하이브리드 액세스 모드

리소스를 하이브리드 AWS Glue 리소스로 전환 - 이 시나리오에서는 현재 Lake Formation을 사용하고 있지 않지만 데이터 카탈로그 데이터베이스 및 테이블에 Lake Formation 권한을 채택하려고 합니다. 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하면 해당 위치를 가리키는 특정 데이터베이스 및 테이블을 옵트인하는 사용자에게 Lake Formation 권한을 부여할 수 있습니다.

Lake Formation 리소스를 하이브리드 리소스로 전환 - 현재는 Lake Formation 권한을 사용하여 데이터 카탈로그 데이터베이스에 대한 액세스를 제어하고 있지만 기존 Lake Formation 권한을 AWS Glue 중단하지 않으면서 Amazon S3에 대한 IAM 권한을 사용하여 새 보안 주체에 대한 액세스를 제공하고자 합니다.

데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하면 새 보안 주체가 기존 사용자의 Lake Formation 권한을 방해하지 않고 IAM 권한 정책을 사용하여 Amazon S3 위치를 가리키는 데이터 카탈로그 데이터베이스에 액세스할 수 있습니다.

하이브리드 액세스 모드를 활성화하도록 데이터 위치 등록을 업데이트하기 전에 먼저 현재 Lake Formation 권한으로 리소스에 액세스하고 있는 보안 주체를 옵트인해야 합니다. 
 이는 현재 워크플로에 대한 잠재적 중단을 방지하기 위한 것입니다. 
 또한 데이터베이스의 테이블에 대한 Super 권한을 IAMAllowedPrincipal 그룹에 부여해야 합니다.

하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유 - 이 시나리오에서 생산자 계정에는 데이터베이스에 테이블이 있으며, 이 테이블은 현재 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 소비자 계정과 공유됩니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있지 않습니다.

하이브리드 액세스 모드에서 데이터 위치를 등록하기 전에 교차 계정 버전 설정을 버전 4로 업데이트해야 합니다. 버전 4에서는 IAMAllowedPrincipal 그룹이 리소스에 대한 AWS RAM 권한을 가질 때 계정 간 공유에 필요한 새로운 Super 권한 정책을 제공합니다. IAMAllowedPrincipal 그룹 권한이 있는 리소스의 경우 외부 계정에 Lake Formation 권한을 부여하고 외부 계정에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 수신자 계정의 데이터 레이크 관리자는 계정의 보안 주체에 Lake Formation 권한을 부여하고 보안 주체가 Lake Formation 권한을 적용하도록 옵트인할 수 있습니다.

하이브리드 액세스 모드를 사용하여 Lake Formation 리소스 공유 - 현재 생산자 계정에는 Lake Formation 권한을 적용하는 소비자 계정과 공유되는 데이터베이스 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다.

이 경우 Amazon S3 위치 등록을 하이브리드 액세스 모드로 업데이트하고, Amazon S3 버킷 정책 및 데이터 카탈로그 리소스 정책을 사용하여 Amazon S3의 데이터와 데이터 카탈로그의 메타데이터를 소비자 계정의 보안 주체와 공유할 수 있습니다. Amazon S3 위치 등록을 업데이트하기 전에 기존 Lake Formation 권한을 다시 부여하고 보안 주체를 옵트인해야 합니다. 또한 데이터베이스의 테이블에 대한 Super 권한을 IAMAllowedPrincipals 그룹에 부여해야 합니다.