기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
열 통계 생성을 위한 사전 요구 사항
열 통계를 생성하거나 업데이트하려면 통계 생성 태스크가 사용자를 대신하여 AWS Identity and Access Management (IAM) 역할을 맡습니다. 역할에 부여된 권한에 따라 열 통계 생성 작업은 Amazon S3 데이터 스토어에서 데이터를 읽을 수 있습니다.
열 통계 생성 작업을 구성할 때 를 AWS Glue 사용하면 AWSGlueServiceRole AWS 관리형 정책과 지정된 데이터 소스에 필요한 인라인 정책이 포함된 역할을 생성할 수 있습니다.
열 통계를 생성하기 위해 기존 역할을 지정하는 경우 정책 또는 이에 상응하는 정책(또는 이 AWSGlueServiceRole 정책의 범위 축소 버전)과 필요한 인라인 정책을 포함해야 합니다. 다음 단계에 따라 새 IAM 역할을 생성합니다.
참고
Lake Formation에서 관리하는 테이블에 대한 통계를 생성하려면 통계를 생성하는 데 사용되는 IAM 역할에 전체 테이블 액세스 권한이 필요합니다.
열 통계 생성 작업을 구성할 때 를 AWS Glue 사용하면 AWSGlueServiceRole AWS 관리형 정책과 지정된 데이터 소스에 필요한 인라인 정책이 포함된 역할을 생성할 수 있습니다. 역할을 생성하고 아래 정책에 나열된 권한에 연결한 후 열 통계 생성 작업에 추가할 수도 있습니다.
열 통계를 생성하기 위한 IAM 역할을 생성하려면
-
IAM 역할을 생성하려면 에 대한 IAM 역할 생성을 AWS Glue참조하세요.
-
기존 역할을 업데이트하려면 IAM 콘솔에서 열 통계 생성 프로세스에서 사용 중인 IAM 역할로 이동합니다.
-
권한 추가 탭에서 정책 연결을 선택합니다. 새로 열린 브라우저 창에서
AWSGlueServiceRoleAWS 관리형 정책을 선택합니다. -
Amazon S3 데이터 위치에서 데이터를 읽을 수 있는 권한도 포함해야 합니다.
권한 추가 섹션에서 정책 생성을 선택합니다. 새로 열린 브라우저 창에서 역할에 사용할 새 정책을 생성합니다.
-
정책 생성 페이지에서 JSON 탭을 선택합니다. 다음
JSON코드를 정책 편집기 필드에 복사합니다.참고
다음 정책에서 계정 ID를 유효한 로 바꾸 AWS 계정고 테이블의 리전
region및bucket-nameAmazon S3 버킷 이름으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::<bucket-name>/*", "arn:aws:s3:::<bucket-name>" ] } ] } (선택 사항) Lake Formation 권한을 사용하여 데이터에 대한 액세스를 제공하는 경우 IAM 역할에
lakeformation:GetDataAccess권한이 필요합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccess", "Effect": "Allow", "Action": "lakeformation:GetDataAccess", "Resource": [ "*" ] } ] }Amazon S3 데이터 위치가 Lake Formation에 등록되어 있고 열 통계 생성 작업에서 맡은 IAM 역할에 테이블에 그룹
IAM_ALLOWED_PRINCIPALS권한이 부여되지 않은 경우 역할에는 테이블에 Lake FormationALTER및DESCRIBE권한이 필요합니다. Amazon S3 버킷을 등록하는 데 사용되는 역할에는 테이블에 대한 Lake FormationINSERT및DELETE권한이 필요합니다.Amazon S3 데이터 위치가 Lake Formation에 등록되어 있지 않고 IAM 역할에 테이블에 부여된
IAM_ALLOWED_PRINCIPALS그룹 권한이 없는 경우 역할에는 테이블에 대한 Lake FormationALTER,DESCRIBEINSERT및DELETE권한이 필요합니다.-
(선택 사항) 암호화된 Amazon CloudWatch Logs 을 기록하는 열 통계 생성 작업에는 키 정책 내 다음 권한이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CWLogsKmsPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:AssociateKmsKey" ], "Resource": [ "arn:aws:logs:<region>:111122223333:log-group:/aws-glue:*" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "kms:Encrypt" ], "Resource": [ "arn:aws:kms:<region>:111122223333:key/"arn of key used for ETL cloudwatch encryption" ], "Condition": { "StringEquals": { "kms:ViaService": ["glue.<region>.amazonaws.com"] } } } ] } -
열 통계를 실행하는 데 사용하는 역할에는 해당 역할에 대한
iam:PassRole권한이 있어야 합니다.{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::111122223333:role/<columnstats-role-name>" ] }] } -
열 통계를 생성하기 위한 IAM 역할을 생성할 때 해당 역할에는 서비스가 역할을 수임할 수 있도록 하는 다음 신뢰 정책도 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TrustPolicy", "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole", } ] }
