계정과 공유되는 데이터 위치에 대한 권한 부여

데이터 카탈로그 리소스를 AWS 계정과 공유한 후 데이터 레이크 관리자는 계정의 다른 보안 주체에 리소스에 대한 권한을 부여할 수 있습니다. 공유 테이블에 대한 ALTER 권한이 부여되고 테이블이 등록된 Amazon S3 위치를 가리키는 경우 해당 위치에 대한 데이터 위치 권한도 부여해야 합니다. 마찬가지로 공유 데이터베이스에 대한 CREATE_TABLE 또는 ALTER 권한이 부여되고 데이터베이스에 등록된 위치를 가리키는 위치 속성이 있는 경우 해당 위치에 대한 데이터 위치 권한도 부여해야 합니다.

계정의 보안 주체에 공유 위치에 대한 데이터 위치 권한을 부여하려면 권한 부여 옵션을 통해 계정에 해당 위치에 대한 DATA_LOCATION_ACCESS 권한이 부여되어 있어야 합니다. 그런 다음 계정의 다른 보안 주체에게 DATA_LOCATION_ACCESS 권한을 부여하는 경우 소유자 계정의 데이터 카탈로그 ID(AWS 계정 ID)를 포함해야 합니다. 소유자 계정은 위치를 등록한 계정입니다.

AWS Lake Formation 콘솔, API 또는 AWS Command Line Interface(AWS CLI)를 사용하여 데이터 위치 권한을 부여할 수 있습니다.

계정과 공유되는 데이터 위치에 대한 권한을 부여하려면(콘솔)

데이터 위치 권한 부여(동일 계정) 단원의 단계를 따르세요.

스토리지 위치에는 위치를 입력해야 합니다. 등록된 계정 위치에는 소유자 계정의 AWS 계정 ID를 입력합니다.

계정과 공유되는 데이터 위치에 대한 권한을 부여하려면(AWS CLI)

다음 명령 중 하나를 입력하여 사용자 또는 역할에 권한을 부여합니다.


aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/<user-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:role/<role-name> --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"<owner-account-ID>","ResourceArn":"arn:aws:s3:::<s3-location>"}}'

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

데이터 위치 권한 부여(외부 계정)

데이터 레이크 권한 부여