LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여 - AWS Lake Formation
LF-TBAC 방법을 사용하여 데이터 카탈로그 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여

LF 태그에 대한 DESCRIBEASSOCIATE Lake Formation 권한을 보안 주체에 부여하여 보안 주체가 LF 태그를 보고 데이터 카탈로그 리소스(데이터베이스, 테이블, 뷰 및 열)에 할당할 수 있도록 할 수 있습니다. LF 태그가 데이터 카탈로그 리소스에 할당되면 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 해당 리소스를 보호할 수 있습니다. 자세한 정보는 Lake Formation 태그 기반 액세스 제어을 참조하세요.

처음에는 데이터 레이크 관리자만 이러한 권한을 부여할 수 있습니다. 데이터 레이크 관리자가 부여 옵션을 통해 이러한 권한을 부여하면 다른 보안 주체가 권한을 부여할 수 있습니다. DESCRIBEASSOCIATE 권한에 대해서는 Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항에 설명되어 있습니다.

LF-태그에 대한 DESCRIBEASSOCIATE 권한을 외부 계정에 부여할 수 있습니다. AWS 그러면 해당 계정의 데이터 레이크 관리자가 계정의 다른 보안 주체에 그러한 권한을 부여할 수 있습니다. 외부 계정의 데이터 레이크 관리자가 ASSOCIATE 권한을 부여한 보안 주체는 해당 계정과 공유한 데이터 카탈로그 리소스에 LF 태그를 할당할 수 있습니다.

외부 계정에 권한을 부여하는 경우 권한 부여 옵션을 포함해야 합니다.

AWS Lake Formation 콘솔, API 또는 () 를 사용하여 LF-태그에 대한 권한을 부여할 수 있습니다. AWS Command Line Interface AWS CLI

다음 사항도 참조하십시오.

데이터 카탈로그 권한 부여

Lake Formation 콘솔을 사용하거나 AWS CLI LF-TBAC (Lake Formation 태그 기반 액세스 제어) 방법을 사용하여 데이터 카탈로그 데이터베이스, 테이블, 뷰 및 열에 대한 Lake Formation 권한을 부여하십시오.

Console

다음 단계에서는 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법과 Lake Formation 콘솔의 데이터 레이크 권한 부여 페이지를 사용하여 권한을 부여하는 방법에 대해 설명합니다. 이 페이지는 다음과 같은 섹션으로 구성되어 있습니다.

  • 주체 — 사용자, 역할, 권한 부여 대상 AWS 계정

  • LF 태그 또는 카탈로그 리소스 - 권한을 부여할 데이터베이스, 테이블 또는 리소스 링크.

  • 권한 - 부여할 Lake Formation 권한.

  1. 데이터 레이크 권한 부여 페이지를 엽니다.

    https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 열고 권한 부여 옵션을 사용하여 데이터 레이크 관리자 또는 LF-TBAC를 통해 데이터 카탈로그 리소스에 대한 Lake Formation 권한을 부여받은 사용자로 로그인합니다.

    탐색 창의 권한에서 데이터 레이크 권한을 선택합니다. 그런 다음 권한 부여를 선택합니다.

  2. 보안 주체를 지정합니다.

    보안 주체 섹션에서 보안 주체 유형을 선택한 다음 권한을 부여할 보안 주체를 지정합니다.

    보안 주체 섹션에는 다음 텍스트에 이름이 지정된 네 개의 타일이 있습니다. 각 타일에는 옵션 버튼과 텍스트가 있습니다. IAM Identity Center 타일이 선택되고 사용자 및 그룹 드롭다운 목록이 타일 아래에 표시됩니다.
    IAM 사용자 및 역할

    IAM 사용자 및 역할 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.

    IAM Identity Center

    사용자 및 그룹 목록에서 하나 이상의 사용자를 선택합니다.

    SAML 사용자 및 그룹

    SAML 및 Amazon QuickSight 사용자 및 그룹의 경우, SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름 (ARN) 을 입력하고 Amazon 사용자 또는 그룹의 경우 ARN을 입력합니다. QuickSight 각 ARN을 입력한 후에 Enter 키를 누릅니다.

    ARN을 구성하는 방법에 대한 자세한 내용은 Lake Formation 권한 부여 및 취소 명령 AWS CLI 섹션을 참조하세요.

    참고

    아마존과의 Lake Formation QuickSight 통합은 아마존 QuickSight 엔터프라이즈 에디션에서만 지원됩니다.

    외부 계정

    AWS 조직 또는 IAM 주체의 경우AWS 계정 IAM 사용자 또는 역할의 유효한 AWS 계정 ID, 조직 ID, 조직 단위 ID 또는 ARN을 하나 이상 입력합니다. 각 ID를 입력한 후에 Enter 키를 누릅니다.

    조직 ID는 'o-'와 10~32개의 소문자 또는 숫자로 구성됩니다.

    조직 단위 ID는 'ou-'로 시작하고 뒤에 4~32개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 대시와 8~32개의 추가 소문자 또는 숫자가 옵니다.

