데이터 레이크의 기본 설정 변경 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 레이크의 기본 설정 변경

이전 버전과의 AWS Glue 호환성을 유지하기 위해 AWS Lake Formation 에는 다음과 같은 초기 보안 설정이 있습니다.

  • 그룹 IAMAllowedPrincipals에 모든 기존 AWS Glue 데이터 카탈로그 리소스에 대한 Super 권한이 부여됩니다.

  • 새 데이터 카탈로그 리소스에 대해 'IAM 액세스 제어만 사용' 설정이 활성화됩니다.

이러한 설정을 사용하면 데이터 카탈로그 리소스 및 Amazon S3 위치에 대한 액세스가 AWS Identity and Access Management (IAM) 정책에 의해서만 효과적으로 제어됩니다. 개별 Lake Formation 권한은 유효하지 않습니다.

IAMAllowedPrincipals 그룹에는 IAM 정책에 따라 데이터 카탈로그 리소스에 대한 액세스가 허용된 모든 IAM 사용자 및 역할이 포함됩니다. Super 권한을 사용하면 보안 주체는 해당 권한이 부여된 데이터베이스 또는 테이블에서 지원되는 모든 Lake Formation 작업을 수행할 수 있습니다.

Lake Formation 권한으로 데이터 카탈로그 리소스(데이터베이스 및 테이블)에 대한 액세스가 관리되도록 보안 설정을 변경하려면 다음을 수행합니다.

  1. 새 리소스의 기본 보안 설정을 변경합니다. 지침은 기본 권한 모델을 변경하거나 하이브리드 액세스 모드를 사용하십시오.을 참조하세요.

  2. 기존 데이터 카탈로그 리소스의 설정을 변경합니다. 지침은 AWS Lake Formation 모델에 대한 AWS Glue 데이터 권한 업그레이드을 참조하세요.

Lake Formation PutDataLakeSettings API 작업을 사용하여 기본 보안 설정 변경

Lake Formation PutDataLakeSettingsAPI 작업을 사용하여 기본 보안 설정을 변경할 수도 있습니다. 이 작업은 선택적 카탈로그 ID 및 DataLakeSettings구조를 인수로 사용합니다.

새 데이터베이스 및 테이블에서 Lake Formation을 통해 메타데이터 및 기본 데이터 액세스 제어를 적용하려면 DataLakeSettings 구조를 다음과 같이 코딩합니다.

참고

<AccountID>유효한 AWS 계정 <Username>ID와 유효한 IAM 사용자 이름으로 바꾸십시오. 둘 이상의 사용자를 데이터 레이크 관리자로 지정할 수 있습니다.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}

다음과 같이 구조를 코딩할 수도 있습니다. CreateDatabaseDefaultPermissions 또는 CreateTableDefaultPermissions 파라미터를 생략하는 것은 빈 목록을 전달하는 것과 같습니다.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}

이 작업은 새 데이터베이스 및 테이블에 대한 IAMAllowedPrincipals 그룹의 모든 Lake Formation 권한을 효과적으로 취소합니다. 데이터베이스를 생성할 때 이 설정을 재정의할 수 있습니다.

새 데이터베이스 및 테이블에서 IAM을 통해서만 메타데이터 및 기본 데이터 액세스 제어를 적용하려면 다음과 같이 DataLakeSettings 구조를 코딩합니다.

{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}

이렇게 하면 새 데이터베이스 및 테이블에 대한 Super Lake Formation 권한이 IAMAllowedPrincipals 그룹에 부여됩니다. 데이터베이스를 생성할 때 이 설정을 재정의할 수 있습니다.

참고

앞의 DataLakeSettings 구조에서 DataLakePrincipalIdentifier에 허용되는 유일한 값은 IAM_ALLOWED_PRINCIPALS이고, Permissions에 허용되는 유일한 값은 ALL입니다.