AWS Lake Formation: 작동 방식

AWS Lake Formation 는 Amazon S3의 기본 데이터가 있는 데이터베이스, 테이블 및 열과 같은 Data Catalog 리소스에 대한 액세스 권한을 부여하거나 취소할 수 있는 관계형 데이터베이스 관리 시스템(RDBMS) 권한 모델을 제공합니다. 관리하기 쉬운 Lake Formation 권한은 복잡한 Amazon S3 버킷 정책 및 해당 IAM 정책을 대체합니다.

Lake Formation에서는 다음과 같은 두 가지 수준에서 권한을 구현할 수 있습니다.

데이터베이스 및 테이블과 같은 데이터 카탈로그 리소스에 메타데이터 수준 권한 적용
통합 엔진을 대신하여 Amazon S3에 저장된 기본 데이터에 대한 스토리지 액세스 권한 관리

Lake Formation 권한 관리 워크플로

Lake Formation은 Lake Formation에 등록된 Amazon S3 데이터 스토어와 메타데이터 객체를 쿼리할 수 있도록 분석 엔진과 통합됩니다. 다음 다이어그램은 Lake Formation의 권한 관리 방식을 보여 줍니다.

Diagram showing Lake Formation permissions enforcement layers and data access flow.

Lake Formation 권한 관리의 주요 단계

Lake Formation이 데이터 레이크의 데이터에 대한 액세스 제어를 제공하려면 먼저 데이터 레이크 관리자 또는 관리 권한이 있는 사용자가 Lake Formation 권한을 사용하여 데이터 카탈로그 테이블에 대한 액세스를 허용하거나 거부하도록 개별 데이터 카탈로그 테이블 사용자 정책을 설정합니다.

그러면 데이터 레이크 관리자 또는 관리자가 위임한 사용자가 데이터 카탈로그 데이터베이스 및 테이블에 대한 Lake Formation 권한을 사용자에게 부여하고 테이블의 Amazon S3 위치를 Lake Formation에 등록합니다.

메타데이터 가져오기 - 보안 주체(사용자)는 Amazon Athena ETL , Amazon AWS Glue EMR, Amazon 또는 Amazon Redshift Spectrum과 같은 통합 분석 엔진에 쿼리 또는 스크립트를 제출합니다. Amazon Athena 통합 분석 엔진은 요청된 테이블을 식별하고 데이터 카탈로그에 메타데이터 요청을 보냅니다.
권한 확인 - 데이터 카탈로그는 Lake Formation으로 사용자의 권한을 확인하고, 사용자가 테이블에 액세스할 수 있는 경우 사용자가 볼 수 있는 메타데이터를 엔진에 반환합니다.
보안 인증 가져오기 - 데이터 카탈로그를 통해 엔진은 테이블이 Lake Formation에서 관리되는지 여부를 알 수 있습니다. 기본 데이터가 Lake Formation에 등록된 경우 분석 엔진은 Lake Formation에 임시 액세스 권한을 부여하여 데이터 액세스를 제공하도록 요청합니다.
데이터 가져오기 - 사용자가 테이블에 액세스할 수 있는 경우 Lake Formation이 통합 분석 엔진에 대한 임시 액세스를 제공합니다. 분석 엔진은 임시 액세스를 사용하여 Amazon S3에서 데이터를 가져오고 열, 행 또는 셀 필터링과 같은 필요한 필터링을 수행합니다. 엔진에서 작업 실행을 마치면 결과가 사용자에게 반환됩니다. 이 프로세스를 보안 인증 벤딩이라고 합니다.

Lake Formation에서 테이블을 관리하지 않는 경우 분석 엔진에서 두 번째 호출이 Amazon S3로 직접 전송됩니다. 관련 Amazon S3 버킷 정책 및 IAM 사용자 정책은 데이터 액세스에 대해 평가됩니다.

IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 IAM 사용 설명서의 에서 보안 모범 사례를 IAM 참조하세요.

주제

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS Lake Formation란 무엇인가요?

메타데이터 권한