메타데이터 권한

Lake Formation은 데이터 카탈로그에 대한 권한 부여 및 액세스 제어를 제공합니다. IAM 역할이 임의의 시스템에서 데이터 카탈로그 API를 호출하면 데이터 카탈로그가 사용자의 데이터 권한을 확인하고 사용자에게 액세스 권한이 있는 메타데이터만 반환합니다. 예를 들어 IAM 역할이 데이터베이스 내의 한 테이블에만 액세스할 수 있고 해당 역할을 맡은 서비스 또는 사용자가 GetTables 작업을 수행하는 경우 응답에는 데이터베이스의 테이블 수에 관계없이 테이블 한 개만 포함됩니다.

기본 설정 - IAMAllowedPrincipal 그룹 권한

AWS Lake Formation은 기본적으로 모든 데이터베이스 및 테이블에 대한 권한을 IAMAllowedPrincipal이라는 가상 그룹에 설정합니다. 이 그룹은 고유하며 Lake Formation 내에서만 볼 수 있습니다. IAMAllowedPrincipal그룹에는 IAM 보안 주체 정책 및 리소스 정책을 통해 데이터 카탈로그 리소스에 액세스할 수 있는 모든 IAM 보안 주체가 포함됩니다. AWS Glue 데이터베이스 또는 테이블에 이 권한이 있는 경우 모든 보안 주체에 데이터베이스 또는 테이블에 대한 액세스 권한이 부여됩니다.

데이터베이스 또는 테이블에 대해 더 세분화된 권한을 제공하려는 경우 IAMAllowedPrincipal 권한을 제거하면 Lake Formation이 해당 데이터베이스 또는 테이블과 연결된 다른 모든 정책을 적용합니다. 예를 들어 사용자 A가 DESCRIBE 권한으로 데이터베이스 A에 액세스하도록 허용하는 정책이 있고 IAMAllowedPrincipal이 모든 권한과 함께 존재하는 경우 사용자 A는 IAMAllowedPrincipal 권한이 취소될 때까지 다른 모든 작업을 계속 수행합니다.

또한 기본적으로 IAMAllowedPrincipal 그룹은 생성된 모든 새 데이터베이스 및 테이블에 대한 권한을 갖습니다. 이 동작을 제어하는 두 가지 구성이 있습니다. 첫 번째는 새로 생성된 데이터베이스에 대해 이를 활성화하는 계정 및 리전 수준이고, 두 번째는 데이터베이스 수준입니다. 기본 설정을 수정하려면 기본 권한 모델을 변경하거나 하이브리드 액세스 모드를 사용하십시오. 섹션을 참조하세요.

권한 부여

데이터 레이크 관리자는 보안 주체에 데이터 카탈로그 권한을 부여하여 보안 주체가 데이터베이스와 테이블을 생성 및 관리하고 기본 데이터에 액세스할 수 있도록 할 수 있습니다.

데이터베이스 및 테이블 수준 권한

Lake Formation 내에서 권한을 부여할 때 부여자는 권한을 부여할 보안 주체, 권한을 부여할 리소스, 피부여자가 수행하기 위해 액세스해야 하는 작업을 지정해야 합니다. Lake Formation 내의 대부분의 리소스의 경우 권한을 부여할 보안 주체 목록과 리소스는 유사하지만 피부여자가 수행할 수 있는 작업은 리소스 유형에 따라 다릅니다. 예를 들어 테이블에 대해 SELECT 권한을 사용하면 테이블을 읽을 수 있지만 데이터베이스에 대해서는 SELECT 권한이 허용되지 않습니다. 반면 CREATE_TABLE 권한은 데이터베이스에 대해서는 허용되지만 테이블에 대해서는 허용되지 않습니다.

다음 두 가지 방법을 사용하여 AWS Lake Formation 권한을 부여할 수 있습니다.

명명된 리소스 방법 - 사용자에게 권한을 부여하는 동안 데이터베이스 및 테이블 이름을 선택할 수 있습니다.
LF 태그 기반 액세스 제어(LF-TBAC) - 사용자는 LF 태그를 생성하고, 이를 데이터 카탈로그 리소스와 연결하고, LF 태그에 대한 Describe 권한을 부여하고, 개별 사용자에게 권한을 연결하고, LF 태그를 사용하여 다른 사용자에 대한 LF 권한 정책을 작성합니다. 이러한 LF 태그 기반 정책은 해당 LF 태그 값과 연결된 모든 데이터 카탈로그 리소스에 적용됩니다.

