리소스 링크 권한 부여 - AWS Lake Formation

리소스 링크 권한 부여

AWS 계정 내 보안 주체에 하나 이상의 리소스 링크에 대한 AWS Lake Formation 권한을 부여하려면 다음 단계를 따르세요.

리소스 링크를 만든 후에는 사용자만 보고 액세스할 수 있습니다. (데이터베이스에 대해 이 데이터베이스의 새 테이블에 대해 IAM 액세스 제어만 사용이 활성화되어 있지 않다고 가정합니다.) 계정의 다른 보안 주체가 리소스 링크에 액세스할 수 있도록 허용하려면 최소한 DESCRIBE 권한을 부여하세요.

중요

리소스 링크에 대한 권한을 부여해도 대상(링크된) 데이터베이스 또는 테이블에 대한 권한은 부여되지 않습니다. 대상에 대한 권한을 별도로 부여해야 합니다.

Lake Formation 콘솔, API 또는 AWS Command Line Interface(AWS CLI)를 사용하여 권한을 부여할 수 있습니다.

console
Lake Formation 콘솔을 사용하여 리소스 링크 권한 부여

  1. 다음 중 하나를 수행합니다.

    • 데이터베이스 리소스 링크의 경우 명명된 리소스 방법을 사용하여 데이터베이스 권한 부여의 단계에 따라 다음을 수행합니다.

      1. 데이터 레이크 권한 부여 페이지를 엽니다.

      2. 데이터베이스를 지정합니다. 하나 이상의 데이터베이스 리소스 링크를 지정합니다.

      3. 보안 주체를 지정합니다.

    • 테이블 리소스 링크의 경우 명명된 리소스 방법을 사용하여 테이블 권한 부여의 단계에 따라 다음을 수행합니다.

      1. 데이터 레이크 권한 부여 페이지를 엽니다.

      2. 테이블을 지정합니다. 하나 이상의 테이블 리소스 링크를 지정합니다.

      3. 보안 주체를 지정합니다.

  2. 권한에서 부여할 권한을 선택합니다. 선택적으로 부여 가능한 권한을 선택합니다.

    권한 섹션에는 두 개의 타일이 있습니다. 각 타일에는 옵션 버튼과 텍스트가 있습니다. 리소스 링크 권한 타일이 선택되어 있습니다. 다른 타일은 테이블 권한과 관련이 있으므로 비활성화되어 있습니다. 타일 아래에는 부여할 리소스 링크 권한에 대한 확인란 그룹이 있습니다. 확인란에는 삭제, 설명, 슈퍼 등이 있습니다. 해당 그룹 아래에는 부여 가능한 권한을 위한 동일한 확인란으로 구성된 또 다른 그룹이 있습니다.

  3. 권한 부여를 선택합니다.

AWS CLI
AWS CLI를 사용하여 리소스 링크 권한을 부여하려면

  • 리소스 링크를 리소스로 지정하여 grant-permissions 명령을 실행합니다.

    이 예에서는 AWS 계정 1111-2222-3333의 데이터베이스 issues에 있는 테이블 리소스 링크 incidents-link의 사용자 datalake_user1에게 DESCRIBE를 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
추가 참고: