데이터 필터에서 제공하는 데이터 권한 부여 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 필터에서 제공하는 데이터 권한 부여

데이터 필터는 테이블 내 데이터의 하위 집합을 나타냅니다. 보안 주체에 데이터 액세스 권한을 제공하려면 해당 보안 주체에게 SELECT 권한을 부여해야 합니다. 이 권한으로 보안 주체는 다음을 수행할 수 있습니다.

  • 해당 계정과 공유된 테이블 목록에서 실제 테이블 이름을 볼 수 있습니다.

  • 공유 테이블에 데이터 필터를 생성하고 해당 사용자에게 해당 데이터 필터에 대한 권한을 부여합니다.

Console
SELECT 권한을 부여하려면

  1. Lake Formation 콘솔의 권한 페이지로 이동한 다음 권한 부여를 선택합니다.

    콘솔의 권한 페이지 상단 스크린샷 이미지입니다. 데이터 권한 섹션에서 권한 부여 버튼이 강조 표시되어 있습니다.

  2. 액세스 권한을 부여하려는 보안 주체를 선택하고 명명된 데이터 카탈로그 리소스를 선택합니다.

    콘솔의 권한 페이지 스크린샷 이미지입니다. 'LF-태그 또는 카탈로그 리소스' 섹션이 표시되어 있으며 '명명된 데이터 카탈로그 리소스' 옵션이 선택되어 있습니다. 데이터베이스에는 다음과 같은 하나의 값이 제공됩니다. cloudtrail 테이블의 경우 다음과 같은 하나의 값이 제공됩니다. cloudtrail-logs-aws_logs. 데이터 필터의 경우 다음과 같은 하나의 값이 제공됩니다. cloudtrail_lakeformation_filter.

  3. 필터가 나타내는 데이터에 대한 액세스를 제공하려면 데이터 필터 권한에서 선택을 선택합니다.

    콘솔의 권한 페이지 상단 스크린샷 이미지입니다. '데이터 필터 권한' 섹션에서 SELECT 옵션이 선택되어 있습니다. DESCRIBE 및 DROP 옵션은 선택되지 않았습니다. '부여 가능한 권한' 섹션에는 어떠한 옵션(선택, 설명, 삭제)도 선택되지 않았습니다. 스크린샷 하단에 '데이터 필터에 대한 권한을 선택하면 'cloudtrail_logs_awslogs' 테이블에 대한 액세스 권한이 부여됩니다.'라는 정보 메시지가 표시되어 있습니다.
CLI

grant-permissions 명령을 입력합니다. 리소스 인수에 대해 DataCellsFilter를 지정하고 권한 인수에 대해 SELECT를 지정합니다.

다음 예제에서는의 sales 데이터베이스에 restrict-pharma있는 orders 테이블에 속하는 datalake_user1 데이터 필터의 사용자에게 권한 부여 옵션과 SELECT 함께를 부여합니다 AWS 계정 1111-2222-3333.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

다음은 grant-params.json 파일의 내용입니다.

{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
    },
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333", 
            "DatabaseName": "sales", 
            "TableName": "orders", 
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"]
}