세분화된 액세스 제어 방법 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

세분화된 액세스 제어 방법

데이터 레이크의 목표는 데이터에 대한 세분화된 액세스 제어를 확보하는 것입니다. Lake Formation에서 이것은 데이터 카탈로그 리소스 및 Amazon S3 위치에 대한 세분화된 액세스 제어를 의미합니다. 다음 방법 중 하나를 사용하여 세분화된 액세스 제어를 달성할 수 있습니다.

방법 Lake Formation 권한 IAM 권한 설명
방법 1 열기 세분화

AWS Glue와의 하위 버전 호환성을 위한 기본적인 방법입니다.

  • 공개는 특별 권한 SuperIAMAllowedPrincipals 그룹에 부여되었음을 의미합니다. 여기서 IAMAllowedPrincipals는 자동으로 생성되며, IAM 정책에 따라 데이터 카탈로그 리소스에 액세스할 수 있는 모든 IAM 사용자 및 역할을 포함합니다. 보안 주체는 Super 권한을 통해 권한이 부여된 데이터베이스 또는 테이블에서 지원되는 모든 Lake Formation 작업을 수행할 수 있습니다. 이로 인해 데이터 카탈로그 리소스 및 Amazon S3 위치에 대한 액세스가 IAM 정책에 의해서만 효과적으로 제어됩니다. 자세한 정보는 데이터 레이크의 기본 설정 변경AWS Glue 데이터 권한을 AWS Lake Formation 모델로 업그레이드 섹션을 참조하세요.

  • 세분화란 IAM 정책이 데이터 카탈로그 리소스 및 개별 Amazon S3 버킷에 대한 모든 액세스를 제어한다는 의미입니다.

Lake Formation 콘솔에서 이 방법은 IAM 액세스 제어만 사용으로 표시됩니다.
방법 2 세분화 대략적

권장되는 방법입니다.

  • 세분화된 액세스란 데이터 카탈로그 리소스, Amazon S3 위치 및 해당 위치의 기본 데이터에 대한 개별 보안 주체에게 제한된 Lake Formation 권한을 부여하는 것을 의미합니다.

  • 대략적이란 개별 작업 및 Amazon S3 위치에 대한 액세스 권한이 더 광범위하다는 것을 의미합니다. 예를 들어, 대략적인 IAM 정책에는 "glue:CreateTables"대신 "glue:*" 또는 "glue:Create*"가 포함될 수 있으며 보안 주체가 카탈로그 객체를 생성할 수 있는지 여부는 Lake Formation 권한에서 제어하도록 둘 수 있습니다. 이는 또한 보안 주체에 업무 수행에 필요한 API에 대한 액세스 권한을 부여하되 다른 API와 리소스는 잠그는 것을 의미합니다. 예를 들어 보안 주체가 데이터 카탈로그 리소스를 생성하고 워크플로를 생성 및 실행할 수는 있지만 AWS Glue 연결 또는 사용자 정의 함수 생성은 허용하지 않는 IAM 정책을 생성할 수 있습니다. 이 섹션 후반부의 예제를 참조하세요.
중요

다음에 유의하세요.

  • 기본적으로 Lake Formation에는 기존 AWS Glue 데이터 카탈로그 동작과의 호환성을 위해 IAM 액세스 제어 설정만 사용이 활성화되어 있습니다. Lake Formation 권한 사용으로 전환한 후에는 이러한 설정을 비활성화하는 것이 좋습니다. 자세한 내용은 데이터 레이크의 기본 설정 변경 섹션을 참조하세요.

  • 데이터 레이크 관리자와 데이터베이스 생성자는 사용자가 반드시 숙지해야 하는 암시적인 Lake Formation 권한을 가지고 있습니다. 자세한 내용은 암시적 Lake Formation 권한 섹션을 참조하세요.