CloudTrail Lake 페더레이션 리소스를 다음과 같이 관리합니다. AWS Lake Formation - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail Lake 페더레이션 리소스를 다음과 같이 관리합니다. AWS Lake Formation

이벤트 데이터 저장소를 페더레이션할 때 페더레이션 ARN 역할과 이벤트 데이터 저장소를 에 CloudTrail 등록합니다. AWS Lake Formation, 페더레이션된 리소스에 대한 세밀한 액세스 제어를 허용하는 역할을 하는 서비스입니다. AWS Glue 데이터 카탈로그. 이 섹션에서는 Lake Formation을 사용하여 CloudTrail Lake 페더레이션 리소스를 관리하는 방법을 설명합니다.

페더레이션을 활성화하면 에 다음과 같은 리소스가 CloudTrail 생성됩니다. AWS Glue 데이터 카탈로그.

  • 관리형 데이터베이스aws:cloudtrail 계정당 이름이 있는 데이터베이스 1개를 CloudTrail 만듭니다. CloudTrail 데이터베이스를 관리합니다. 에서는 데이터베이스를 삭제하거나 수정할 수 없습니다. AWS Glue.

  • 관리형 페더레이션된 테이블 - 각 페더레이션된 이벤트 데이터 저장소에 대해 테이블 1개를 CloudTrail 만들고 테이블 이름으로 이벤트 데이터 저장소 ID를 사용합니다. CloudTrail 테이블을 관리합니다. 에서는 테이블을 삭제하거나 수정할 수 없습니다. AWS Glue. 테이블을 삭제하려면 이벤트 데이터 저장소에서 페더레이션을 비활성화해야 합니다.

페더레이션 리소스에 대한 액세스 제어

두 가지 권한 방법 중 하나를 사용하여 관리형 데이터베이스 및 테이블에 대한 액세스를 제어할 수 있습니다.

액세스 제어에 대한 자세한 내용은 세분화된 액세스 제어 방법을 참조하세요.

페더레이션 리소스의 권한 방법 결정

처음으로 페더레이션을 활성화하면 Lake Formation 데이터 레이크 설정을 사용하여 관리형 데이터베이스와 관리형 페더레이션 테이블을 CloudTrail 생성합니다.

페더레이션을 CloudTrail 활성화한 후에는 해당 리소스에 대한 권한을 확인하여 관리형 데이터베이스 및 관리형 페더레이션된 테이블에 어떤 권한 방법을 사용하고 있는지 확인할 수 있습니다. 리소스에 ALL (Super) to IAM_ALLOWED_PRINCIPALS 설정이 있는 경우 리소스는 IAM 권한에 의해서만 관리됩니다. 설정이 누락된 경우 리소스는 Lake Formation 권한으로 관리됩니다. Lake Formation 권한에 대한 자세한 내용은 Lake Formation 권한 참조에서 확인할 수 있습니다.

관리형 데이터베이스와 관리형 페더레이션 테이블의 권한 방법은 다를 수 있습니다. 예를 들어, 데이터베이스와 테이블의 값을 확인하면 다음과 같은 내용을 볼 수 있습니다.

  • 데이터베이스의 경우 ALL (Super) 를 할당하는 IAM_ALLOWED_PRINCIPALS 값이 권한에 표시되어 해당 데이터베이스에 대한 액세스 IAM 제어만 사용하고 있음을 나타냅니다.

  • 테이블의 경우 IAM_ALLOWED_PRINCIPALSALL(Super)을 할당하는 값이 없으며, 이는 Lake Formation 권한에 따른 액세스 제어를 나타냅니다.

Lake Formation의 페더레이션 리소스에 대해 IAM_ALLOWED_PRINCIPALS ALL(Super) 할당 권한을 추가하거나 제거하여 언제든지 액세스 방법을 전환할 수 있습니다.

Lake Formation을 사용하여 크로스 계정 공유

이 섹션에서는 Lake Formation을 사용하여 계정 간에 관리형 데이터베이스와 관리형 페더레이션 테이블을 공유하는 방법을 설명합니다.

다음 단계를 수행하여 계정 간에 관리형 데이터베이스를 공유할 수 있습니다.

  1. 크로스 계정 데이터 공유 버전을 버전 4로 업데이트합니다.

  2. Lake Formation 액세스 제어로 전환하려면 데이터베이스에서 IAM_ALLOWED_PRINCIPALSSuper 할당 권한(있는 경우)을 제거합니다.

  3. 데이터베이스의 외부 계정에 Describe 권한을 부여합니다.

  4. 데이터 카탈로그 리소스가 사용자 리소스와 공유되는 경우 AWS 계정 그리고 계정이 동일하지 않은 경우도 있습니다. AWS 조직을 공유 계정으로 사용하고, 의 리소스 공유 초대를 수락하십시오. AWS Resource Access Manager (AWS RAM). 자세한 내용은 리소스 공유 초대 수락을 참조하십시오. AWS RAM.

이 단계를 완료한 후에는 외부 계정에서 데이터베이스를 볼 수 있어야 합니다. 기본적으로 데이터베이스를 공유해도 데이터베이스의 어떤 테이블에도 액세스할 수 없습니다.

다음 단계를 수행하여 모든 관리형 페더레이션 테이블 또는 개별 관리형 페더레이션 테이블을 외부 계정과 공유할 수 있습니다.

  1. 크로스 계정 데이터 공유 버전을 버전 4로 업데이트합니다.

  2. Lake Formation 액세스 제어로 전환하려면 테이블에서 IAM_ALLOWED_PRINCIPALSSuper 할당 권한(있는 경우)을 제거합니다.

  3. (선택 사항) 열 또는 행을 제한하는 데이터 필터를 지정합니다.

  4. 테이블의 외부 계정에 Select 권한을 부여합니다.

  5. 데이터 카탈로그 리소스가 사용자 리소스와 공유되는 경우 AWS 계정 그리고 계정이 동일하지 않은 경우도 있습니다. AWS 조직을 공유 계정으로 사용하고, 의 리소스 공유 초대를 수락하십시오. AWS Resource Access Manager (AWS RAM). 조직의 경우 RAM 설정을 사용하여 자동 수락할 수 있습니다. 자세한 내용은 리소스 공유 초대 수락을 참조하십시오. AWS RAM.

  6. 이제 테이블이 보입니다. 이 테이블에서 Amazon Athena 쿼리를 활성화하려면 공유 테이블을 사용하여 이 계정에 리소스 링크를 생성합니다.

소유 계정은 Lake Formation에서 외부 계정에 대한 권한을 제거하거나 페더레이션을 비활성화하여 언제든지 공유를 취소할 수 있습니다. CloudTrail