기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
를 사용하여 LF 태그 권한 관리 AWS CLI
AWS Command Line Interface (AWS CLI)를 사용하여 LF 태그에 대한 권한을 부여, 취소 및 나열할 수 있습니다.
LF 태그 권한을 나열하려면(AWS CLI)
-
list-permissions
명령을 입력합니다. LF 태그를 보려면 LF 태그 생성자 또는 데이터 레이크 관리자이거나 LF 태그에 대한Drop
,Alter
,Describe
,Associate
,Grant with LF-Tag permissions
권한이 있어야 합니다.다음 명령은 권한이 있는 모든 LF 태그를 요청합니다.
aws lakeformation list-permissions --resource-type LF_TAG
다음은 모든 보안 주체에 부여된 모든 LF 태그를 볼 수 있는 데이터 레이크 관리자를 위한 샘플 출력입니다. 관리자가 아닌 사용자는 자신에게 부여된 LF 태그만 볼 수 있습니다. 외부 계정에서 부여된 LF 태그 권한은 별도의 결과 페이지에 표시됩니다. 이를 보려면 명령을 반복하고 이전 명령 실행에서 반환된 토큰과 함께
--next-token
인수를 제공합니다.{ "PrincipalResourcePermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_admin" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "environment", "TagValues": [ "*" ] } }, "Permissions": [ "ASSOCIATE" ], "PermissionsWithGrantOption": [ "ASSOCIATE" ] }, { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "module", "TagValues": [ "Orders", "Sales" ] } }, "Permissions": [ "DESCRIBE" ], "PermissionsWithGrantOption": [] }, ... ], "NextToken": "eyJzaG91bGRRdWVy...Wlzc2lvbnMiOnRydWV9" }
특정 LF 태그 키에 대한 모든 권한 부여를 나열할 수 있습니다. 다음 명령은 LF 태그
module
에 대해 부여된 모든 권한을 반환합니다.aws lakeformation list-permissions --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
특정 LF 태그에 대해 특정 보안 주체에 부여된 LF 태그 값을 나열할 수도 있습니다.
--principal
인수를 제공할 때는--resource
인수를 제공해야 합니다. 따라서 이 명령은 특정 LF 태그 키에 대해 특정 보안 주체에 부여된 값만 효과적으로 요청할 수 있습니다. 다음 명령은 보안 주체datalake_user1
및 LF 태그 키module
에 대해 이 작업을 수행하는 방법을 보여줍니다.aws lakeformation list-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --resource-type LF_TAG --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
다음은 출력 샘플입니다.
{ "PrincipalResourcePermissions": [ { "Principal": { "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "Resource": { "LFTag": { "CatalogId": "111122223333", "TagKey": "module", "TagValues": [ "Orders", "Sales" ] } }, "Permissions": [ "ASSOCIATE" ], "PermissionsWithGrantOption": [] } ] }
LF 태그에 대한 권한을 부여하려면(AWS CLI)
-
다음과 유사한 명령을 입력합니다. 이 예제는 사용자
datalake_user1
에게module
키를 가진 LF 태그에 대한Associate
권한을 부여합니다. 별표(*) 로 표시된 대로 해당 키의 모든 값을 보고 할당할 수 있는 권한을 부여합니다.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
Associate
권한을 부여하면 암시적으로Describe
권한이 부여됩니다.다음 예제에서는 키 를 사용하여 LF 태그의
Associate
외부 AWS 계정 1234-5678-9012에 권한 부여 옵션을module
사용하여 권한을 부여합니다. 이는sales
및orders
값만 보고 할당할 수 있는 권한을 부여합니다.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "ASSOCIATE" --permissions-with-grant-option "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
-
GrantWithLFTagExpression
권한을 부여하면 암시적으로Describe
권한이 부여됩니다.다음 예제는 권한 부여 옵션을 사용하여
module
키를 가진 LF 태그에 대한GrantWithLFTagExpression
권한을 사용자에게 부여합니다. 이는sales
및orders
값만 사용하여 데이터 카탈로그 리소스에 대한 권한을 보고 부여할 수 있는 권한을 부여합니다.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "GrantWithLFTagExpression" --permissions-with-grant-option "GrantWithLFTagExpression" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["sales", "orders"]}}'
-
다음 예제는 권한 부여 옵션을 사용하여
module
키를 가진 LF 태그에 대한Drop
권한을 사용자에게 부여합니다. 이는 LF 태그를 삭제할 수 있는 권한을 부여합니다. LF 태그를 삭제하려면 해당 키의 모든 값에 대한 권한이 필요합니다.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DROP" --permissions-with-grant-option "DROP" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
-
다음 예제는 권한 부여 옵션을 사용하여
module
키를 가진 LF 태그에 대한Alter
권한을 사용자에게 부여합니다. 이는 LF 태그를 삭제할 수 있는 권한을 부여합니다. LF 태그를 업데이트하려면 해당 키의 모든 값에 대한 권한이 필요합니다.aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'
LF 태그에 대한 권한을 취소하려면(AWS CLI)
-
다음과 유사한 명령을 입력합니다. 이 예제는 사용자
datalake_user1
로부터module
키를 가진 LF 태그에 대한Associate
권한을 취소합니다.aws lakeformation revoke-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "ASSOCIATE" --resource '{ "LFTag": {"CatalogId":"111122223333","TagKey":"module","TagValues":["*"]}}'