교차 계정 데이터 공유 버전 설정 업데이트
AWS Lake Formation은 때때로 교차 계정 데이터 공유 설정을 업데이트하여 AWS RAM 사용에 대한 변경 사항을 구분하고 교차 계정 데이터 공유 기능에 대한 업데이트를 지원합니다. Lake Formation이 이 작업을 수행하면 교차 계정 버전 설정의 새 버전이 생성됩니다.
교차 계정 버전 설정 간의 주요 차이점
다양한 교차 계정 버전 설정에서 교차 계정 데이터 공유가 작동하는 방식에 대한 자세한 내용은 다음 섹션을 참조하세요.
참고
다른 계정과 데이터를 공유하려면 권한 부여자에게 AWSLakeFormationCrossAccountManager 관리형 IAM 정책 권한이 있어야 합니다. 이는 모든 버전의 전제 조건입니다.
교차 계정 버전 설정을 업데이트해도 수신자가 공유 리소스에 대해 갖는 권한에는 영향을 주지 않습니다. 이는 버전 1에서 버전 2로, 버전 2에서 버전 3으로, 버전 1에서 버전 3으로 업데이트할 때 적용됩니다. 버전을 업데이트할 때는 아래 나열된 고려 사항을 참조하세요.
- 버전 1
-
명명된 리소스 방식: 각 교차 계정 Lake Formation 권한 부여를 하나의 AWS RAM 리소스 공유에 매핑합니다. 사용자(권한 부여자 역할 또는 보안 주체)에게는 추가 권한이 필요하지 않습니다.
LF-TBAC 방식: 교차 계정 Lake Formation 권한 부여는 데이터 공유에 AWS RAM을 사용하지 않습니다. 사용자는
glue:PutResourcePolicy권한이 있어야 합니다.버전 업데이트의 이점: 초기 버전 - 해당 없음.
버전 업데이트 시 고려 사항: 초기 버전 - 해당 없음
- 버전 2
-
명명된 리소스 방식: 여러 교차 계정 권한 부여를 하나의 AWS RAM 리소스 공유에 매핑하여 AWS RAM 리소스 공유 수를 최적화합니다. 사용자에게는 추가 권한이 필요하지 않습니다.
LF-TBAC 방식: 교차 계정 Lake Formation 권한 부여는 데이터 공유에 AWS RAM을 사용하지 않습니다. 사용자는
glue:PutResourcePolicy권한이 있어야 합니다.버전 업데이트의 이점: AWS RAM 용량을 최적으로 활용하여 확장 가능한 교차 계정 설정이 가능합니다.
버전 업데이트 시 고려 사항: 교차 계정 Lake Formation 권한을 부여하려는 사용자는
AWSLakeFormationCrossAccountManagerAWS 관리형 정책에서 권한을 가지고 있어야 합니다. 그렇지 않으면 다른 계정과 리소스를 성공적으로 공유할 수 있는ram:AssociateResourceShare및ram:DisassociateResourceShare권한이 있어야 합니다. - 버전 3
-
명명된 리소스 방식: 여러 교차 계정 권한 부여를 하나의 AWS RAM 리소스 공유에 매핑하여 AWS RAM 리소스 공유 수를 최적화합니다. 사용자에게는 추가 권한이 필요하지 않습니다.
LF-TBAC 방식: Lake Formation은 교차 계정 권한 부여에 AWS RAM을 사용합니다. 사용자는
glue:PutResourcePolicy권한에 glue:ShareResource 문을 추가해야 합니다. 수신자는 AWS RAM의 리소스 공유 초대를 수락해야 합니다.버전 업데이트의 이점: 다음 기능을 지원합니다.
외부 계정의 IAM 보안 주체와 명시적으로 리소스를 공유할 수 있습니다.
자세한 내용은 데이터 카탈로그 리소스에 대한 권한 부여 단원을 참조하십시오.
조직 또는 조직 단위(OU)에 대해 LF-TBAC 방식을 사용하여 교차 계정 공유를 활성화합니다.
교차 계정 권한 부여에 대한 추가 AWS Glue 정책을 유지 관리하는 데 따르는 오버헤드를 제거합니다.
