위치를 등록하는 데 사용되는 역할에 대한 요구 사항 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

위치를 등록하는 데 사용되는 역할에 대한 요구 사항

아마존 심플 스토리지 서비스 AWS Identity and Access Management (Amazon S3) 위치를 등록할 때 (IAM) 역할을 지정해야 합니다. AWS Lake Formation 해당 위치의 데이터에 액세스할 때 해당 역할을 맡습니다.

다음 역할 유형 중 하나를 사용하여 위치를 등록할 수 있습니다.

  • Lake Formation 서비스 연결 역할. 이 역할은 위치에 대해 필요한 권한을 부여합니다. 이 역할을 사용하는 것이 위치를 등록하는 가장 간단한 방법입니다. 자세한 정보는 Lake Formation에 서비스 연결 역할 사용을 참조하세요.

  • 사용자 정의 역할. 서비스 연결 역할이 제공하는 것보다 더 많은 권한을 부여해야 하는 경우 사용자 정의 역할을 사용하세요.

    다음과 같은 상황에서는 사용자 정의 역할을 사용해야 합니다.

사용자 정의 역할의 요구 사항은 다음과 같습니다.

  • 새 역할을 생성할 때 IAM 콘솔의 역할 생성 페이지에서 AWS 서비스를 선택한 다음 사용 사례 선택에서 Lake Formation을 선택합니다.

    다른 경로를 사용하여 역할을 생성하는 경우 해당 역할이 lakeformation.amazonaws.com과 신뢰 관계가 있는지 확인합니다. 자세한 내용은 역할 신뢰 정책 수정(콘솔)을 참조하세요.

  • 역할은 다음 엔터티와 신뢰 관계가 있어야 합니다.

    • glue.amazonaws.com

    • lakeformation.amazonaws.com

    자세한 내용은 역할 신뢰 정책 수정(콘솔)을 참조하세요.

  • 역할에는 위치에 대한 Amazon S3 읽기/쓰기 권한을 부여하는 인라인 정책이 있어야 합니다. 다음은 일반적인 정책입니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket"
            ]
        }
    ]
}

  • 다음 신뢰 정책을 IAM 역할에 추가하여 Lake Formation 서비스가 역할을 맡고 통합 분석 엔진에 임시 자격 증명을 제공할 수 있도록 하십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DataCatalogViewDefinerAssumeRole1",
            "Effect": "Allow",
            "Principal": {
               "Service": [
                    "glue.amazonaws.com",
                    "lakeformation.amazonaws.com"
                 ]
            },
            "Action": [
                "sts:AssumeRole"                          
            ]
        }
    ]
}

  • 위치를 등록하는 데이터 레이크 관리자에게는 역할에 대한 iam:PassRole 권한이 있어야 합니다.

    다음은 이 권한을 부여하는 인라인 정책입니다. <account-id>유효한 AWS 계정 번호로 바꾸고 역할 <role-name>이름으로 바꾸십시오.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRolePermissions",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<account-id>:role/<role-name>"
            ]
        }
    ]
}

  • Lake Formation이 로그에 CloudWatch 로그를 추가하고 지표를 게시하도록 허용하려면 다음 인라인 정책을 추가하십시오.

    참고

    CloudWatch Logs에 글을 쓰면 요금이 발생합니다.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": [
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*",
                 "arn:aws:logs:<region>:<account-id>:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
            ]
        }
    ]
}