LF 태그 생성자 추가

기본적으로 데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, 데이터 카탈로그 리소스에 태그를 할당하고, 보안 주체에 태그 권한을 부여할 수 있습니다. 태그 생성 및 관리 작업을 관리자가 아닌 보안 주체에 위임하려는 경우 데이터 레이크 관리자는 LF 태그 생성자 역할을 생성하고 해당 역할에 Lake Formation Create LF-Tag 권한을 부여할 수 있습니다. LF 태그 생성자는 부여 가능한 Create LF-Tag 권한을 통해 태그 생성 및 유지 관리 작업을 다른 비관리 보안 주체에 위임할 수 있습니다.

데이터 레이크 관리자가 데이터 카탈로그 리소스에 LF 태그를 할당하려면 직접 생성하지 않은 스스로 LF 태그에 대한 연결 권한을 부여해야 합니다.

참고

교차 계정 권한 부여에는 Describe 및 Associate 권한만 포함될 수 있습니다. 다른 계정의 보안 주체에는 Create LF-Tag, Drop, Alter 및 Grant with LFTag expressions 권한을 부여할 수 없습니다.

다음 사항도 참조하세요.

• LF 태그 값 권한 관리

• LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여

• Lake Formation 태그 기반 액세스 제어

LF 태그 생성에 필요한 IAM 권한

Lake Formation 보안 주체가 LF 태그를 생성하도록 권한을 구성해야 합니다. LF 태그 생성자가 되어야 하는 보안 주체에 대한 권한 정책에 다음 문을 추가합니다.

참고

데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, 보안 주체에 LF 태그를 부여할 수 있는 암시적인 Lake Formation 권한을 가지고 있지만 다음과 같은 IAM 권한도 필요합니다.

자세한 내용은 Lake Formation 페르소나 및 IAM 권한 참조 단원을 참조하십시오.

{
"Sid": "Transformational",
"Effect": "Allow",
    "Action": [
        "lakeformation:AddLFTagsToResource",
        "lakeformation:RemoveLFTagsFromResource",
        "lakeformation:GetResourceLFTags",
        "lakeformation:ListLFTags",
        "lakeformation:CreateLFTag",
        "lakeformation:GetLFTag",
        "lakeformation:UpdateLFTag",
        "lakeformation:DeleteLFTag",
        "lakeformation:SearchTablesByLFTags",
        "lakeformation:SearchDatabasesByLFTags"
     ]
 }         
         

리소스에 LF 태그를 할당하고 보안 주체에 LF 태그를 부여하는 보안 주체는 CreateLFTag, UpdateLFTag 및 DeleteLFTag 권한을 제외하고 동일한 권한을 보유해야 합니다.

LF 태그 생성자 추가

LF 태그 생성자는 LF 태그를 생성하고, 태그 키와 값을 업데이트하고, 태그를 삭제하고, 태그를 데이터 카탈로그 리소스에 연결하고, LF-TBAC 방법을 사용하여 데이터 카탈로그 리소스에 대한 권한을 보안 주체에 부여할 수 있습니다. LF 태그 생성자는 이러한 권한을 보안 주체에 부여할 수도 있습니다.

AWS Lake Formation 콘솔, API 또는 AWS Command Line Interface ()를 사용하여 LF 태그 생성자 역할을 생성할 수 있습니다AWS CLI.

console

LF 태그 생성자를 추가하려면

1. Lake Formation 콘솔(https://console.aws.amazon.com/lakeformation/)을 엽니다.

   데이터 레이크 관리자로 로그인합니다.

2. 탐색 창의 권한에서 LF 태그 및 권한을 선택합니다.

   LF 태그 및 권한 페이지에서 LF 태그 생성자 섹션을 선택하고 LF 태그 생성자 추가를 선택합니다.

   

3. LF 태그 생성자 추가 페이지에서 LF 태그를 생성하는 데 필요한 권한을 가진 IAM 역할 또는 사용자를 선택합니다.

4. Create LF-Tag 권한 확인란을 활성화합니다.

5. (선택 사항) 선택한 보안 주체가 보안 주체에 Create LF-Tag 권한을 부여할 수 있도록 하려면 부여 가능한 Create LF-Tag 권한을 선택합니다.

6. 추가를 선택합니다.

AWS CLI

aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
    },
    "Resource": {
        "Catalog": {}
    },
    "Permissions": [
        "CreateLFTag"
    ],
    "PermissionsWithGrantOption": [
        "CreateLFTag"
    ]
}               
              

LF 태그 생성자 역할에 사용할 수 있는 권한은 다음과 같습니다.

권한	설명
Drop	LF 태그에 대한 이 권한이 있는 보안 주체는 데이터 레이크에서 LF 태그를 삭제할 수 있습니다. 보안 주체는 LF 태그 리소스의 모든 태그 값에 대한 암시적 Describe 권한을 얻습니다.
Alter	LF 태그에 대한 이 권한이 있는 보안 주체는 LF 태그에 태그 값을 추가하거나 LF 태그에서 태그 값을 제거할 수 있습니다. 보안 주체는 LF 태그의 모든 태그 값에 대한 암시적 Alter 권한을 얻습니다.
Describe	LF 태그에 대한 이 권한을 가진 보안 주체는 LF 태그를 리소스에 할당하거나 LF 태그에 대한 권한을 부여할 때 LF 태그와 그 값을 볼 수 있습니다. 모든 키 값 또는 특정 값에 대해 Describe 권한을 부여할 수 있습니다.
Associate	LF 태그에 대해 이 권한이 있는 보안 주체는 LF 태그를 데이터 카탈로그 리소스에 할당할 수 있습니다. Associate 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.
Grant with LF-Tag expression	LF 태그에 대해 이 권한이 있는 보안 주체는 LF 태그 키 및 값을 사용하여 데이터 카탈로그 리소스에 대한 권한을 부여할 수 있습니다. Grant with LF-Tag expression 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.

이러한 권한은 부여가 가능합니다. 권한 부여 옵션을 통해 이러한 권한을 부여받은 보안 주체는 다른 보안 주체에 해당 권한을 부여할 수 있습니다.