리전 간 테이블 액세스 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

리전 간 테이블 액세스

Lake Formation은 지역 간 AWS 데이터 카탈로그 테이블 쿼리를 지원합니다. Amazon Athena, Amazon EMR, AWS Glue ETL을 사용하여 원본 데이터베이스 및 테이블을 가리키는 다른 지역의 리소스 링크를 생성하여 다른 지역의 데이터에 액세스할 수 있습니다. 교차 리전 테이블 액세스를 사용하면 기본 데이터나 메타데이터를 데이터 카탈로그에 복사하지 않고도 여러 리전의 데이터에 액세스할 수 있습니다.

예를 들어, 생산자 계정의 데이터베이스 또는 테이블을 리전 A의 소비자 계정과 공유할 수 있습니다. 리전 A에서 리소스 공유 초대를 수락한 후 소비자 계정의 데이터 레이크 관리자는 리전 B의 공유 리소스에 대한 리소스 링크를 만들 수 있습니다. 소비자 계정 관리자는 리전 A에서 해당 계정의 IAM 주체에 공유 리소스에 대한 권한을 부여하고 리전 B에서 리소스 링크 권한을 부여할 수 있습니다. 소비자 계정의 주체는 리소스 링크를 사용하여 리전 B에서 공유 데이터를 쿼리할 수 있습니다.

생산자 계정에서 리전 A의 Amazon S3 데이터 소스를 호스팅하고 리전 B의 중앙 계정에 데이터 위치를 등록할 수도 있습니다. 중앙 계정에서 데이터 카탈로그 리소스를 만들고, Lake Formation 권한을 설정하고, 계정의 소비자 또는 리전 B의 외부 계정과 데이터를 공유할 수 있습니다. 교차 리전 기능을 통해 사용자는 리소스 링크를 사용하여 리전 C에서 이러한 데이터 카탈로그 테이블에 액세스할 수 있습니다.

이 기능을 사용하면 여러 리전의 Apache Hive Metastore에 있는 페더레이션형 데이터베이스를 쿼리하고 쿼리를 실행할 때 로컬 리전의 테이블을 다른 리전의 테이블과 조인할 수도 있습니다.

Lake Formation은 리전 간 테이블 액세스를 통해 다음과 같은 기능을 지원합니다.

  • LF 태그 기반 액세스 제어

  • 세분화된 액세스 제어 권한

  • 적절한 권한이 있는 공유 데이터베이스 또는 테이블에 대한 쓰기 작업

  • 계정 수준에서 교차 계정 데이터 공유 및 IAM 보안 주체 수준과 직접 공유

Create_DatabaseCreate_Table 권한이 있는 비관리자 사용자는 교차 리전 리소스 링크를 만들 수 있습니다.

참고

Lake Formation 권한을 적용하지 않고도 모든 리전에서 교차 리전 리소스 링크를 생성하고 데이터에 액세스할 수 있습니다. Lake Formation에 등록되지 않은 Amazon S3의 소스 데이터에 대한 액세스는 Amazon S3에 대한 IAM 권한 정책 및 AWS Glue 작업에 따라 결정됩니다.

제한 사항은 리전 간 데이터 액세스 제한 섹션을 참조하세요.

워크플로

다음 다이어그램은 동일한 AWS 계정과 외부 계정에서 여러 AWS 지역의 데이터에 액세스하는 워크플로를 보여줍니다.

동일한 계정 내에서 공유된 테이블에 액세스하기 위한 워크플로우 AWS

아래 다이어그램에서는 미국 동부 (버지니아 북부) 지역의 동일한 AWS 계정을 사용하는 사용자와 데이터가 공유되고 사용자는 유럽 (아일랜드) 지역의 공유 데이터를 쿼리합니다.

Diagram showing data sharing between AWS 계정 across regions with numbered steps.

데이터 레이크 관리자는 다음 활동을 수행합니다(1~2단계).

  1. 데이터 레이크 관리자는 데이터 카탈로그 데이터베이스 및 테이블에 AWS 계정을 설정하고 미국 동부 (버지니아 북부) 지역의 Lake Formation에 Amazon S3 데이터 위치를 등록합니다.

    데이터 카탈로그 리소스(다이어그램의 제품 표)에 대한 Select 권한을 동일한 계정의 보안 주체(사용자)에게 부여합니다.

  2. 미국 동부(버지니아 북부) 리전의 소스 테이블을 가리키는 유럽(아일랜드) 리전에 리소스 링크를 생성합니다. 유럽(아일랜드) 지역의 리소스 링크에 대한 DESCRIBE 권한을 보안 주체에게 부여합니다.

  3. 사용자가 Athena를 사용하여 유럽(아일랜드) 리전에서 테이블을 쿼리합니다.

외부 계정과 공유된 테이블에 액세스하기 위한 워크플로 AWS

아래 다이어그램에서 생산자 계정(계정 A)은 Amazon S3 버킷을 호스팅하고, 데이터 위치를 등록하고, 미국 동부(버지니아 북부) 리전의 소비자 계정(계정 B) 및 소비자 계정의 사용자(계정 B)가 유럽(아일랜드) 지역의 테이블을 쿼리하는 데이터 카탈로그 테이블을 공유합니다.

Diagram showing data sharing between AWS 계정 across regions using Amazon S3 and Data Catalog.
  1. 데이터 레이크 관리자는 데이터 카탈로그 리소스가 포함된 AWS 계정 (생산자 계정) 과 미국 동부 (버지니아 북부) 지역의 Lake Formation에 등록된 Amazon S3 데이터 위치를 설정합니다.

  2. 생산자 계정의 데이터 레이크 관리자는 데이터 카탈로그 테이블을 소비자 계정과 공유합니다.

  3. 소비자 계정의 데이터 레이크 관리자는 미국 동부(버지니아 북부) 리전의 데이터 공유 초대를 수락하고 같은 리전의 보안 주체에게 공유 테이블에 대한 Select 권한을 부여합니다.

  4. 소비자 계정의 데이터 레이크 관리자는 미국 동부(버지니아 북부) 리전의 대상 공유 테이블을 가리키는 유럽(아일랜드) 리전에 리소스 링크를 생성하고 유럽(아일랜드) 리전의 리소스 링크에 대한 사용자 DESCRIBE 권한을 부여합니다.

  5. 사용자가 Athena를 사용하여 유럽(아일랜드) 리전에서 데이터를 쿼리합니다.