데이터 위치 권한 부여 (외부 계정) - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 위치 권한 부여 (외부 계정)

데이터 위치 권한을 외부에 부여하려면 다음 단계를 따르세요.AWS계정 또는 조직

Lake Formation 콘솔, API 또는 를 사용하여 권한을 부여할 수 있습니다.AWS Command Line Interface(AWS CLI).

시작하기 전에

모든 교차 계정 액세스 사전 요구 사항이 충족되었는지 확인하십시오. 자세한 정보는 필수 조건을 참조하세요.

데이터 위치 권한을 부여하려면 (외부 계정, 콘솔)

  1. 열기AWS Lake Formation콘솔 아트https://console.aws.amazon.com/lakeformation/. 데이터 레이크 관리자로 로그인합니다.

  2. 탐색 창에서 선택데이터 위치, 그런 다음 선택그랜트.

  3. 에서권한 부여대화 상자에서 다음 중 하나를 선택합니다.외부 계정타일.

  4. 다음 정보를 제공합니다.

    • ... 에 대한AWS계정 ID 또는AWS조직 ID, 유효한 입력AWS계정 번호, 조직 ID 또는 조직 단위 ID

      언론입력각 ID 뒤에

      조직 ID는 “o-”와 10~32개의 소문자 또는 숫자로 구성됩니다.

      조직 단위 ID는 “ou-”와 4~32개의 소문자 또는 숫자 (OU를 포함하는 루트의 ID) 로 구성됩니다. 이 문자열 뒤에는 두 번째 “-" (하이픈) 와 8~32개의 추가 소문자 또는 숫자가 나옵니다.

    • 아래보관 위치, 선택검색를 클릭하고 아마존 심플 스토리지 서비스 (Amazon S3) 스토리지 위치를 선택합니다. 위치는 레이크 포메이션에 등록되어 있어야 합니다.

    권한 부여 대화 상자에는 외부 계정 라디오 버튼이 선택되어 있습니다.AWS계정이 지정되고 저장 위치가 지정되었습니다.

  5. 선택부여 가능.

  6. 권한 부여(Grant)를 선택합니다.

데이터 위치 권한을 부여하려면 (외부 계정,AWS CLI)

  • 외부에 권한을 부여하려면AWS계정, 다음과 비슷한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333  --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    이 명령은 다음을 부여합니다.DATA_LOCATION_ACCESS아마존 S3 로케이션의 1111-2222-3333 계정에 대한 권한 부여 옵션 포함s3://retail/transactions/2020q1, 계정 1234-5678-9012가 소유하고 있습니다.

    조직에 권한을 부여하려면 다음과 비슷한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:organizations::111122223333:organization/o-abcdefghijkl --permissions "DATA_LOCATION_ACCESS" --permissions-with-grant-option "DATA_LOCATION_ACCESS" --resource '{"DataLocation": {"CatalogId":"123456789012","ResourceArn":"arn:aws:s3::retail/transactions/2020q1"}}'

    이 명령은 다음을 부여합니다.DATA_LOCATION_ACCESS조직에 대한 부여 옵션 포함o-abcdefghijkl아마존 S3 로케이션에서s3://retail/transactions/2020q1, 계정 1234-5678-9012가 소유하고 있습니다.

    외부 주체에게 권한 부여하기AWS계정, 다음과 비슷한 명령을 입력합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3::retail/transactions/2020q1", "CatalogId": "123456789012"}}'

    이 명령은 다음을 부여합니다.DATA_LOCATION_ACCESS아마존 S3 로케이션에 있는 1111-2222-3333 계정의 보안 주체에게s3://retail/transactions/2020q1, 계정 1234-5678-9012가 소유하고 있습니다.

    다음 예에서는 데이터 위치 권한을 부여합니다.s3://retailALLIAMPrincipals외부 계정에서 그룹화합니다.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=111122223333:IAMPrincipals --permissions "DATA_LOCATION_ACCESS" --resource '{ "DataLocation": {"ResourceArn":"arn:aws:s3:::retail", "CatalogId": "123456789012"}}'
추가 참고: