데이터 필터 권한 부여

데이터 필터에 대한SELECT,DESCRIBE 및DROP Lake Formation 권한을 주도자에게 부여할 수 있습니다.

처음에는 테이블용으로 만든 데이터 필터를 사용자만 볼 수 있습니다. 다른 보안 주체가 데이터 필터를 볼 수 있도록 하고 해당 데이터 필터에 데이터 카탈로그 권한을 부여하려면 다음 중 하나를 수행해야 합니다.

부여 옵션을 사용하여SELECT 테이블에서 보안 주체에게 권한을 부여하고 데이터 필터를 권한 부여에 적용합니다.
데이터 필터에 대한DESCRIBE 또는DROP 권한을 보안 주체에게 부여합니다.

외부AWS 계정에SELECT 권한을 부여할 수 있습니다. 그러면 해당 계정의 Data Lake 관리자가 해당 권한을 계정의 다른 주체에게 부여할 수 있습니다. 외부 계정에 권한을 부여할 때는 외부 계정 관리자가 자신의 계정에 있는 다른 사용자에게 권한을 중첩시킬 수 있도록 권한 부여 옵션을 포함해야 합니다. 계좌에 있는 원금에게 지급하는 경우 보조금 옵션을 통한 보조금은 선택 사항입니다.

AWS Lake Formation콘솔, API 또는AWS Command Line Interface (AWS CLI) 를 사용하여 데이터 필터에 대한 권한을 부여하거나 취소할 수 있습니다.

Console

AWS Management Console로그인하고 https://console.aws.amazon.com/lakeformation/ 에서 Lake Formation 콘솔을 엽니다.
탐색 창의 권한에서 데이터 레이크 권한을 선택합니다.
권한 페이지의 데이터 권한 섹션에서 허용을 선택합니다.
데이터 권한 부여 페이지에서 권한을 부여할 주체를 선택합니다.
LF-태그 또는 카탈로그 리소스 섹션에서 명명된 데이터 카탈로그 리소스를 선택합니다. 그런 다음 권한을 부여할 데이터베이스, 테이블 및 데이터 필터를 선택합니다.
데이터 필터 권한 섹션에서 선택한 주도자에게 부여할 권한을 선택합니다.

AWS CLI

grant-permissions명령을 입력합니다. resource인수에DataCellsFilter 대해 지정하고DESCRIBE, 인수에는DROP or를 지정하고,PermissionsPermissionsWithGrantOption 인수에 대해서는 선택적으로 지정합니다.

다음 예에서는AWS 계정 1111-2222-3333의sales 데이터베이스orders 테이블에 속하는 데이터 필터에datalake_user1restrict-pharma 대한 권한 부여 옵션을 사용자에게DESCRIBE 부여합니다.


aws lakeformation grant-permissions --cli-input-json file://grant-params.json

다음은 파일의grant-params.json 내용입니다.


{
    "Principal": {"DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"},
    "Resource": {
        "DataCellsFilter": {
            "TableCatalogId": "111122223333",
            "DatabaseName": "sales",
            "TableName": "orders",
            "Name": "restrict-pharma"
        }
    },
    "Permissions": ["DESCRIBE"],
    "PermissionsWithGrantOption": ["DESCRIBE"]
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

데이터 필터 생성

데이터 필터가 제공하는 데이터 권한 부여