태그 기반 액세스 제어를 사용한 데이터 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

태그 기반 액세스 제어를 사용한 데이터 공유

생산자/권한 부여자 계정에 필요한 설정
  1. LF 태그를 정의합니다. LF 태그를 만드는 방법에 대한 지침은 LF 태그 생성 섹션을 참조하세요.

  2. 대상 리소스에 LF-태그를 할당합니다. 자세한 정보는 데이터 카탈로그 리소스에 LF 태그 할당을 참조하세요.

  3. 외부 계정에 LF 태그 권한을 부여합니다. 자세한 정보는 콘솔을 사용하여 LF 태그 권한 부여을 참조하세요.

    이 시점에서 소비자 데이터 레이크 관리자는 Lake Formation 콘솔의 권한, 관리 역할 및 작업, LF 태그에서 피부여자 계정을 통해 공유 중인 정책 태그를 찾을 수 있어야 합니다.

  4. 외부/피부여자 계정에 데이터 권한을 부여합니다.

    1. 탐색 창의 권한, 데이터 레이크 권한에서 부여를 선택합니다.

    2. 보안 주체의 경우 외부 계정을 선택하고 보안 주체의 대상 AWS 계정 ID 또는 IAM 역할 또는 보안 주체 (보안 주체 ARN) 의 Amazon 리소스 이름 (ARN) 을 입력합니다.

    3. LF 태그 또는 카탈로그 리소스의 경우 소비자 계정과 공유되는 LF 태그을 선택합니다( Confidentiality, public).

    4. 권한의 경우 LF 태그와 일치하는 리소스(권장)에서 LF 태그 추가를 선택합니다.

    5. 피부여자 계정과 공유할 태그의 을 선택합니다(키 Confidentiality, 값 public).

    6. 데이터베이스 권한의 경우, 데이터베이스 권한에서 설명을 선택하여 데이터베이스 수준에서 액세스 권한을 부여합니다.

    7. 소비자 데이터 레이크 관리자는 Lake Formation 콘솔(https://console.aws.amazon.com/lakeformation/)의 권한, 관리 역할 및 작업, LF 태그에서 소비자 계정을 통해 공유되는 정책 태그를 찾을 수 있어야 합니다.

    8. 부여 가능한 권한에서 설명을 선택하여 소비자 계정에서 사용자에게 데이터베이스 수준 권한을 부여할 수 있도록 합니다.

      데이터 레이크 관리자는 피부여자 계정의 보안 주체에게 공유 리소스에 대한 권한을 부여해야 하므로 항상 부여 옵션을 사용하여 교차 계정 권한을 부여해야 합니다.

      참고

      교차 계정 직접 승인을 받는 보안 주체에게는 부여 가능한 권한 옵션이 제공되지 않습니다.

    9. 테이블 및 열 권한의 경우, 테이블 권한에서 선택설명을 선택합니다.

    10. 부여 가능한 권한에서 선택설명을 선택합니다.

    11. 권한 부여를 선택합니다.

수신자/피부여자 계정에서 필요한 설정
  1. 다른 계정과 리소스를 공유해도 해당 리소스는 여전히 생산자 계정에 속하며 Athena 콘솔에 표시되지 않습니다. Athena 콘솔에서 리소스를 표시하려면 공유 리소스를 가리키는 리소스 링크를 만들어야 합니다. 리소스 링크 생성에 대한 지침은 공유 데이터 카탈로그 테이블에 대한 리소스 링크 만들기공유 데이터 카탈로그 데이터베이스에 대한 리소스 링크 만들기 섹션을 참조하세요.

  2. 리소스 링크를 공유할 때 LF 태그 기반 액세스 제어를 사용하려면 소비자 계정에서 별도의 LF 태그 세트를 만들어야 합니다. 공유 데이터베이스/테이블 및 리소스 링크에 필요한 LF 태그를 생성하고 할당합니다.

  3. 이러한 LF 태그에 대한 권한을 수여자 계정의 IAM 주체에 부여합니다.