데이터 필터가 제공하는 데이터 권한 부여 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 필터가 제공하는 데이터 권한 부여

데이터 필터는 테이블 내의 데이터 하위 집합을 나타냅니다. 보안 주체에게 데이터 액세스를 제공하려면 해당 보안 주체에게SELECT 권한을 부여해야 합니다. 이 허가를 받으면 교장은 다음을 할 수 있습니다.

  • 해당 계정과 공유된 테이블 목록에서 실제 테이블 이름을 볼 수 있습니다.

  • 공유 테이블에 데이터 필터를 생성하고 해당 데이터 필터에 대한 권한을 해당 사용자에게 부여합니다.

Console
SELECT 권한을 부여하려면

  1. Lake Formation 콘솔의 권한 페이지로 이동한 다음 Grant를 선택합니다.

    이미지는 콘솔에 있는 권한 페이지의 상위 페이지 스크린샷입니다. 데이터 권한 섹션에서 허용 버튼이 강조 표시됩니다.

  2. 액세스 권한을 부여하려는 보안 주체를 선택하고 이름이 지정된 데이터 카탈로그 리소스를 선택합니다.

    이미지는 콘솔에 있는 권한 페이지의 스크린샷입니다. “이름이 지정된 데이터 카탈로그 리소스” 옵션이 선택된 상태로 “LF-태그 또는 카탈로그 리소스” 섹션이 표시됩니다. 데이터베이스에는 다음과 같은 한 가지 값이 제공됩니다cloudtrail. 테이블에는cloudtrail-logs-aws _logs라는 하나의 값이 제공됩니다. 데이터 필터에는 클라우드트레일_레이크포메이션_필터라는 하나의 값이 제공됩니다.

  3. 필터가 나타내는 데이터에 대한 액세스를 제공하려면 데이터 필터 권한에서 선택을 선택합니다.

    이미지는 콘솔에 있는 권한 페이지의 상위 페이지 스크린샷입니다. “데이터 필터 권한” 섹션에서SELECT 옵션이 선택됩니다. DESCRIBE및DROP 옵션은 선택되지 않았습니다. '허용 가능한 권한' 섹션에는 선택, 설명, 삭제 등의 옵션이 선택되어 있지 않습니다. 스크린샷 하단에 “데이터 필터에 대한 권한을 선택하면 'cloudtrail_logs_awslogs' 테이블에 대한 액세스 권한이 부여됩니다.” 라는 정보 메시지가 있습니다.
CLI

grant-permissions명령을 입력합니다. 리소스DataCellsFilter 인수로 지정하고 Permission 인수로SELECT 지정합니다.

다음 예에서는sales 데이터베이스의orders 테이블에 속하는 데이터 필터를restrict-pharma 사용자에게datalake_user1 부여 옵션과SELECT 함께AWS 계정1111-2222-3333 부여합니다.

aws lakeformation grant-permissions --cli-input-json file://grant-params.json

다음은 파일의grant-params.json 내용입니다.

{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
    },
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333", 
            "DatabaseName": "sales", 
            "TableName": "orders", 
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["SELECT"]
}