IAM Lake Formation 권한을 부여하거나 취소하는 데 필요한 권한 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Lake Formation 권한을 부여하거나 취소하는 데 필요한 권한

데이터 레이크 관리자를 포함한 모든 보안 주체는 Lake Formation 또는 를 사용하여 AWS Lake Formation 데이터 카탈로그 권한 또는 데이터 위치 권한을 부여API하거나 취소하려면 다음 AWS Identity and Access Management (IAM) 권한이 필요합니다 AWS CLI.

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTable 또는 glue:GetDatabase(명명된 리소스 방법으로 권한을 부여하는 테이블이나 데이터베이스의 경우)

참고

데이터 레이크 관리자는 Lake Formation 권한을 부여하고 취소할 수 있는 암시적인 Lake Formation 권한을 가지고 있습니다. 하지만 Lake Formation 권한 부여 및 취소 API 작업에 대한 IAM 권한은 여전히 필요합니다.

IAM AWSLakeFormationDataAdmin AWS 관리형 정책이 있는 역할은 이 정책에 Lake Formation API 작업 에 대한 명시적 거부가 포함되어 있으므로 새 데이터 레이크 관리자를 추가할 수 없습니다PutDataLakeSetting.

다음 IAM 정책은 데이터 레이크 관리자가 아니며 Lake Formation 콘솔을 사용하여 권한을 부여하거나 취소하려는 보안 주체에게 권장됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

이 정책의 glue: 모든 및 iam: 권한은 AWS 관리형 정책 에서 사용할 수 있습니다AWSGlueConsoleFullAccess.

Lake Formation 태그 기반 액세스 제어(LF-TBAC)를 사용하여 권한을 부여하려면 보안 주체에게 추가 IAM 권한이 필요합니다. 자세한 내용은 Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항Lake Formation 페르소나 및 IAM 권한 참조 단원을 참조하세요.

교차 계정 권한

명명된 리소스 메서드를 사용하여 교차 계정 Lake Formation 권한을 부여하려는 사용자는 AWSLakeFormationCrossAccountManager AWS 관리형 정책에 대한 권한도 있어야 합니다.

데이터 레이크 관리자는 크로스 계정 권한을 부여하기 위한 동일한 권한과 조직에 권한을 부여할 수 있는 AWS Resource Access Manager (AWS RAM) 권한이 필요합니다. 자세한 내용은 데이터 레이크 관리자 권한 단원을 참조하십시오.

관리 사용자입니다.

AdministratorAccess AWS 관리형 정책과 같은 관리 권한이 있는 보안 주체는 Lake Formation에 권한을 부여하고 데이터 레이크 관리자를 생성할 수 있는 권한이 있습니다. Lake Formation 관리자 작업에 대한 사용자 또는 역할 액세스를 거부하려면 정책에 관리자 API 작업에 대한 Deny 문을 연결하거나 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
중요

사용자가 추출, 변환 및 로드(ETL) 스크립트를 사용하여 자신을 관리자로 추가하지 못하도록 하려면 관리자가 아닌 모든 사용자 및 역할이 이러한 API 작업에 대한 액세스가 거부되어야 합니다. AWSLakeFormationDataAdmin AWS 관리형 정책에는 사용자가 새 데이터 레이크 관리자를 추가할 수 없도록 Lake Formation API 작업에 대한 설명 거부PutDataLakeSetting가 포함되어 있습니다.