계정 간 데이터 공유 모범 사례 및 고려 사항

자신의 AWS 계좌로 교장에게 부여할 수 있는 Lake Formation 권한 부여 수에는 제한이 없습니다. 하지만 Lake Formation은 사용자 계정이 지정된 리소스 메서드로 제공할 수 있는 계정 간 권한 부여에 AWS Resource Access Manager (AWS RAM) 용량을 사용합니다. AWS RAM 용량을 최대화하려면 지정된 리소스 메서드에 대한 다음 모범 사례를 따르세요.

공유 데이터베이스에 대한 리소스 링크를 생성해야 해당 데이터베이스가 Amazon Athena 및 Amazon Redshift Spectrum 쿼리 편집기에 표시됩니다. 마찬가지로, Athena 및 Redshift Spectrum을 사용하여 공유 테이블을 쿼리하려면 테이블에 대한 리소스 링크를 만들어야 합니다. 그러면 리소스 링크가 쿼리 편집기의 테이블 목록에 나타납니다.

쿼리를 위해 많은 개별 테이블에 대한 리소스 링크를 만드는 대신, 모든 테이블 와일드카드를 사용하여 데이터베이스의 모든 테이블에 대한 권한을 부여할 수 있습니다. 그런 다음 해당 데이터베이스의 리소스 링크를 만들고 쿼리 편집기에서 해당 데이터베이스 리소스 링크를 선택하면 쿼리를 위해 해당 데이터베이스의 모든 테이블에 액세스할 수 있습니다. 자세한 내용은 리소스 링크 생성 단원을 참조하십시오.

다른 계정의 보안 주체와 직접 리소스를 공유하는 경우 수신자 계정의 IAM 보안 주체는 Athena와 Amazon Redshift Spectrum을 사용하여 공유 테이블을 쿼리할 수 있는 리소스 링크를 생성할 권한이 없을 수 있습니다. 데이터 레이크 관리자는 공유되는 각 테이블에 대해 리소스 링크를 생성하는 대신, 자리 표시자 데이터베이스를 만들고 ALLIAMPrincipal 그룹에 CREATE_TABLE 권한을 부여할 수 있습니다. 그러면 수신자 계정의 모든 IAM 보안 주체가 자리 표시자 데이터베이스에 리소스 링크를 생성하고 공유 테이블에 대한 쿼리를 시작할 수 있습니다.

in에 권한을 부여하는 방법에 대한 예제 CLI 명령을 참조하십시오. ALLIAMPrincipals 명명된 리소스 방법을 사용하여 데이터베이스 권한 부여

Athena와 Redshift Spectrum은 열 수준의 액세스 제어를 지원하지만 포함만 지원하며 제외는 지원하지 않습니다. 열 수준의 액세스 제어는 작업에서 지원되지 않습니다. AWS Glue ETL

리소스를 계정과 공유하는 경우 AWS 계정 내 사용자에게만 리소스에 대한 권한을 부여할 수 있습니다. 리소스에 대한 권한을 다른 AWS 계정, 조직 (소속 조직 제외) 또는 IAMAllowedPrincipals 그룹에 부여할 수 없습니다.

외부 계정에 데이터베이스의 DROP 또는 Super를 부여할 수 없습니다.

데이터베이스 또는 테이블을 삭제하기 전에 교차 계정 권한을 취소하세요. 그렇지 않으면 분리된 리소스 공유를 에서 삭제해야 합니다. AWS Resource Access Manager