하이브리드 액세스 모드 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드

AWS Lake Formation 하이브리드 액세스 모드는 동일한 AWS Glue Data Catalog 데이터베이스, 테이블 및 뷰에 대한 두 가지 권한 경로를 지원합니다. 
 첫 번째 경로에서 Lake Formation을 사용하면 특정 보안 주체를 선택하고 Lake Formation에 옵트인하여 데이터베이스 및 테이블에 액세스할 수 있는 권한을 부여할 수 있습니다. 두 번째 경로에서는 다른 모든 보안 주체가 Amazon S3 및 AWS Glue 작업에 대한 기본 보안 IAM 주체 정책을 통해 이러한 리소스에 액세스할 수 있습니다.

Amazon S3 위치를 Lake Formation에 등록하면 이 위치의 모든 리소스에 대해 Lake Formation 권한을 적용하거나 하이브리드 액세스 모드를 사용할 수 있습니다. 하이브리드 액세스 모드는 기본적으로 CREATE_TABLE, CREATE_PARTITION, UPDATE_TABLE 권한만 적용합니다. Amazon S3 위치가 하이브리드 액세스 모드에 있는 경우 해당 위치의 데이터베이스 및 테이블에 대한 보안 주체를 선택하여 Lake Formation 권한을 활성화할 수 있습니다.


따라서 하이브리드 액세스 모드는 다른 기존 사용자 또는 워크로드에 대한 액세스를 중단하지 않고도 특정 사용자 집합의 데이터 카탈로그의 데이터베이스 및 테이블에 대해 Lake Formation을 선택적으로 활성화할 수 있는 유연성을 제공합니다.

AWS 계정 architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.

고려 사항 및 제한 사항은 하이브리드 액세스 모드 고려 사항 및 제한 사항 단원을 참조하세요.

용어 및 정의

액세스 권한 설정 방법에 따른 데이터 카탈로그 리소스의 정의는 다음과 같습니다.

Lake Formation 리소스

Lake Formation에 등록된 리소스입니다. 사용자가 리소스에 액세스하려면 Lake Formation 권한이 필요합니다.

AWS Glue 리소스

Lake Formation에 등록되지 않은 리소스입니다. 리소스에는 IAMAllowedPrincipals 그룹 IAM 권한이 있으므로 사용자에게 리소스에 액세스할 수 있는 권한만 필요합니다. Lake Formation 권한은 적용되지 않습니다.

IAMAllowedPrincipals 그룹 권한에 대한 자세한 내용은 메타데이터 권한 섹션을 참조하십시오.

하이브리드 리소스

하이브리드 액세스 모드에서 등록된 리소스입니다. 리소스에 액세스하는 사용자에 따라 리소스는 Lake Formation 리소스 또는 AWS Glue 리소스 간에 동적으로 전환됩니다.

일반적인 하이브리드 액세스 모드 사용 사례

하이브리드 액세스 모드를 사용하여 단일 계정 및 교차 계정 데이터 공유 시나리오에서 액세스를 제공할 수 있습니다.

단일 계정 시나리오
  • AWS Glue 리소스를 하이브리드 리소스로 변환 - 이 시나리오에서는 현재 Lake Formation을 사용하고 있지 않지만 Data Catalog 데이터베이스 및 테이블에 대해 Lake Formation 권한을 채택하려고 합니다. 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하면 해당 위치를 가리키는 특정 데이터베이스 및 테이블을 옵트인하는 사용자에게 Lake Formation 권한을 부여할 수 있습니다.

  • Lake Formation 리소스를 하이브리드 리소스로 변환 - 현재 Lake Formation 권한을 사용하여 데이터 카탈로그 데이터베이스에 대한 액세스를 제어하지만, 기존 Lake Formation 권한을 중단하지 않고 Amazon S3 AWS Glue 에 대한 IAM 권한을 사용하여 새 보안 주체에 대한 액세스를 제공하고자 합니다.

    데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하면 새 보안 주체가 기존 사용자의 Lake Formation 권한을 중단하지 않고 IAM 권한 정책을 사용하여 Amazon S3 위치를 가리키는 데이터 카탈로그 데이터베이스에 액세스할 수 있습니다.

    하이브리드 액세스 모드를 활성화하도록 데이터 위치 등록을 업데이트하기 전에 먼저 현재 Lake Formation 권한으로 리소스에 액세스하고 있는 보안 주체를 옵트인해야 합니다. 
 이는 현재 워크플로에 대한 잠재적 중단을 방지하기 위한 것입니다. 
 또한 데이터베이스의 테이블에 대한 Super 권한을 IAMAllowedPrincipal 그룹에 부여해야 합니다.

교차 계정 데이터 공유 시나리오
  • 하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유 - 이 시나리오에서 생산자 계정에는 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 현재 소비자 계정과 공유되는 데이터베이스의 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있지 않습니다.

    하이브리드 액세스 모드에서 데이터 위치를 등록하기 전에 교차 계정 버전 설정을 버전 4로 업데이트해야 합니다. 버전 4는 IAMAllowedPrincipal 그룹에 리소스에 대한 AWS RAM 권한이 있을 때 교차 계정 공유에 필요한 새로운 Super 권한 정책을 제공합니다. IAMAllowedPrincipal 그룹 권한이 있는 리소스의 경우 외부 계정에 Lake Formation 권한을 부여하고 외부 계정에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 수신자 계정의 데이터 레이크 관리자는 계정의 보안 주체에 Lake Formation 권한을 부여하고 보안 주체가 Lake Formation 권한을 적용하도록 옵트인할 수 있습니다.

  • 하이브리드 액세스 모드를 사용하여 Lake Formation 리소스 공유 - 현재 생산자 계정에는 Lake Formation 권한을 적용하는 소비자 계정과 공유되는 데이터베이스 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다.

    이 경우 Amazon S3 위치 등록을 하이브리드 액세스 모드로 업데이트하고, Amazon S3 버킷 정책 및 데이터 카탈로그 리소스 정책을 사용하여 Amazon S3의 데이터와 데이터 카탈로그의 메타데이터를 소비자 계정의 보안 주체와 공유할 수 있습니다. Amazon S3 위치 등록을 업데이트하기 전에 기존 Lake Formation 권한을 다시 부여하고 보안 주체를 옵트인해야 합니다. 또한 데이터베이스의 테이블에 대한 Super 권한을 IAMAllowedPrincipals 그룹에 부여해야 합니다.