하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유

기존 Lake Formation 교차 계정 공유 권한을 중단하지 않고 IAM 기반 정책을 사용하여 외부 계정의 새 Data Catalog 사용자가 Data Catalog 데이터베이스 및 테이블에 액세스할 수 있도록 허용합니다.

시나리오 설명 - 생산자 계정에는 계정 수준 또는 IAM 보안 주체 수준에서 외부(소비자) 계정과 공유되는 Lake Formation 관리형 데이터베이스 및 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다. IAMAllowedPrincipals 그룹에는 데이터베이스 및 데이터베이스의 테이블에 대한 Super 권한이 없습니다.

기존 Lake Formation 권한을 중단하지 않고 IAM 기반 정책을 통해 새 Data Catalog 사용자에게 교차 계정 액세스 권한 부여
  1. 생산자 계정 설정
    1. lakeformation:PutDataLakeSettings 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.

    2. 데이터 카탈로그 설정에서 교차 계정 버전 설정에 대해 Version 4를 선택합니다.

      현재 버전 1 또는 2를 사용 중인 경우 교차 계정 데이터 공유 버전 설정 업데이트 섹션에서 버전 3으로의 업데이트에 대한 지침을 참조할 수 있습니다.

      버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.

    3. 데이터베이스 및 테이블에 대해 보안 주체에 부여한 권한을 나열합니다. 자세한 내용은 Lake Formation의 데이터베이스 및 테이블 권한 보기 단원을 참조하십시오.

    4. 보안 주체 및 리소스를 옵트인하여 기존 Lake Formation 교차 계정 권한을 다시 부여합니다.

      참고

      데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하여 교차 계정 권한을 부여하기 전에 계정당 하나 이상의 교차 계정 데이터 공유를 다시 부여해야 합니다. 이 단계는 AWS RAM 리소스 공유에 연결된 AWS RAM 관리형 권한을 업데이트하는 데 필요합니다.

      2023년 7월 Lake Formation은 데이터베이스 및 테이블 공유에 사용되는 AWS RAM 관리형 권한을 업데이트했습니다.

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(데이터베이스 수준 공유 정책)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(테이블 수준 공유 정책)

      2023년 7월 이전에 수행된 교차 계정 권한 부여에는 이러한 업데이트된 AWS RAM 권한이 없습니다.

      교차 계정 권한을 보안 주체에 직접 부여한 경우 해당 권한을 보안 주체에 개별적으로 다시 부여해야 합니다. 이 단계를 건너뛰면 공유 리소스에 액세스하는 보안 주체에 잘못된 조합 오류가 발생할 수 있습니다.

    5. https://console.aws.amazon.com/ram 으로 이동합니다.

    6. AWS RAM 콘솔의 내 공유 탭에는 외부 계정 또는 보안 주체와 공유한 데이터베이스 및 테이블 이름이 표시됩니다.

      공유 리소스에 연결된 권한이 올바른 를 가지고 있는지 확인합니다ARN.

    7. AWS RAM 공유의 리소스가 Associated 상태인지 확인합니다. 상태가 Associating으로 표시되면 Associated 상태가 될 때까지 기다립니다. 상태가 Failed가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.

    8. 왼쪽 탐색 표시줄의 권한에서 하이브리드 액세스 모드를 선택하고 추가를 선택합니다.

    9. 보안 주체 및 리소스 추가 페이지에는 데이터베이스 및/또는 테이블 그리고 액세스 권한이 있는 보안 주체가 표시됩니다. 보안 주체 및 리소스를 추가하거나 제거하여 필요한 업데이트를 수행할 수 있습니다.

    10. 하이브리드 액세스 모드로 변경하려는 데이터베이스 및 테이블에 대한 Lake Formation 권한이 있는 보안 주체를 선택합니다. 데이터베이스 및 테이블을 선택합니다.

    11. 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체를 옵트인하려면 추가를 선택합니다.

    12. 가상 그룹 IAMAllowedPrincipals에 데이터베이스 및 선택한 테이블에 대한 Super 권한을 부여합니다.

    13. Amazon S3 위치 Lake Formation 등록을 하이브리드 액세스 모드로 편집합니다.

    14. Amazon S3 AWS Glue actions에 대한 권한 정책을 사용하여 외부(소비자) 계정의 AWS Glue 사용자에게 IAM 권한을 부여합니다.

  2. 소비자 계정 설정
    1. 데이터 레이크 관리자https://console.aws.amazon.com/lakeformation/로 에서 Lake Formation 콘솔에 로그인합니다.

    2. https://console.aws.amazon.com/ram으로 이동하여 리소스 공유 초대를 수락합니다. AWS RAM 페이지의 나와 공유된 리소스 탭에는 계정과 공유된 데이터베이스 및 테이블 이름이 표시됩니다.

      AWS RAM 공유의 경우 연결된 권한에 공유 AWS RAM 초대ARN가 올바른지 확인합니다. AWS RAM 공유의 리소스가 Associated 상태인지 확인합니다. 상태가 Associating으로 표시되면 Associated 상태가 될 때까지 기다립니다. 상태가 Failed가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.

    3. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.

    4. (소비자) 계정의 IAM 보안 주체에게 Describe 리소스 링크 및 Grant on target 권한(원래 공유 리소스)에 대한 권한을 부여합니다.

    5. 다음으로, 공유된 데이터베이스 또는 테이블에서 계정의 보안 주체에 대한 Lake Formation 권한을 설정합니다.

      왼쪽 탐색 표시줄의 권한에서 하이브리드 액세스 모드를 선택합니다.

    6. 하이브리드 액세스 모드 페이지 하단에서 추가를 선택하여 생산자 계정에서 공유되는 데이터베이스 또는 테이블과 보안 주체를 옵트인합니다.

    7. Amazon S3 AWS Glue actions에 대한 권한 정책을 사용하여 계정의 AWS Glue 사용자에게 IAM 권한을 부여합니다.

    8. Athena를 사용하여 테이블에서 별도의 샘플 쿼리를 실행하여 사용자의 Lake Formation 권한 및 AWS Glue 권한을 테스트합니다.

      (선택 사항) 하이브리드 액세스 모드에 있는 보안 주체에 대한 Amazon S3의 IAM 권한 정책을 정리합니다.