버전 업데이트 시 고려 사항: LF-TBAC 메서드를 사용하여 리소스를 공유할 때 권한 부여자가 버전 3보다 낮은 버전을 사용하고 받는 사람이 버전 3 이상을 사용할 경우, 권한 부여자에게는 다음과 같은 오류 메시지가 표시됩니다. “잘못된 교차 계정 부여 요청입니다. 소비자 계정은 교차 계정 버전: v3에 동의했습니다.
DataLakeSetting의CrossAccountVersion을 최소 버전인 v3로 업데이트하세요(서비스: AmazonDataCatalog; 상태 코드: 400; 오류 코드: InvalidInputException)”. 하지만 권한 부여자가 버전 3을 사용하고 수신자가 버전 1 또는 버전 2를 사용할 경우 LF 태그를 사용한 교차 계정 부여가 성공적으로 진행됩니다.명명된 리소스 메서드를 사용하여 이루어진 교차 계정 권한 부여는 다양한 버전에서 호환됩니다. 권한 부여자 계정이 이전 버전(버전 1 또는 2)을 사용하고 수신자 계정이 최신 버전(버전 3 이상)을 사용하더라도 교차 계정 액세스 기능은 호환성 문제나 오류 없이 원활하게 작동합니다.
다른 계정의 IAM 보안 주체와 직접 리소스를 공유하려면 권한 부여자만 버전 3을 사용해야 합니다.
LF-TBAC 방식을 사용하여 이루어진 교차 계정 승인을 위해서는 사용자가 계정에 AWS Glue Data Catalog 리소스 정책을 가지고 있어야 합니다. 버전 3으로 업데이트하면 LF-TBAC 권한 부여에 AWS RAM을 사용합니다. AWS RAM 기반 교차 계정 권한 부여가 성공하도록 허용하려면 AWS Glue 및 Lake Formation을 모두 사용하여 교차 계정 권한 관리하기 섹션에 표시된 대로 기존 데이터 카탈로그 리소스 정책에
glue:ShareResource문을 추가해야 합니다. - 버전 4
-
권한 부여자가 하이브리드 액세스 모드에서 데이터 카탈로그 리소스를 공유하려면 버전 4 이상이 필요합니다.
AWS RAM 리소스 공유 최적화
교차 계정 지원의 새 버전(버전 2 이상)은 AWS RAM 용량을 최적으로 활용하여 교차 계정 사용을 극대화합니다. 외부 AWS 계정 또는 IAM 보안 주체와 리소스를 공유하는 경우, Lake Formation은 새 리소스 공유를 생성하거나 리소스를 기존 공유와 연결할 수 있습니다. Lake Formation은 기존 공유와 연결함으로써 소비자가 수락해야 하는 리소스 공유 초대의 수를 줄여줍니다.
TBAC를 통해 AWS RAM 공유를 활성화하거나 리소스를 보안 주체에 직접 공유합니다.
다른 계정의 IAM 보안 주체와 직접 리소스를 공유하거나 조직 또는 조직 구성 단위에 대한 TBAC 교차 계정 공유를 활성화하려면 교차 계정 버전 설정을 버전 3으로 업데이트해야 합니다. AWS RAM 리소스 제한에 대한 자세한 내용은 계정 간 데이터 공유 모범 사례 및 고려 사항 섹션을 참조하세요.
교차 계정 버전 설정을 업데이트하는 데 필요한 권한
교차 계정 권한 부여자에게 AWSLakeFormationCrossAccountManager 관리형 IAM 정책 권한이 있는 경우, 교차 계정 권한 부여자 역할 또는 주체에 대한 추가 권한 설정이 필요하지 않습니다. 하지만 교차 계정 부여자가 관리형 정책을 사용하지 않는 경우 새 버전의 교차 계정 부여가 성공하려면 권한 부여자 역할 또는 보안 주체에 다음과 같은 IAM 권한이 부여되어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": [ "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": "LakeFormation*" } } } ] }
새 버전을 활성화하려면
AWS Lake Formation 콘솔 또는 AWS CLI를 통해 교차 계정 버전 설정을 업데이트하려면 다음 단계를 따르세요.
중요
버전 2 또는 버전 3을 선택하면 모든 새로운 명명된 리소스 권한 부여는 새로운 교차 계정 권한 부여 모드를 거치게 됩니다. 기존 교차 계정 공유의 AWS RAM 용량을 최적으로 사용하려면 이전 버전에서 부여한 권한을 취소하고 새 모드에서 다시 부여하는 것이 좋습니다.
