
{
"DataLakeSettings": {
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "admin-ARN"
}
],
"CreateDatabaseDefaultPermissions": [...],
"CreateTableDefaultPermissions": [...],
"AllowExternalDataFiltering": true,
"AllowFullTableExternalDataAccess": true
}
}마지막으로 EMR 클러스터에 액세스하는 사용자의 자격 증명 ARN에 전체 테이블 권한을 부여합니다. ARN에는 Identity Center의 사용자 ID가 포함되어 있습니다. 콘솔에서 Identity Center로 이동하여 사용자를 선택한 다음 일반 정보 설정을 볼 사용자를 선택합니다.
사용자 ID를 복사하여 다음 user-id
arn:aws:identitystore:::user/user-id
참고
EMR 클러스터에 대한 쿼리는 IAM Identity Center 자격 증명에 Lake Formation 보호 테이블에 대한 전체 테이블 액세스 권한이 있는 경우에만 작동합니다. 자격 증명에 전체 테이블 액세스 권한이 없는 경우 쿼리가 실패합니다.
다음 명령을 사용하여 사용자에게 전체 테이블 액세스 권한을 부여합니다.
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
},
"Resource": {
"Table": {
"DatabaseName": "tip_db",
"Name": "tip_table"
}
},
"Permissions": [
"ALL"
],
"PermissionsWithGrantOption": [
"ALL"
]
}