사전 조건 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사전 조건

AWS 계정이 다른 계정의 다른 계정 또는 보안 주체와 데이터 카탈로그 리소스(데이터베이스 및 테이블)를 공유하려면 먼저 다음 사전 조건을 충족해야 합니다.

일반 교차 계정 데이터 공유 요구 사항

  • 하이브리드 액세스 모드에서 데이터 카탈로그 데이터베이스 및 테이블을 공유하려면 교차 계정 버전 설정버전 4로 업데이트해야 합니다.

  • 데이터 카탈로그 리소스에 교차 계정 권한을 부여하려면 먼저 해당 리소스에 대한 IAMAllowedPrincipals 그룹에서 모든 Lake Formation 권한을 취소해야 합니다. 호출 보안 주체가 리소스에 액세스할 수 있는 교차 계정 권한을 가지고 있고 리소스에 IAMAllowedPrincipals 권한이 있는 경우, Lake Formation은 AccessDeniedException을 발생시킵니다.

    이 요구 사항은 Lake Formation 모드에서 기본 데이터 위치를 등록하는 경우에만 적용됩니다. 하이브리드 모드에서 데이터 위치를 등록하는 경우 IAMAllowedPrincipals 그룹 권한이 공유 데이터베이스 또는 테이블에 존재할 수 있습니다.

  • 공유하려는 테이블이 포함된 데이터베이스의 경우 새 테이블의 기본 부여 권한이 Super에서 IAMAllowedPrincipals로 변경되지 않도록 해야 합니다. Lake Formation 콘솔에서 데이터베이스를 편집하고 이 데이터베이스의 새 테이블에 대한 IAM 액세스 제어만 사용을 끄거나 다음 AWS CLI 명령을 입력하여 database를 데이터베이스 이름으로 바꿉니다. 기본 데이터 위치가 하이브리드 액세스 모드로 등록된 경우 이 기본 설정을 변경할 필요가 없습니다. 하이브리드 액세스 모드에서 Lake Formation을 사용하면 동일한 리소스 AWS Glue 에서 Amazon S3 및 에 대한 Lake Formation 권한 및 IAM 권한 정책을 선택적으로 적용할 수 있습니다.

    
aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'

  • 교차 계정 권한을 부여하려면 권한 부여자에게 에 필요한 AWS Identity and Access Management (IAM) 권한이 있어야 합니다.AWS Glue 및 AWS RAM 서비스. AWS 관리형 정책은 필요한 권한을 AWSLakeFormationCrossAccountManager 부여합니다.

    를 사용하여 리소스 공유를 수신하는 계정의 데이터 레이크 관리자에게는 다음과 같은 추가 정책이 AWS RAM 있어야 합니다. 이를 통해 관리자는 AWS RAM 리소스 공유 초대를 수락할 수 있습니다. 또한 관리자는 이를 통해 조직과 리소스를 공유할 수 있습니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ram:AcceptResourceShareInvitation",
                "ram:RejectResourceShareInvitation",
                "ec2:DescribeAvailabilityZones",
                "ram:EnableSharingWithAwsOrganization"
            ],
            "Resource": "*"
        }
    ]
}

  • AWS Organizations 또는 조직 단위와 데이터 카탈로그 리소스를 공유하려면 에서 조직과 공유를 활성화해야 합니다 AWS RAM.

    조직과의 공유를 활성화하는 방법에 대한 자세한 내용은 AWS RAM 사용 설명서AWS 조직과의 공유 활성화를 참조하세요.

    조직과 공유할 수 있는 ram:EnableSharingWithAwsOrganization 권한이 있어야 합니다.

  • 다른 계정의 IAM 보안 주체와 리소스를 직접 공유하려면 교차 계정 버전 설정을 버전 3으로 업데이트해야 합니다. 이 설정은 데이터 카탈로그 설정 페이지에서 사용할 수 있습니다. 버전 1을 사용하는 경우 설정 교차 계정 데이터 공유 버전 설정 업데이트 업데이트 지침을 참조하세요.

  • AWS Glue 서비스 관리형 키로 암호화된 Data Catalog 리소스를 다른 계정과 공유할 수 없습니다. 고객의 암호화 키로 암호화된 데이터 카탈로그 리소스만 공유할 수 있으며, 리소스 공유를 받는 계정에는 데이터 카탈로그 암호화 키에 대한 객체 암호 해독 권한이 있어야 합니다.

LFTBAC 요구 사항을 사용한 교차 계정 데이터 공유

  • AWS Organizations 및 조직 단위(OUs)와 데이터 카탈로그 리소스를 공유하려면 교차 계정 버전 설정을 버전 3으로 업데이트해야 합니다.

  • 데이터 카탈로그 리소스를 크로스 계정 버전 설정 버전 3과 공유하려면 권한 부여자에게 계정의 AWS 관리형 정책에 정의된 IAM 권한이 있어야 AWSLakeFormationCrossAccountManager 합니다.

