Lake Formation에서의 교차 계정 데이터 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lake Formation에서의 교차 계정 데이터 공유

Lake Formation 교차 계정 기능을 사용하면 사용자가 여러 AWS 계정, AWS 조직 또는 다른 계정의 IAM 보안 주체와 분산 데이터 레이크를 안전하게 공유하여 데이터 카탈로그 메타데이터 및 기본 데이터에 대한 세분화된 액세스를 제공할 수 있습니다. 대기업은 일반적으로 여러 를 사용 AWS 계정하며 이러한 계정 중 다수는 단일 에서 관리하는 데이터 레이크에 액세스해야 할 수 있습니다 AWS 계정. 사용자 및 AWS Glue 추출, 변환 및 로드(ETL) 작업은 여러 계정의 테이블을 쿼리하고 조인할 수 있으며 Lake Formation 테이블 수준 및 열 수준 데이터 보호를 계속 활용할 수 있습니다.

데이터 카탈로그 리소스에 대한 Lake Formation 권한을 외부 계정에 부여하거나 다른 계정의 IAM 보안 주체에게 직접 부여하면 Lake Formation은 AWS Resource Access Manager (AWS RAM) 서비스를 사용하여 리소스를 공유합니다. 피부여자 계정이 부여자 계정과 동일한 조직에 속해 있는 경우, 피부여자는 공유 리소스를 즉시 사용할 수 있습니다. 권한 부여자 계정이 동일한 조직에 있지 않은 경우 는 리소스 권한 부여를 수락하거나 거부하도록 권한 부여자 계정에 초대장을 AWS RAM 보냅니다. 그런 다음 공유 리소스를 사용할 수 있게 하려면 권한 부여자 계정의 데이터 레이크 관리자가 AWS RAM 콘솔 또는 를 사용하여 초대를 AWS CLI 수락해야 합니다.

Lake Formation은 하이브리드 액세스 모드에서 외부 계정과의 데이터 카탈로그 리소스 공유를 지원합니다. 하이브리드 액세스 모드는 AWS Glue Data Catalog의 데이터베이스 및 테이블에 대한 Lake Formation 권한을 선택적으로 활성화할 수 있는 유연성을 제공합니다. 
 하이브리드 액세스 모드를 사용하면 이제 다른 기존 사용자 또는 워크로드의 권한 정책을 중단하지 않고 특정 사용자 집합에 대해 Lake Formation 권한을 설정할 수 있는 증분 경로가 제공됩니다.

자세한 내용은 하이브리드 액세스 모드 단원을 참조하십시오.

직접 교차 계정 공유

승인된 보안 주체는 외부 계정의 보안 IAM 주체와 리소스를 명시적으로 공유할 수 있습니다. 이 기능은 계정 소유자가 외부 계정의 누가 리소스에 액세스할 수 있는지 제어하고자 할 때 유용합니다. IAM 보안 주체가 받는 권한은 직접 권한 부여와 보안 주체에게 전달되는 계정 수준 권한 부여의 조합입니다. 수신자 계정의 데이터 레이크 관리자는 교차 계정 직접 부여를 볼 수 있지만 권한을 취소할 수는 없습니다. 리소스 공유를 받는 보안 주체는 다른 보안 주체와 리소스를 공유할 수 없습니다.

데이터 카탈로그 리소스를 공유하는 방법

단일 Lake Formation 권한 부여 작업으로 다음 데이터 카탈로그 리소스에 대한 계정 간 권한을 부여할 수 있습니다.

  • 데이터베이스

  • 개별 테이블(선택적 열 필터링 포함)

  • 선택한 테이블 몇 개

  • 데이터베이스의 모든 테이블(모든 테이블 와일드카드 사용)

데이터베이스 및 테이블을 다른 계정의 다른 AWS 계정 보안 주체 또는 보안 IAM 주체와 공유하는 두 가지 옵션이 있습니다.

  • Lake Formation 태그 기반 액세스 제어(LF-TBAC)(권장)

    Lake Formation 태그 기반 액세스 제어는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. 태그 기반 액세스 제어를 사용하여 데이터 카탈로그 리소스(데이터베이스, 테이블 및 열)를 외부 IAM 보안 주체 AWS 계정, 조직 및 조직 단위()와 공유할 수 있습니다OUs. Lake Formation에서 이러한 속성을 LF 태그라고 합니다. 자세한 내용은 Lake Formation 태그 기반 액세스 제어를 사용하여 데이터 레이크 관리를 참조하세요.

    참고

    LF TBAC- 교차 계정 권한 부여 AWS Resource Access Manager 에 사용되는 Data Catalog 권한을 부여하는 방법입니다.

    Lake Formation은 이제 LF-TBAC 메서드를 사용하여 조직 및 조직 단위에 교차 계정 권한 부여를 지원합니다.

    이 기능을 활성화하려면 교차 계정 버전 설정버전 3으로 업데이트해야 합니다.

    자세한 내용은 교차 계정 데이터 공유 버전 설정 업데이트 단원을 참조하십시오.

  • Lake Formation 명명된 리소스

    명명된 리소스 메서드를 사용한 Lake Formation 교차 계정 데이터 공유를 사용하면 외부 AWS 계정, IAM 보안 주체, 조직 또는 조직 단위에 데이터 카탈로그 테이블 및 데이터베이스에 대한 권한 부여 옵션을 사용하여 Lake Formation에 권한을 부여할 수 있습니다. 권한 부여 작업은 해당 리소스를 자동으로 공유합니다.

참고

Lake Formation 보안 인증을 사용하여 AWS Glue 크롤러가 다른 계정의 데이터 스토어에 액세스하도록 허용할 수도 있습니다. 자세한 내용은 AWS Glue 개발자 안내서의 교차 계정 크롤링을 참조하세요.

Athena 및 Amazon Redshift Spectrum과 같은 통합 서비스를 사용하려면 쿼리에 공유 리소스를 포함할 수 있는 리소스 링크가 필요합니다. 리소스 링크에 대한 자세한 내용은 Lake Formation에서 리소스 링크가 작동하는 방식 섹션을 참조하세요.

고려 사항 및 제한 사항은 계정 간 데이터 공유 모범 사례 및 고려 사항 섹션을 참조하십시오.

주제
관련 주제