기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
암호화된 Amazon S3 위치 등록
Lake Formation은 AWS Key Management Service(AWS KMS)와 통합되어 다른 통합 서비스를 더 쉽게 설정하고 Amazon Simple Storage Service(S3) 위치에서 데이터를 암호화하고 해독할 수 있습니다.
고객 관리 AWS KMS keys 및 지원 AWS 관리형 키 모두 가능합니다. 현재 클라이언트 측 암호화/복호화는 Athena에서만 지원됩니다.
Amazon S3 위치를 등록할 때 AWS Identity and Access Management (IAM) 역할을 지정해야 합니다. 암호화된 Amazon S3 위치의 경우 역할에 를 사용하여 데이터를 암호화하고 해독할 권한이 있거나 KMS 키 정책이 키에 대한 권한을 역할에 부여해야 합니다. AWS KMS key
중요
요청자 지불이 활성화된 Amazon S3 버킷은 등록하지 마세요. Lake Formation에 등록된 버킷의 경우 버킷 등록에 사용된 역할은 항상 요청자로 표시됩니다. 다른 AWS 계정으로 버킷에 액세스하는 경우, 역할이 버킷 소유자와 동일한 계정에 속하면 버킷 소유자에게 데이터 액세스 요금이 부과됩니다.
위치를 등록하는 가장 간단한 방법은 Lake Formation 서비스 연결 역할을 사용하는 것입니다. 이 역할은 위치에 대해 필요한 읽기/쓰기 권한을 부여합니다. 위치를 등록하는 데 사용되는 역할에 대한 요구 사항의 요구 사항을 충족하는 경우 사용자 지정 역할을 사용하여 위치를 등록할 수도 있습니다.
중요
Amazon S3 위치를 암호화하는 AWS 관리형 키 데 를 사용한 경우 Lake Formation 서비스 연결 역할을 사용할 수 없습니다. 사용자 지정 역할을 사용하고 키에 대한 IAM 권한을 역할에 추가해야 합니다. 자세한 내용은 이 섹션의 뒷부분에서 설명합니다.
다음 절차는 고객 관리형 키 또는 AWS 관리형 키로 암호화된 Amazon S3 위치를 등록하는 방법을 설명합니다.
시작하기 전
위치를 등록하는 데 사용되는 역할에 대한 요구 사항을 검토합니다.
고객 관리형 키로 암호화된 Amazon S3 위치를 등록하려면
참고
KMS 키 또는 Amazon S3 위치가 데이터 카탈로그와 동일한 AWS 계정에 있지 않은 경우, AWS 계정 전반에서 암호화된 Amazon S3 위치 등록 대신 지침을 따르십시오.
-
https://console.aws.amazon.com/kms
에서 AWS KMS 콘솔을 열고 AWS Identity and Access Management (IAM) 관리 사용자 또는 위치를 암호화하는 데 사용된 KMS 키의 키 정책을 수정할 수 있는 사용자로 로그인합니다. -
탐색 창에서 고객 관리형 키를 선택한 다음 원하는 KMS 키의 이름을 선택합니다.
-
KMS 키 세부 정보 페이지에서 키 정책 탭을 선택한 다음 다음 중 하나를 수행하여 사용자 지정 역할 또는 Lake Formation 서비스 연결 역할을 KMS 키 사용자로 추가합니다.
-
기본 보기가 표시되는 경우 (키 관리자, 키 삭제, 키 사용자 및 기타 AWS 계정 섹션 포함) — 키 사용자 섹션에서 사용자 지정 역할 또는 Lake Formation 서비스 연결 역할을 추가합니다.
AWSServiceRoleForLakeFormationDataAccess -
키 정책(JSON) 이 표시되는 경우 - 다음 예제와 같이 정책을 편집하여 사용자 지정 역할 또는 Lake Formation 서비스 연결 역할
AWSServiceRoleForLakeFormationDataAccess를 '키 사용 허용' 객체에 추가합니다.참고
해당 객체가 없는 경우 예제에 표시된 권한과 함께 추가하세요. 예제에서는 서비스 연결 역할을 사용합니다.
... { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess", "arn:aws:iam::111122223333:user/keyuser" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, ...
-
-
https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 엽니다.
데이터 레이크 관리자 또는 lakeformation:RegisterResourceIAM 권한이 있는 사용자로 로그인합니다. -
탐색 창의 관리에서 데이터 레이크 위치를 선택합니다.
-
위치 등록을 선택한 다음 찾아보기를 선택하고 Amazon Simple Storage Service(S3) 경로를 선택합니다.
-
(선택 사항이지만 강력히 권장됨) 선택한 Amazon S3 위치에 있는 모든 기존 리소스 및 해당 권한의 목록을 보려면 위치 권한 검토를 선택합니다.
선택한 위치를 등록하면 Lake Formation 사용자가 해당 위치에 이미 있는 데이터에 액세스할 수 있습니다. 이 목록을 보면 기존 데이터를 안전하게 유지하는 데 도움이 됩니다.
-
IAM 역할의 경우
AWSServiceRoleForLakeFormationDataAccess서비스 연결 역할(기본값) 또는 위치를 등록하는 데 사용되는 역할에 대한 요구 사항을 충족하는 사용자 지정 IAM 역할을 선택합니다. -
위치 등록을 선택합니다.
서비스 링크 역할에 대한 자세한 내용은 Lake Formation의 서비스 연결 역할 권한을(를) 참조하세요.
다음을 사용하여 암호화된 Amazon S3 위치를 등록하려면 AWS 관리형 키
중요
Amazon S3 위치가 데이터 카탈로그와 동일한 AWS 계정에 있지 않은 경우, AWS 계정 전반에서 암호화된 Amazon S3 위치 등록 대신 지침을 따르십시오.
-
위치를 등록하는 데 사용할 IAM 역할을 생성합니다. 위치를 등록하는 데 사용되는 역할에 대한 요구 사항에 나열된 요구 사항을 충족하는지 확인합니다.
-
다음 인라인 정책을 역할에 추가합니다. 역할에 키에 대한 권한을 부여합니다.
Resource사양은 AWS 관리형 키의 Amazon 리소스 이름(ARN)을 지정해야 합니다. 콘솔에서 ARN을 가져올 수 있습니다. AWS KMS 올바른 ARN을 얻으려면 위치를 암호화하는 데 사용한 것과 동일한 AWS 계정 및 지역으로 AWS KMS 콘솔에 AWS 관리형 키 로그인해야 합니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "<AWS 관리형 키 ARN>" } ] } -
https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 엽니다.
데이터 레이크 관리자 또는 lakeformation:RegisterResourceIAM 권한이 있는 사용자로 로그인합니다. -
탐색 창의 관리에서 데이터 레이크 위치를 선택합니다.
-
위치 등록을 선택한 다음 찾아보기를 선택하고 Amazon S3 경로를 선택합니다.
-
(선택 사항이지만 강력히 권장됨) 선택한 Amazon S3 위치에 있는 모든 기존 리소스 및 해당 권한의 목록을 보려면 위치 권한 검토를 선택합니다.
선택한 위치를 등록하면 Lake Formation 사용자가 해당 위치에 이미 있는 데이터에 액세스할 수 있습니다. 이 목록을 보면 기존 데이터를 안전하게 유지하는 데 도움이 됩니다.
-
IAM 역할의 경우, 1단계에서 생성한 역할을 선택합니다.
-
위치 등록을 선택합니다.
