기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
태그 기반 액세스 제어를 사용한 데이터 공유
프로듀서/권한 부여자 계정에 설정이 필요합니다.
LF 태그를 정의하십시오. LF 태그를 만드는 방법에 대한 지침은 을 참조하십시오. LF-태그 생성
대상 리소스에 LF-태그를 할당합니다. 자세한 정보는 데이터 카탈로그 리소스에 LF-태그 할당을 참조하세요.
외부 계정에 LF-tag 권한을 부여합니다. 자세한 정보는 콘솔을 사용하여 LF-Tag 권한 부여을 참조하세요.
이제 소비자 데이터 레이크 관리자는 권한, 관리 역할 및 작업, LF-tag에서 피부여자 계정인 Lake Formation 콘솔을 통해 공유되는 정책 태그를 찾을 수 있어야 합니다.
외부/수혜자 계정에 데이터 권한을 부여하십시오.
탐색 창의 권한, 데이터 레이크 권한에서 허용을 선택합니다.
보안 주체의 경우 외부 계정을 선택하고 보안 주체의 대상 AWS 계정 ID 또는 IAM 역할 또는 보안 주체 (보안 주체 ARN) 의 Amazon 리소스 이름 (ARN) 을 입력합니다.
LF 태그 또는 카탈로그 리소스의 경우 소비자 계정과 공유되는 LF 태그의 키와 값 (키 및 값) 을 선택합니다.
Confidentialitypublic권한의 경우 LF-태그와 일치하는 리소스 (권장) 에서 LF-Tag 추가를 선택합니다.
피부여자 계정과 공유하는 태그의 키와 값 (키 및 값) 을 선택합니다.
Confidentialitypublic데이터베이스 권한의 경우 데이터베이스 권한에서 설명을 선택하여 데이터베이스 수준에서 액세스 권한을 부여합니다.
소비자 데이터 레이크 관리자는 Lake Formation 콘솔 https://console.aws.amazon.com/lakeformation/
의 권한, 관리자 역할 및 작업, LF-Tag에서 소비자 계정을 통해 공유되는 정책 태그를 찾을 수 있어야 합니다. 소비자 계정이 사용자에게 데이터베이스 수준의 권한을 부여할 수 있도록 허용 가능한 권한에서 설명을 선택합니다.
데이터 레이크 관리자는 피부여자 계정의 보안 주체에게 공유 리소스에 대한 권한을 부여해야 하므로 항상 부여 옵션을 사용하여 계정 간 권한을 부여해야 합니다.
참고
계정 간 직접 승인을 받는 보안 주체에게는 권한 부여 옵션이 제공되지 않습니다.
테이블 및 열 권한의 경우 테이블 권한에서 선택 및 설명을 선택합니다.
부여 가능한 권한에서 선택 및 설명을 선택합니다.
권한 부여(Grant)를 선택합니다.
수령/수혜자 계정에서 설정이 필요합니다.
-
리소스를 다른 계정과 공유해도 해당 리소스는 여전히 생산자 계정에 속하며 Athena 콘솔에 표시되지 않습니다. Athena 콘솔에서 리소스를 표시하려면 공유 리소스를 가리키는 리소스 링크를 만들어야 합니다. 리소스 링크 생성에 대한 지침은 및 을 참조하십시오. 공유 데이터 카탈로그 테이블에 대한 리소스 링크 만들기 공유 데이터 카탈로그 데이터베이스에 대한 리소스 링크 만들기
리소스 링크를 공유할 때 LF 태그 기반 액세스 제어를 사용하려면 소비자 계정에서 별도의 LF-태그 세트를 생성해야 합니다. 필요한 LF-태그를 생성하여 공유 데이터베이스/테이블 및 리소스 링크에 할당합니다.
이러한 LF-태그에 대한 권한을 부여자 계정의 IAM 보안 주체에게 부여하십시오.
