태그 기반 액세스 제어를 사용한 데이터 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

태그 기반 액세스 제어를 사용한 데이터 공유

AWS Lake Formation 태그 기반 액세스 제어(LF-TBAC)는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. 다음 단계에서는 LF 태그를 사용하여 교차 계정 권한을 부여하는 방법을 설명합니다.

생산자/권한 부여자 계정에 필요한 설정

  1. LF 태그를 정의합니다. LF 태그를 만드는 방법에 대한 지침은 LF 태그 생성 섹션을 참조하세요.

  2. 대상 리소스에 LF-태그를 할당합니다. 자세한 내용은 데이터 카탈로그 리소스에 LF 태그 할당 단원을 참조하십시오.

  3. 외부 계정에 LF 태그 권한을 부여합니다. 자세한 내용은 콘솔을 사용하여 LF 태그 권한 부여 단원을 참조하십시오.

    이 시점에서 소비자 데이터 레이크 관리자는 Lake Formation 콘솔의 권한, 관리 역할 및 작업, LF 태그에서 피부여자 계정을 통해 공유 중인 정책 태그를 찾을 수 있어야 합니다.

  4. 외부/피부여자 계정에 데이터 권한을 부여합니다.

    1. 탐색 창의 권한, 데이터 레이크 권한에서 부여를 선택합니다.

    2. 보안 주체 에서 외부 계정 을 선택하고 보안 주체의 대상 AWS 계정 ID 또는 IAM 역할 또는 보안 주체( 보안 주체 )의 Amazon 리소스 이름(ARN)을 입력합니다ARN.

    3. LF 태그 또는 카탈로그 리소스의 경우 소비자 계정과 공유되는 LF 태그을 선택합니다( Confidentiality, public).

    4. 권한의 경우 LF 태그와 일치하는 리소스(권장)에서 LF 태그 추가를 선택합니다.

    5. 피부여자 계정과 공유할 태그의 을 선택합니다(키 Confidentiality, 값 public).

    6. 데이터베이스 권한의 경우, 데이터베이스 권한에서 설명을 선택하여 데이터베이스 수준에서 액세스 권한을 부여합니다.

    7. 소비자 데이터 레이크 관리자는 권한 https://console.aws.amazon.com/lakeformation/, 관리 역할 및 작업 , LF 태그 에서 Lake Formation 콘솔의 소비자 계정을 통해 공유되는 정책 태그를 찾을 수 있어야 합니다.

    8. 부여 가능한 권한에서 설명을 선택하여 소비자 계정에서 사용자에게 데이터베이스 수준 권한을 부여할 수 있도록 합니다.

      데이터 레이크 관리자는 피부여자 계정의 보안 주체에게 공유 리소스에 대한 권한을 부여해야 하므로 항상 부여 옵션을 사용하여 교차 계정 권한을 부여해야 합니다.

      참고

      교차 계정 직접 승인을 받는 보안 주체에게는 부여 가능한 권한 옵션이 제공되지 않습니다.

    9. 테이블 및 열 권한의 경우, 테이블 권한에서 선택설명을 선택합니다.

    10. 부여 가능한 권한에서 선택설명을 선택합니다.

    11. 권한 부여를 선택합니다.

수신자/피부여자 계정에서 필요한 설정

  1. 다른 계정과 리소스를 공유해도 해당 리소스는 여전히 생산자 계정에 속하며 Athena 콘솔에 표시되지 않습니다. Athena 콘솔에서 리소스를 표시하려면 공유 리소스를 가리키는 리소스 링크를 만들어야 합니다. 리소스 링크 생성에 대한 지침은 공유 데이터 카탈로그 테이블에 대한 리소스 링크 만들기공유 데이터 카탈로그 데이터베이스에 대한 리소스 링크 만들기 섹션을 참조하세요.

  2. 리소스 링크를 공유할 때 LF 태그 기반 액세스 제어를 사용하려면 소비자 계정에서 별도의 LF 태그 세트를 만들어야 합니다. 공유 데이터베이스/테이블 및 리소스 링크에 필요한 LF 태그를 생성하고 할당합니다.

  3. 이러한 LF 태그에 대한 권한을 권한 부여자 계정의 IAM 보안 주체에게 부여합니다.