AWS CLI및 명명된 리소스 방법을 사용하여 데이터베이스 권한 부여 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CLI및 명명된 리소스 방법을 사용하여 데이터베이스 권한 부여

명명된 리소스 메서드와 AWS Command Line Interface (AWS CLI) 를 사용하여 데이터베이스 권한을 부여할 수 있습니다.

를 사용하여 데이터베이스 권한을 부여하려면 AWS CLI

  • grant-permissions명령을 실행하고 부여되는 권한에 따라 데이터베이스 또는 데이터 카탈로그를 리소스로 지정합니다.

    다음 예시에서는 <account-id>유효한 AWS 계정 ID로 바꾸십시오.

    예 — 데이터베이스 생성 권한 부여

    이 예제는 사용자에게 CREATE_DATABASE 권한을 datalake_user1 부여합니다. 이 권한이 부여되는 리소스가 데이터 카탈로그이기 때문에 명령은 빈 CatalogResource 구조를 resource 매개 변수로 지정합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}'
    예 — 지정된 데이터베이스에 테이블을 만들 수 있는 권한을 부여합니다.

    다음 예제는 사용자에게 데이터베이스를 CREATE_TABLE retail datalake_user1 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    예 — Grant 옵션을 사용하여 외부 AWS 계정에 부여

    다음 예에서는 데이터베이스의 권한 부여 옵션을 CREATE_TABLE 사용하여 외부 계정 retail 1111-2222-3333에 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}'
    예 — 조직에 부여

    다음 예에서는 데이터베이스의 권한 부여 옵션을 issues 사용하여 조직에 ALTER o-abcdefghijkl 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "ALTER" --permissions-with-grant-option "ALTER" --resource '{ "Database": {"Name":"issues"}}'
    예 - 동일한 ALLIAMPrincipals 계정에서 부여

    다음 예시에서는 같은 계정의 모든 보안 retail 주체에게 데이터베이스에 대한 CREATE_TABLE 권한을 부여합니다. 이 옵션을 사용하면 계정의 모든 보안 주체가 데이터베이스에 테이블을 만들고 통합 쿼리 엔진이 공유 데이터베이스 및 테이블에 액세스할 수 있도록 테이블 리소스 링크를 만들 수 있습니다. 이 옵션은 보안 주체가 계정 간 승인을 받고 리소스 링크를 만들 권한이 없는 경우에 특히 유용합니다. 이 시나리오에서 데이터 레이크 관리자는 자리 표시자 데이터베이스를 만들고 ALLIAMPrincipal 그룹에 CREATE_TABLE 권한을 부여하여 계정 내 모든 IAM 보안 주체가 자리 표시자 데이터베이스에 리소스 링크를 생성할 수 있도록 할 수 있습니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"temp","CatalogId":"111122223333"}}'
    예 - 외부 계정에 ALLIAMPrincipals 부여

    다음 예시에서는 외부 계정의 모든 보안 retail 주체에게 데이터베이스를 CREATE_TABLE 부여합니다. 이 옵션을 사용하면 계정의 모든 보안 주체가 데이터베이스에 테이블을 만들 수 있습니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "CREATE_TABLE"  --resource '{ "Database": {"Name":"retail","CatalogId":"123456789012"}}'
참고

등록된 위치를 가리키는 위치 속성이 있는 데이터베이스에 CREATE_TABLE 또는 ALTER 데이터베이스를 부여한 후에는 해당 위치에 대한 데이터 위치 권한도 주체에게 부여해야 합니다. 자세한 정보는 데이터 위치 권한 부여을 참조하세요.

다음 사항도 참조하세요.