Lake Formation에서의 교차 계정 데이터 공유

Lake Formation을 사용하면 명명된 리소스 방법 또는 LF 태그를 사용하여 간단한 설정으로 AWS 계정 내 및 계정 간에 데이터 카탈로그 리소스(데이터베이스 및 테이블)를 공유할 수 있습니다. 전체 데이터베이스를 공유하거나 데이터베이스의 테이블을 계정의 보안 IAM 주체(IAM 역할 및 사용자), 계정 수준의 다른 AWS 계정 또는 다른 계정의 보안 IAM 주체와 직접 선택할 수 있습니다.

또한 데이터 카탈로그 테이블을 데이터 필터와 공유하여 행 수준 및 셀 수준 세부 정보에서 세부 정보에 대한 액세스를 제한할 수 있습니다. Lake Formation은 AWS Resource Access Manager (AWS RAM)를 사용하여 계정 간에 권한 부여를 용이하게 합니다. 두 계정 간에 리소스가 공유되면 AWS RAM 은 수신자 계정으로 초대를 보냅니다. 사용자가 AWS RAM 공유 초대를 수락하면 는 데이터 카탈로그 리소스를 사용할 수 있도록 Lake Formation에 필요한 권한과 활성화된 스토리지 수준 적용을 AWS RAM 제공합니다. 자세한 내용은 Lake Formation에서의 교차 계정 데이터 공유 단원을 참조하십시오.

수신자 계정의 데이터 레이크 관리자가 AWS RAM 공유를 수락하면 수신자 계정에서 공유 리소스를 사용할 수 있습니다. 관리자가 공유 리소스에 대한 권한을 보유한 경우 데이터 레이크 관리자는 공유 리소스에 대한 추가 Lake Formation GRANTABLE 권한을 수신자 계정의 추가 IAM 보안 주체에게 부여합니다.

하지만 보안 주체는 리소스 링크 없이 Athena 또는 Redshift Spectrum을 사용하여 공유 리소스를 쿼리할 수 없습니다. 리소스 링크는 데이터 카탈로그의 엔터티이며 Linux-Symlink 개념과 유사합니다.

수신자 계정의 데이터 레이크 관리자가 공유 리소스에 리소스 링크를 생성합니다. 관리자는 원본 공유 리소스에 대한 필수 권한과 함께 리소스 링크에 대한 Describe 권한을 추가 사용자에게 부여합니다. 그러면 수신자 계정의 사용자는 리소스 링크를 통해 Athena 및 Redshift Spectrum을 사용하여 공유 리소스를 쿼리할 수 있습니다. 리소스 링크에 대한 자세한 내용은 리소스 링크 생성 섹션을 참조하세요.