하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유

외부 계정의 새 데이터 카탈로그 사용자가 기존 Lake Formation 교차 계정 공유 권한을 중단하지 않고 IAM 기반 정책을 사용하여 데이터 카탈로그 데이터베이스 및 테이블에 액세스할 수 있도록 허용합니다.

시나리오 설명 - 생산자 계정에는 계정 수준 또는 IAM 보안 수준에서 외부(소비자) 계정과 공유되는 Lake Formation 관리 데이터베이스 및 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다. IAMAllowedPrincipals 그룹에는 데이터베이스 및 데이터베이스의 테이블에 대한 Super 권한이 없습니다.

기존 Lake Formation 권한을 중단하지 않고 IAM 기반 정책을 통해 새 데이터 카탈로그 사용자에게 교차 계정 액세스 권한 부여
  1. 생산자 계정 설정
    1. lakeformation:PutDataLakeSettings 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.

    2. 데이터 카탈로그 설정에서 교차 계정 버전 설정에 대해 Version 4를 선택합니다.

      현재 버전 1 또는 2를 사용 중인 경우 교차 계정 데이터 공유 버전 설정 업데이트 섹션에서 버전 3으로의 업데이트에 대한 지침을 참조할 수 있습니다.

      버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.

    3. 데이터베이스 및 테이블에 대해 보안 주체에 부여한 권한을 나열합니다. 자세한 설명은 Lake Formation의 데이터베이스 및 테이블 권한 보기 섹션을 참조하세요.

    4. 보안 주체 및 리소스를 옵트인하여 기존 Lake Formation 교차 계정 권한을 다시 부여합니다.

      참고

      데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하여 교차 계정 권한을 부여하기 전에 계정당 하나 이상의 교차 계정 데이터 공유를 다시 부여해야 합니다. 이 단계는 AWS RAM 리소스 공유에 연결된 AWS RAM 관리 권한을 업데이트하는 데 필요합니다.

      2023년 7월, Lake Formation은 데이터베이스 및 테이블 공유에 사용되는 AWS RAM 관리 권한을 업데이트했습니다.

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase(데이터베이스 수준 공유 정책)

      • arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite(테이블 수준 공유 정책)

      2023년 7월 이전에 이루어진 교차 계정 권한 부여에는 이러한 업데이트된 AWS RAM 권한이 없습니다.

      교차 계정 권한을 보안 주체에 직접 부여한 경우 해당 권한을 보안 주체에 개별적으로 다시 부여해야 합니다. 이 단계를 건너뛰면 공유 리소스에 액세스하는 보안 주체에 잘못된 조합 오류가 발생할 수 있습니다.

    5. https://console.aws.amazon.com/ram 으로 이동하십시오.

    6. AWS RAM 콘솔의 Shared by me 탭에는 외부 계정 또는 보안 주체와 공유한 데이터베이스 및 테이블 이름이 표시됩니다.

      공유 리소스에 연결된 권한에 올바른 ARN이 있는지 확인합니다.

    7. AWS RAM 공유의 리소스가 Associated 상태에 있는지 확인하세요. 상태가 Associating으로 표시되면 Associated 상태가 될 때까지 기다립니다. 상태가 Failed가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.

    8. 왼쪽 탐색 표시줄의 권한에서 하이브리드 액세스 모드를 선택하고 추가를 선택합니다.

    9. 보안 주체 및 리소스 추가 페이지에는 데이터베이스 및/또는 테이블 그리고 액세스 권한이 있는 보안 주체가 표시됩니다. 보안 주체 및 리소스를 추가하거나 제거하여 필요한 업데이트를 수행할 수 있습니다.

    10. 하이브리드 액세스 모드로 변경하려는 데이터베이스 및 테이블에 대한 Lake Formation 권한이 있는 보안 주체를 선택합니다. 데이터베이스 및 테이블을 선택합니다.

    11. 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체를 옵트인하려면 추가를 선택합니다.

    12. 가상 그룹 IAMAllowedPrincipals에 데이터베이스 및 선택한 테이블에 대한 Super 권한을 부여합니다.

    13. Amazon S3 위치 Lake Formation 등록을 하이브리드 액세스 모드로 편집합니다.

    14. Amazon S3 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 외부 (소비자) 계정의 AWS Glue 사용자에게 권한을 부여합니다.

  2. 소비자 계정 설정
    1. Lake Formation 콘솔(https://console.aws.amazon.com/lakeformation/)에 데이터 레이크 관리자로 로그인합니다.

    2. https://console.aws.amazon.com/ram으로 이동하여 리소스 공유 초대를 수락합니다. AWS RAM 페이지의 공유 리소스 탭에는 계정과 공유된 데이터베이스 및 테이블 이름이 표시됩니다.

      AWS RAM 공유의 경우 첨부된 권한이 공유 AWS RAM 초대의 올바른 ARN을 가지고 있는지 확인하십시오. AWS RAM 공유의 리소스가 Associated 상태에 있는지 확인하세요. 상태가 Associating으로 표시되면 Associated 상태가 될 때까지 기다립니다. 상태가 Failed가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.

    3. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.

    4. (소비자) 계정의 IAM 보안 주체에 리소스 링크에 대한 Describe 권한과 Grant on target 권한(원래 공유 리소스에 대한)을 부여합니다.

    5. 다음으로, 공유된 데이터베이스 또는 테이블에서 계정의 보안 주체에 대한 Lake Formation 권한을 설정합니다.

      왼쪽 탐색 표시줄의 권한에서 하이브리드 액세스 모드를 선택합니다.

    6. 하이브리드 액세스 모드 페이지 하단에서 추가를 선택하여 생산자 계정에서 공유되는 데이터베이스 또는 테이블과 보안 주체를 옵트인합니다.

    7. Amazon S3 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 계정의 AWS Glue 사용자에게 권한을 부여합니다.

    8. Athena를 사용하여 테이블에서 별도의 샘플 쿼리를 실행하여 사용자의 Lake Formation AWS Glue 권한 및 권한을 테스트합니다.

      (선택 사항) 하이브리드 액세스 모드에 있는 보안 주체에 대한 Amazon S3의 IAM 권한 정책을 정리합니다.