  3. LF 태그를 지정합니다.

    LF 태그와 일치하는 리소스 옵션이 선택되었는지 확인합니다. LF 태그 추가를 선택합니다.

    1. LF 태그 키 및 값을 선택합니다.

      값을 두 개 이상 선택하면 OR 연산자가 포함된 LF 태그 표현식이 생성됩니다. 즉, LF 태그 값 중 하나라도 데이터 카탈로그 리소스에 할당된 LF 태그와 일치하면 해당 리소스에 대한 권한이 부여됩니다.

      LF 태그 또는 카탈로그 리소스 섹션에는 가로로 배열된 두 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 LF 태그와 일치하는 리소스(권장) 및 명명된 데이터 카탈로그 리소스입니다. LF 태그와 일치하는 리소스가 선택되어 있습니다. 타일 아래에는 가로로 배열된 키 필드와 값 필드가 있습니다. 키 필드에는 'module'이 포함되어 있고 값 필드는 드롭다운 목록으로 Orders, Sales 및 Customers라는 세 가지 항목이 포함되어 있습니다. 각 항목에는 관련 확인란이 있습니다. Customers 확인란이 선택되어 있습니다. 이 두 필드의 오른쪽에는 제거 버튼이 있습니다. 맨 아래에는 LF 태그 추가 버튼이 있는데 이것은 키 필드, 값 필드 그리고 제거 버튼이 포함된 다른 행을 추가할 수 있음을 나타냅니다.

    2. (선택 사항) 다른 LF 태그를 지정하려면 다시 LF 태그 추가를 다시 선택합니다.

      LF 태그를 두 개 이상 지정하면 AND 연산자가 포함된 LF 태그 표현식이 생성됩니다. LF 태그 표현식의 각 LF 태그에 대해 일치하는 LF 태그가 리소스에 할당된 경우에만 보안 주체에게 데이터 카탈로그 리소스에 대한 권한이 부여됩니다.

  4. 권한을 지정합니다.

    일치하는 데이터 카탈로그 리소스에 대해 보안 주체에 부여되는 권한을 지정합니다. 일치하는 리소스란 보안 주체에 부여된 LF 태그 표현식 중 하나와 일치하는 LF 태그가 할당된 리소스입니다.

    일치하는 데이터베이스, 일치하는 테이블 또는 일치하는 뷰에 대해 부여할 권한을 지정할 수 있습니다.

    페이지의 두 섹션이 표시되어 있습니다. 데이터베이스 권한 섹션에는 데이터베이스 권한 및 부여 가능한 권한에 대한 확인란이 있습니다. 데이터베이스 섹션 아래의 테이블 권한 섹션에는 테이블 권한 및 부여 가능한 권한에 대한 확인란이 있습니다.

    데이터베이스 권한에서 일치하는 데이터베이스에 대해 보안 주체에 부여할 데이터베이스 권한을 선택합니다.

    테이블 권한에서 일치하는 테이블 및 뷰에 대해 보안 주체에 부여할 테이블 또는 뷰 권한을 선택합니다.

    테이블 권한에서 Select, DescribeDrop 권한을 선택하여 뷰에 적용할 수도 있습니다.

  5. 권한 부여를 선택합니다.

AWS CLI

AWS Command Line Interface (AWS CLI) 및 Lake Formation 태그 기반 액세스 제어 (LF-TBAC) 메서드를 사용하여 데이터 카탈로그 데이터베이스, 테이블 및 열에 Lake Formation 권한을 부여할 수 있습니다.

AWS CLI 및 LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여

  • grant-permissions 명령을 사용합니다.

    다음 예제는 LF 태그 표현식 'module=*'(LF 태그 키 module의 모든 값)를 사용자 datalake_user1에게 부여합니다. 해당 사용자는 일치하는 모든 데이터베이스(모든 값의 키 module과 함께 LF 태그가 할당된 데이터베이스)에 대해 CREATE_TABLE 권한을 갖게 됩니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}'

    다음 예제는 LF 태그 표현식 '(level=director) AND (region=west OR region=south)'를 사용자 datalake_user1에게 부여합니다. 해당 사용자는 일치하는 테이블(level=directorregion=west 또는 region=south가 모두 할당된 테이블)에 대해 권한 부여 옵션을 사용하여 SELECT, ALTERDROP 권한을 갖게 됩니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'

    다음 예에서는 LF-태그 표현식 "“을 계정 1234-5678-9012에 부여합니다. module=orders AWS 그러면 해당 계정의 데이터 레이크 관리자가 해당 계정의 보안 주체에 'module=orders' 표현식을 부여할 수 있습니다. 해당 보안 주체는 명명된 리소스 방법 또는 LF-TBAC 방법을 사용하여 계정 1111-2222-3333이 소유하고 계정 1234-5678-9012와 공유한 데이터베이스를 일치시킬 수 있는 CREATE_TABLE 권한을 갖게 됩니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'