하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유

외부 계정의 새 Data Catalog 사용자가 기존 Lake Formation 계정 간 공유 권한을 중단하지 않고도 IAM 기반 정책을 사용하여 데이터 카탈로그 데이터베이스 및 테이블에 액세스할 수 있습니다.

시나리오 설명 - 생산자 계정에는 계정 수준 또는 IAM 보안 수준에서 외부 (소비자) 계정과 공유되는 Lake Formation 관리 데이터베이스 및 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다. IAMAllowedPrincipals그룹에는 데이터베이스 및 해당 테이블에 대한 Super 권한이 없습니다.

기존 Lake Formation 권한을 중단하지 않고 IAM 기반 정책을 통해 새 Data Catalog 사용자에게 계정 간 액세스 권한 부여
  1. 프로듀서 계정 설정

    1. 다음과 같은 역할을 사용하여 Lake Formation 콘솔에 lakeformation:PutDataLakeSettings 로그인합니다.

    2. 데이터 카탈로그 설정에서 크로스 계정 버전 설정을 선택합니다Version 4.

      현재 버전 1 또는 2를 사용 중인 경우 버전 3으로 업데이트하는 계정 간 데이터 공유 버전 설정 업데이트 방법에 대한 지침을 참조하십시오.

      버전 3에서 4로 업그레이드하는 데 필요한 권한 정책 변경은 없습니다.

    3. 데이터베이스 및 테이블에서 주도자에게 부여한 권한을 나열하십시오. 자세한 정보는 Lake Formation 포메이션의 데이터베이스 및 테이블 권한 보기을 참조하세요.

    4. 보안 주체 및 리소스를 선택하여 기존 Lake Formation 교차 계정 권한을 다시 부여하십시오.

      참고

      데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하여 계정 간 권한을 부여하기 전에 계정당 하나 이상의 교차 계정 데이터 공유를 다시 부여해야 합니다. 이 단계는 리소스 공유에 연결된 AWS RAM 관리 권한을 업데이트하는 데 필요합니다. AWS RAM

      2023년 7월, Lake Formation은 데이터베이스 및 테이블 공유에 사용되는 AWS RAM 관리 권한을 업데이트했습니다.

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(데이터베이스 수준 공유 정책)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(테이블 수준 공유 정책)

      2023년 7월 이전에 부여된 교차 계정 권한 부여에는 이러한 업데이트된 권한이 없습니다. AWS RAM

      계정 간 권한을 보안 주체에게 직접 부여한 경우 해당 권한을 보안 주체에게 개별적으로 다시 부여해야 합니다. 이 단계를 건너뛰면 공유 리소스에 액세스하는 보안 주체에 잘못된 조합 오류가 발생할 수 있습니다.

    5. https://console.aws.amazon.com/ram 으로 이동하십시오.

    6. AWS RAM콘솔의 Shared by me 탭에는 외부 계정 또는 보안 주체와 공유한 데이터베이스 및 테이블 이름이 표시됩니다.

      공유 리소스에 연결된 권한이 올바른 ARN을 가지고 있는지 확인하십시오.

    7. AWS RAM공유의 리소스가 Associated 상태에 있는지 확인하십시오. 상태가 로 Associating 표시되면 상태가 될 때까지 기다리십시오. Associated 상태가 Failed 되면 중지하고 Lake Formation 서비스 팀에 문의하십시오.

    8. 왼쪽 탐색 표시줄의 [권한] 에서 하이브리드 액세스 모드를 선택하고 [추가] 를 선택합니다.

    9. 보안 주체 및 리소스 추가 페이지에는 액세스 권한이 있는 데이터베이스 및/또는 테이블 및 보안 주체가 표시됩니다. 주도자 및 리소스를 추가하거나 제거하여 필요한 업데이트를 수행할 수 있습니다.

    10. 하이브리드 액세스 모드로 변경하려는 데이터베이스 및 테이블에 대한 Lake Formation 권한이 있는 보안 주체를 선택합니다. 데이터베이스와 테이블을 선택합니다.

    11. 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체를 옵트인하려면 추가를 선택합니다.

    12. 데이터베이스의 가상 그룹과 선택한 IAMAllowedPrincipals 테이블에 Super 권한을 부여하십시오.

    13. Amazon S3 위치의 Lake Formation 등록을 하이브리드 액세스 모드로 편집합니다.

    14. Amazon S3 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 외부 (소비자) 계정의 AWS Glue 사용자에게 권한을 부여합니다.

  2. 소비자 계정 설정

    1. Lake Formation 콘솔 https://console.aws.amazon.com/lakeformation/ 에서 데이터 레이크 관리자로 로그인합니다.

    2. https://console.aws.amazon.com/ram 로 이동하여 리소스 공유 초대를 수락하세요. AWS RAM페이지의 나와 공유된 리소스 탭에는 계정과 공유된 데이터베이스 및 테이블 이름이 표시됩니다.

      AWS RAM공유의 경우 첨부된 권한이 공유 AWS RAM 초대의 올바른 ARN을 가지고 있는지 확인하십시오. AWS RAM공유의 리소스가 Associated 상태에 있는지 확인하세요. 상태가 로 Associating 표시되면 상태가 될 때까지 기다리십시오. Associated 상태가 Failed 되면 중지하고 Lake Formation 서비스 팀에 문의하십시오.

    3. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.

    4. (소비자) 계정의 IAM 보안 주체에게 리소스 링크에 대한 Grant on target 권한과 (원래 공유 리소스에 대한) 권한을 Describe 부여하십시오.

    5. 다음으로 공유 데이터베이스 또는 테이블에서 계정의 보안 주체에 대한 Lake Formation 권한을 설정합니다.

      왼쪽 탐색 표시줄의 권한에서 하이브리드 액세스 모드를 선택합니다.

    6. 하이브리드 액세스 모드 페이지 하단에서 추가를 선택하여 프로듀서 계정에서 공유된 보안 주체와 데이터베이스 또는 테이블을 옵트인합니다.

    7. Amazon S3 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 계정의 AWS Glue 사용자에게 권한을 부여합니다.

    8. Athena를 사용하여 테이블에서 별도의 샘플 쿼리를 실행하여 사용자의 Lake Formation AWS Glue 권한 및 권한을 테스트합니다.

      (선택 사항) 하이브리드 액세스 모드에 있는 보안 주체에 대한 Amazon S3의 IAM 권한 정책을 정리합니다.