  • 크로스 계정 버전 설정 의 버전 1 또는 버전 2를 사용하는 경우 LF-를 활성화하는 데이터 카탈로그 리소스 정책(glue:PutResourcePolicy)이 있어야 합니다TBAC. 자세한 내용은 둘 다를 사용하여 교차 계정 권한 관리 AWS Glue 및 Lake Formation 단원을 참조하십시오.

  • 현재 를 사용하는 경우 AWS Glue 리소스를 공유하기 위한 데이터 카탈로그 리소스 정책으로, 크로스 계정 버전 설정 의 버전 3을 사용하여 크로스 계정 권한을 부여하려면 둘 다를 사용하여 교차 계정 권한 관리 AWS Glue 및 Lake Formation 섹션에 표시된 대로 glue:PutResourcePolicy API 작업을 사용하여 데이터 카탈로그 설정에서 glue:ShareResource 권한을 추가해야 합니다. 계정이 를 사용하여 교차 계정 권한을 부여하지 않은 경우 이 정책은 필요하지 않습니다.AWS Glue 교차 계정 액세스 권한을 부여하는 Data Catalog 리소스 정책(버전 1 및 버전 2 사용 glue:PutResourcePolicy 권한).

    {
      "Effect": "Allow",
      "Action": [
        "glue:ShareResource"
      ],
      "Principal": {"Service": [
        "ram.amazonaws.com"
      ]},
      "Resource": [
        "arn:aws:glue:<region>:<account-id>:table/*/*",
        "arn:aws:glue:<region>:<account-id>:database/*",
        "arn:aws:glue:<region>:<account-id>:catalog"
      ]
    }

  • 계정이 를 사용하여 교차 계정 공유를 만든 경우 AWS Glue 데이터 카탈로그 리소스 정책. 현재 가 리소스를 공유하는 AWS RAM 데 사용하는 리소스를 공유하기 위해 크로스 계정 설정 버전 3과 함께 명명된 리소스 메서드 또는 LF-TBAC를 사용하고 있으므로 glue:PutResourcePolicy API 작업을 호출할 'true'EnableHybrid 인수를 로 설정해야 합니다. 자세한 내용은 둘 다를 사용하여 교차 계정 권한 관리 AWS Glue 및 Lake Formation 단원을 참조하십시오.

공유 리소스에 액세스하는 각 계정에 설정이 필요합니다.

  • 와 리소스를 공유하는 경우 공유 리소스를 보려면 소비자 계정에서 AWS 계정하나 이상의 사용자가 데이터 레이크 관리자여야 합니다. 데이터 레이크 관리자 생성 방법에 대한 자세한 내용은 데이터 레이크 관리자 생성 섹션을 참조하세요.

    데이터 레이크 관리자는 계정의 다른 보안 주체에게 공유 리소스에 대한 Lake Formation 권한을 부여할 수 있습니다. 다른 보안 주체는 데이터 레이크 관리자가 리소스에 대한 권한을 부여할 때까지 공유 리소스에 액세스할 수 없습니다.

  • Athena 및 Redshift Spectrum과 같은 통합 서비스를 사용하려면 쿼리에 공유 리소스를 포함할 수 있는 리소스 링크가 필요합니다. 보안 주체는 데이터 카탈로그에 다른 AWS 계정의 공유 리소스로 연결되는 리소스 링크를 생성해야 합니다. 리소스 링크에 대한 자세한 내용은 Lake Formation에서 리소스 링크가 작동하는 방식 섹션을 참조하세요.

  • 리소스가 IAM 보안 주체와 직접 공유되면 Athena를 사용하여 테이블을 쿼리하려면 보안 주체가 리소스 링크를 생성해야 합니다. 리소스 링크를 생성하려면 보안 주체에게 Lake Formation CREATE_TABLE 또는 CREATE_DATABASE 권한과 glue:CreateTable 또는 glue:CreateDatabase IAM 권한이 필요합니다.

    생산자 계정이 동일 또는 다른 보안 주체와 동일한 데이터베이스 아래의 다른 테이블을 공유하는 경우 해당 보안 주체는 즉시 테이블을 쿼리할 수 있습니다.

참고

데이터 레이크 관리자와 데이터 레이크 관리자가 권한을 부여한 보안 주체의 경우 공유 리소스가 로컬(소유) 리소스인 것처럼 데이터 카탈로그에 표시됩니다. 추출, 변환 및 로드(ETL) 작업은 공유 리소스의 기본 데이터에 액세스할 수 있습니다.

공유 리소스의 경우 Lake Formation 콘솔의 테이블데이터베이스 페이지에 소유자의 계정 ID가 표시됩니다.

공유 리소스의 기본 데이터에 액세스하면 공유 리소스 수신자의 계정과 리소스 소유자의 계정 모두에서 CloudTrail 로그 이벤트가 생성됩니다. CloudTrail 이벤트에는 데이터에 액세스한 보안 주체ARN의 가 포함될 수 있지만 수신자 계정이 ARN 로그에 보안 주체를 포함하도록 옵트인한 경우에만 가능합니다. 자세한 내용은 교차 계정 CloudTrail 로깅 단원을 참조하십시오.