계정 간 데이터 공유 모범 사례 및 고려 사항

자신의 AWS 계좌로 보안 주체에 부여할 수 있는 Lake Formation 권한 부여 수에는 제한이 없습니다. 그러나 Lake Formation은 계정에서 명명된 리소스 방식으로 수행할 수 있는 교차 계정 권한 부여에 AWS Resource Access Manager(AWS RAM) 용량을 사용합니다. AWS RAM 용량을 최대화하려면 명명된 리소스 방식에 대한 다음 모범 사례를 따르세요.

공유 데이터베이스에 대한 리소스 링크를 만들어야 해당 데이터베이스가 Amazon Athena 및 Amazon Redshift Spectrum 쿼리 편집기에 표시됩니다. 마찬가지로, Athena 및 Redshift Spectrum을 사용하여 공유 테이블을 쿼리하려면 테이블에 대한 리소스 링크를 만들어야 합니다. 그러면 리소스 링크가 쿼리 편집기의 테이블 목록에 나타납니다.

쿼리를 위해 많은 개별 테이블에 대한 리소스 링크를 만드는 대신, 모든 테이블 와일드카드를 사용하여 데이터베이스의 모든 테이블에 대한 권한을 부여할 수 있습니다. 그런 다음 해당 데이터베이스의 리소스 링크를 만들고 쿼리 편집기에서 해당 데이터베이스 리소스 링크를 선택하면 쿼리를 위해 해당 데이터베이스의 모든 테이블에 액세스할 수 있습니다. 자세한 내용은 리소스 링크 생성 단원을 참조하십시오.

다른 계정의 보안 주체와 직접 리소스를 공유하는 경우, 수신자 계정의 IAM 보안 주체는 Athena와 Amazon Redshift Spectrum을 사용하여 공유 테이블을 쿼리할 수 있는 리소스 링크를 생성할 권한이 없을 수 있습니다. 데이터 레이크 관리자는 공유되는 각 테이블에 대해 리소스 링크를 생성하는 대신, 자리 표시자 데이터베이스를 만들고 ALLIAMPrincipal 그룹에 CREATE_TABLE 권한을 부여할 수 있습니다. 그러면 수신자 계정의 모든 IAM 보안 주체가 자리 표시자 데이터베이스에 리소스 링크를 생성하고 공유 테이블에 대한 쿼리를 시작할 수 있습니다.

명명된 리소스 방법을 사용하여 데이터베이스 권한 부여에서 ALLIAMPrincipals에 권한을 부여하는 예제 CLI 명령을 참조하세요.

Athena와 Redshift Spectrum은 열 수준의 액세스 제어를 지원하지만 포함만 지원하며 제외는 지원하지 않습니다. 열 수준의 액세스 제어는 AWS Glue ETL 작업에서 지원되지 않습니다.

리소스가 사용자의 AWS 계정과 공유되면 계정의 사용자에게만 리소스에 대한 권한을 부여할 수 있습니다. 리소스에 대한 권한을 다른 AWS 계정, 조직(소속 조직 제외) 또는 IAMAllowedPrincipals 그룹에 부여할 수 없습니다.

외부 계정에 데이터베이스의 DROP 또는 Super를 부여할 수 없습니다.

데이터베이스 또는 테이블을 삭제하기 전에 교차 계정 권한을 취소하세요. 그렇지 않으면 AWS Resource Access Manager에서 분리된 리소스 공유를 삭제해야 합니다.