공유 테이블의 기본 데이터에 액세스 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

공유 테이블의 기본 데이터에 액세스

AWS 계정 A가 계정 B와 데이터 카탈로그 테이블을 공유한다고 가정합니다. 예를 들어, 테이블의 SELECT 권한 부여 옵션을 사용하여 계정 B에 권한을 부여합니다. 계정 B의 보안 주체가 공유 테이블의 기본 데이터를 읽을 수 있으려면 다음 조건을 충족해야 합니다.

  • 계정 B의 데이터 레이크 관리자는 공유를 수락해야 합니다. (계정 A와 B가 같은 조직에 있거나 Lake Formation 태그 기반 액세스 제어 방법을 사용하여 권한을 부여한 경우에는 필요하지 않습니다.)

  • 데이터 레이크 관리자는 계정 A가 공유 테이블에 부여한 Lake Formation SELECT 권한을 보안 주체에 다시 부여해야 합니다.

  • 보안 주체는 테이블, 테이블이 포함된 데이터베이스 및 계정 A 데이터 카탈로그에 대해 다음과 같은 IAM 권한을 가져야 합니다.

    참고

    다음 IAM 정책에서:

    • Replace <account-id-A> AWS 계정 A의 계정 ID를 사용합니다.

    • Replace <region> 유효한 리전이 있습니다.

    • Replace <database> 공유 테이블이 포함된 계정 A의 데이터베이스 이름을 사용합니다.

    • Replace <table> 공유 테이블의 이름을 사용합니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "glue:GetTable",
            "glue:GetTables",
            "glue:GetPartition",
            "glue:GetPartitions",
            "glue:BatchGetPartition",
            "glue:GetDatabase",
            "glue:GetDatabases"
           ],
           "Resource": [
            "arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>",
            "arn:aws:glue:<region>:<account-id-A>:database/<database>",
            "arn:aws:glue:<region>:<account-id-A>:catalog"
           ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "lakeformation:GetDataAccess"
           ],
          "Resource": [
            "*"
           ],
          "Condition": {
            "StringEquals": {
              "lakeformation:GlueARN":"arn:aws:glue:<region>:<account-id-A>:table/<database>/<table>"
            }
        }
    }
   ]
}
추가 참고: