스토리지 액세스 관리 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

스토리지 액세스 관리

Lake Formation은 보안 인증 벤딩 기능을 사용하여 Amazon S3 데이터에 대한 임시 액세스를 제공합니다. 보안 인증 벤딩 또는 토큰 벤딩은 리소스에 대한 단기 액세스 권한을 부여할 목적으로 사용자, 서비스 또는 기타 엔터티에 임시 보안 인증을 제공하는 일반적인 패턴입니다.

Lake Formation은 이 패턴을 활용하여 Athena와 같은 AWS 분석 서비스에 대한 단기 액세스를 제공하여 호출 보안 주체를 대신하여 데이터에 액세스합니다. 권한을 부여할 때 사용자는 Amazon S3 버킷 정책 또는 IAM 정책을 업데이트할 필요가 없으며 Amazon S3에 직접 액세스할 필요가 없습니다.

다음 다이어그램은 Lake Formation이 등록된 위치에 대한 임시 액세스를 제공하는 방법을 보여줍니다.

Diagram showing Lake Formation's process for providing temporary access to registered locations.

  1. 보안 주체(사용자)는 Athena, Amazon , EMRRedshift Spectrum 또는 와 같은 신뢰할 수 있는 통합 서비스를 통해 테이블에 대한 쿼리 또는 데이터 요청을 입력합니다 AWS Glue.

  2. 통합 서비스는 테이블 및 요청된 열에 대한 Lake Formation의 승인을 확인하고 권한 결정을 내립니다. 사용자에게 권한이 없는 경우 Lake Formation은 데이터 액세스를 거부하고 쿼리는 실패합니다.

  3. 권한 부여에 성공하고 테이블과 사용자에 대한 스토리지 권한 부여가 설정되면 통합 서비스는 Lake Formation에서 임시 보안 인증을 검색하여 데이터에 액세스합니다.

  4. 통합 서비스는 Lake Formation의 임시 보안 인증을 사용하여 Amazon S3에 객체를 요청합니다.

  5. Amazon S3은 통합 서비스에 Amazon S3 객체를 제공합니다. Amazon S3 객체에는 테이블의 모든 데이터가 들어 있습니다.

  6. 통합 서비스는 열 수준, 행 수준 및/또는 셀 수준 필터링과 같은 Lake Formation 정책의 필수 적용을 수행합니다. 통합 서비스는 쿼리를 처리하고 결과를 사용자에게 다시 반환합니다.

데이터 카탈로그 테이블에 대한 스토리지 수준 권한 적용 활성화

기본적으로 데이터 카탈로그의 테이블에는 스토리지 수준 적용이 활성화되어 있지 않습니다. 스토리지 수준 적용을 활성화하려면 소스 데이터의 Amazon S3 위치를 Lake Formation에 등록하고 IAM 역할을 제공해야 합니다. Amazon S3 위치의 테이블 위치 경로 또는 접두사가 동일한 모든 테이블에 대해 스토리지 수준 권한이 활성화됩니다.

통합 서비스가 사용자를 대신하여 데이터 위치에 대한 액세스를 요청하면 Lake Formation 서비스가 이 역할을 수행하고 데이터에 액세스할 수 있도록 리소스에 대해 범위가 축소된 권한을 사용하여 보안 인증을 요청된 서비스에 반환합니다. 등록된 IAM 역할에는 AWS KMS 키를 포함하여 Amazon S3 위치에 대한 모든 필수 액세스 권한이 있어야 합니다.

자세한 내용은 Amazon S3 위치 등록 단원을 참조하십시오.

지원되는 AWS 서비스

AWS Athena, Redshift Spectrum, Amazon EMR AWS Glue Amazon QuickSight, 등의 분석 서비스를 분석하고 AWS Lake Formation 자격 증명 벤딩 API 작업을 사용하여 Lake Formation과 Amazon SageMaker 통합합니다. Lake Formation과 통합되는 AWS 서비스의 전체 목록과 이들이 지원하는 세분화 수준 및 테이블 형식을 보려면 섹션을 참조하세요다른 AWS 서비스 작업.