를 사용하여 LF 태그 권한 관리 AWS CLI - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 LF 태그 권한 관리 AWS CLI

AWS Command Line Interface (AWS CLI)를 사용하여 LF 태그에 대한 권한을 부여, 취소 및 나열할 수 있습니다.

LF 태그 권한을 나열하려면(AWS CLI)

  • list-permissions 명령을 입력합니다. LF 태그를 보려면 LF 태그 생성자 또는 데이터 레이크 관리자이거나 LF 태그에 대한 Drop, Alter, Describe, Associate, Grant with LF-Tag permissions 권한이 있어야 합니다.

    다음 명령은 권한이 있는 모든 LF 태그를 요청합니다.

    aws lakeformation list-permissions --resource-type LF_TAG

    다음은 모든 보안 주체에 부여된 모든 LF 태그를 볼 수 있는 데이터 레이크 관리자를 위한 샘플 출력입니다. 관리자가 아닌 사용자는 자신에게 부여된 LF 태그만 볼 수 있습니다. 외부 계정에서 부여된 LF 태그 권한은 별도의 결과 페이지에 표시됩니다. 이를 보려면 명령을 반복하고 이전 명령 실행에서 반환된 토큰과 함께 --next-token 인수를 제공합니다.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "environment",
                    "TagValues": [
                        "*"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": [
                "ASSOCIATE"
            ]
        },
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "DESCRIBE"
            ],
            "PermissionsWithGrantOption": []
        },
...
    ],
    "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9"
}

    특정 LF 태그 키에 대한 모든 권한 부여를 나열할 수 있습니다. 다음 명령은 LF 태그 module에 대해 부여된 모든 권한을 반환합니다.

    aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    특정 LF 태그에 대해 특정 보안 주체에 부여된 LF 태그 값을 나열할 수도 있습니다. --principal 인수를 제공할 때는 --resource 인수를 제공해야 합니다. 따라서 이 명령은 특정 LF 태그 키에 대해 특정 보안 주체에 부여된 값만 효과적으로 요청할 수 있습니다. 다음 명령은 보안 주체 datalake_user1 및 LF 태그 키 module에 대해 이 작업을 수행하는 방법을 보여줍니다.

    aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    다음은 출력 샘플입니다.

    {
    "PrincipalResourcePermissions": [
        {
            "Principal": {
                "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
            },
            "Resource": {
                "LFTag": {
                    "CatalogId": "111122223333",
                    "TagKey": "module",
                    "TagValues": [
                        "Orders",
                        "Sales"
                    ]
                }
            },
            "Permissions": [
                "ASSOCIATE"
            ],
            "PermissionsWithGrantOption": []
        }
    ]
}
LF 태그에 대한 권한을 부여하려면(AWS CLI)

  1. 다음과 유사한 명령을 입력합니다. 이 예제는 사용자 datalake_user1에게 module 키를 가진 LF 태그에 대한 Associate 권한을 부여합니다. 별표(*) 로 표시된 대로 해당 키의 모든 값을 보고 할당할 수 있는 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

    Associate 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.

    다음 예제에서는 키 를 사용하여 LF 태그의 Associate 외부 AWS 계정 1234-5678-9012에 권한 부여 옵션을 module사용하여 권한을 부여합니다. 이는 salesorders 값만 보고 할당할 수 있는 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  2. GrantWithLFTagExpression 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.

    다음 예제는 권한 부여 옵션을 사용하여 module 키를 가진 LF 태그에 대한 GrantWithLFTagExpression 권한을 사용자에게 부여합니다. 이는 salesorders 값만 사용하여 데이터 카탈로그 리소스에 대한 권한을 보고 부여할 수 있는 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'

  3. 다음 예제는 권한 부여 옵션을 사용하여 module 키를 가진 LF 태그에 대한 Drop 권한을 사용자에게 부여합니다. 이는 LF 태그를 삭제할 수 있는 권한을 부여합니다. LF 태그를 삭제하려면 해당 키의 모든 값에 대한 권한이 필요합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'

  4. 다음 예제는 권한 부여 옵션을 사용하여 module 키를 가진 LF 태그에 대한 Alter 권한을 사용자에게 부여합니다. 이는 LF 태그를 삭제할 수 있는 권한을 부여합니다. LF 태그를 업데이트하려면 해당 키의 모든 값에 대한 권한이 필요합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
LF 태그에 대한 권한을 취소하려면(AWS CLI)

  • 다음과 유사한 명령을 입력합니다. 이 예제는 사용자 datalake_user1로부터 module 키를 가진 LF 태그에 대한 Associate 권한을 취소합니다.

    aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'