데이터 위치 권한 부여(외부 계정) - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 위치 권한 부여(외부 계정)

다음 단계에 따라 외부 AWS 계정 또는 조직에 데이터 위치 권한을 부여하세요.

Lake Formation 콘솔, API 또는 AWS Command Line Interface (AWS CLI)를 사용하여 권한을 부여할 수 있습니다.

시작하기 전 준비 사항

모든 교차 계정 액세스 필수 조건이 충족되는지 확인합니다. 자세한 정보는 필수 조건을 참조하세요.

데이터 위치 권한을 부여하려면(외부 계정, 콘솔)
  1. https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 엽니다. 데이터 레이크 관리자로 로그인합니다.

  2. 탐색 창의 권한에서 데이터 위치를 선택한 다음 허용을 선택합니다.

  3. 권한 부여 대화 상자에서 외부 계정 타일을 선택합니다.

  4. 다음 정보를 제공합니다.

    • AWS 계정 ID 또는 AWS 조직 ID에는 유효한 AWS 계정 번호, 조직 ID 또는 조직 단위 ID를 입력합니다.

      각 ID를 입력한 후에 Enter 키를 누릅니다.

      조직 ID는 'o-'와 10~32개의 소문자 또는 숫자로 구성됩니다.

      조직 단위 ID는 'ou-'와 4~32개의 소문자 또는 숫자로 구성됩니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-'(하이픈)과 8~32개의 추가 소문자 또는 숫자가 옵니다.

    • 스토리지 위치에서 찾아보기를 선택하고 Amazon Simple Storage Service(S3) 스토리지 위치를 선택합니다. 위치가 Lake Formation에 등록되어 있어야 합니다.

    권한 부여 대화 상자에는 외부 계정 라디오 버튼이 선택되어 있고, AWS 계정과 저장 위치가 지정되어 있습니다.
  5. 부여 가능을 선택합니다.

  6. 권한 부여를 선택합니다.

데이터 위치 권한을 부여하려면 (외부 계정, AWS CLI)
  • 외부 AWS 계정에 권한을 부여하려면 다음과 비슷한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333 --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    이 명령은 권한 부여 옵션을 통해 계정 1234-5678-9012가 소유한 Amazon S3 위치 s3://retail/transactions/2020q1의 계정 1111-2222-3333에 DATA_LOCATION_ACCESS 권한을 부여합니다.

    조직에 권한을 부여하려면 다음과 유사한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    이 명령은 권한 부여 옵션을 통해 계정 1234-5678-9012가 소유한 Amazon S3 위치 s3://retail/transactions/2020q1의 계정 조직 o-abcdefghijklDATA_LOCATION_ACCESS 권한을 부여합니다.

    외부 AWS 계정의 보안 주체에게 권한을 부여하려면 다음과 비슷한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'

    이 명령은 계정 1234-5678-9012가 소유한 Amazon S3 위치 s3://retail/transactions/2020q1의 계정 1111-2222-3333에 DATA_LOCATION_ACCESS 권한을 부여합니다.

    다음 예제는 외부 계정의 ALLIAMPrincipals 그룹에 s3://retail에 대한 데이터 위치 권한을 부여합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'