참고
LF 태그는 Lake Formation에서만 사용할 수 있습니다. Lake Formation에서만 볼 수 있으며 AWS 리소스 태그와 혼동해서는 안 됩니다.

LF-TBAC는 사용자가 리소스를 사용자 정의 범주의 LF 태그로 그룹화하고 해당 리소스 그룹에 권한을 적용할 수 있는 기능입니다. 따라서 이것은 수많은 데이터 카탈로그 리소스에 걸쳐 권한을 확장할 수 있는 가장 좋은 방법입니다.

자세한 정보는 Lake Formation 태그 기반 액세스 제어을 참조하세요.

보안 주체에게 권한을 부여하면 Lake Formation은 해당 사용자에 대한 모든 정책의 통합으로 권한을 평가합니다. 예를 들어, 보안 주체의 테이블에 대한 두 개의 정책이 있을 때 한 정책은 명명된 리소스 방법을 통해 col1, col2, col3 열에 권한을 부여하고 다른 정책은 LF 태그를 통해 동일한 테이블과 보안 주체에 대해 col5, col6 열에 권한을 부여한다면 유효 권한은 col1, col2, col3, col5 및 col6에 대한 통합 권한이 됩니다. 여기에는 데이터 필터 및 행도 포함됩니다.

데이터 위치 권한

데이터 위치 권한은 관리자가 아닌 사용자에게 특정 Amazon S3 위치에 데이터베이스와 테이블을 생성할 수 있는 권한을 제공합니다. 사용자가 생성 권한이 없는 위치에 데이터베이스 또는 테이블을 생성하려고 하면 생성 작업이 실패합니다. 이는 사용자가 데이터 레이크 내의 임의 위치에 테이블을 생성하는 것을 방지하고 해당 사용자가 데이터를 읽고 쓸 수 있는 위치를 제어할 수 있도록 하기 위한 것입니다. 테이블이 생성되는 데이터베이스 내의 Amazon S3 위치에 테이블을 생성할 때는 암시적 권한이 있습니다. 자세한 정보는 데이터 위치 권한 부여을 참조하세요.

테이블 및 데이터베이스 권한 생성

관리자가 아닌 사용자는 기본적으로 데이터베이스 또는 데이터베이스 내 테이블을 생성할 수 있는 권한이 없습니다. 인증된 보안 주체만 데이터베이스를 생성할 수 있도록 Lake Formation 설정을 사용하여 계정 수준에서 데이터베이스 생성을 제어합니다. 자세한 정보는 데이터베이스 생성을 참조하세요. 테이블을 생성하려면 보안 주체에게 테이블을 생성할 데이터베이스에 대한 CREATE_TABLE 권한이 있어야 합니다. 자세한 정보는 테이블 생성을 참조하세요.

암시적 및 명시적 권한

Lake Formation은 페르소나와 페르소나가 수행하는 작업에 따라 암시적 권한을 제공합니다. 예를 들어 데이터 레이크 관리자는 데이터 카탈로그 내의 모든 리소스에 대한 DESCRIBE 권한, 모든 위치에 대한 데이터 위치 권한, 모든 위치에 데이터베이스 및 테이블을 생성할 수 있는 권한, 모든 리소스에 대한 Grant 및 Revoke 권한을 자동으로 얻습니다. 데이터베이스 생성자는 자신이 생성한 데이터베이스에 대한 모든 데이터베이스 권한을 자동으로 얻게 되며, 테이블 생성자는 자신이 생성한 테이블에 대한 모든 권한을 갖게 됩니다. 자세한 정보는 암시적 Lake Formation 권한을 참조하세요.

부여 가능한 권한

데이터 레이크 관리자는 부여 가능한 권한을 제공하여 관리자가 아닌 사용자에게 권한 관리를 위임할 수 있습니다. 보안 주체에게 리소스에 대한 부여 가능한 권한과 권한 집합이 제공되면 해당 보안 주체는 해당 리소스에 대해 다른 보안 주체에 권한을 부여할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

작동 방식

스토리지 액세스 관리