하이브리드 액세스 모드를 사용한 AWS Glue 리소스 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드를 사용한 AWS Glue 리소스 공유

기존 Data Catalog 사용자의 IAM 기반 액세스를 중단하지 않고 Lake Formation 권한을 AWS 계정 적용하는 다른 사용자 AWS 계정 또는 주체와 데이터를 공유할 수 있습니다.

시나리오 설명 - 생산자 계정에는 Amazon S3에 대한 IAM 보안 정책 및 AWS Glue 작업을 사용하여 액세스를 제어하는 Data Catalog 데이터베이스가 있습니다. 데이터베이스의 데이터 위치가 Lake Formation에 등록되어 있지 않습니다. IAMAllowedPrincipals그룹은 기본적으로 데이터베이스 및 모든 테이블에 대한 Super 권한을 가집니다.

하이브리드 액세스 모드에서 계정 간 Lake Formation 권한 부여
  1. 프로듀서 계정 설정

    1. lakeformation:PutDataLakeSettingsIAM 권한이 있는 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.

    2. 데이터 카탈로그 설정으로 이동하여 크로스 계정 버전 설정을 선택합니다Version 4.

      현재 버전 1 또는 2를 사용 중인 경우 버전 3으로 업데이트하는 계정 간 데이터 공유 버전 설정 업데이트 방법에 대한 지침을 참조하십시오.

      버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.

    3. 하이브리드 액세스 모드에서 공유하려는 데이터베이스 또는 테이블의 Amazon S3 위치를 등록합니다.

    4. 위 단계에서 하이브리드 액세스 모드에서 데이터 위치를 등록한 데이터베이스와 테이블에 IAMAllowedPrincipals 그룹에 대한 Super 권한이 있는지 확인하십시오.

    5. 조직, AWS 조직 단위 (OU) 에 Lake Formation 권한을 부여하거나 다른 계정의 IAM 보안 주체에게 직접 권한을 부여하십시오.

    6. IAM 보안 주체에게 직접 권한을 부여하는 경우, Make Lake Formation 권한을 즉시 적용하도록 설정하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 소비자 계정의 보안 주체를 옵트인하십시오.

      다른 계정에 교차 계정 권한을 부여하는 경우 해당 AWS 계정을 옵트인하면 Lake Formation 권한이 해당 계정의 관리자에게만 적용됩니다. 수신자 계정 데이터 레이크 관리자는 하이브리드 액세스 모드의 공유 리소스에 대해 Lake Formation 권한을 적용하려면 권한을 단계적으로 낮추고 계정의 보안 주체를 옵트인해야 합니다.

      계정 간 권한을 부여하기 위해 LF 태그와 일치하는 리소스 옵션을 선택하는 경우 먼저 권한 부여 단계를 완료해야 합니다. Lake Formation 콘솔의 왼쪽 탐색 표시줄에 있는 권한에서 하이브리드 액세스 모드를 선택하여 주체와 리소스를 별도의 단계로 하이브리드 액세스 모드로 옵트인할 수 있습니다. 그런 다음 [Add] 를 선택하여 Lake Formation 권한을 적용하려는 리소스와 보안 주체를 추가합니다.

  2. 소비자 계정 설정

    1. Lake Formation 콘솔 https://console.aws.amazon.com/lakeformation/ 에서 데이터 레이크 관리자로 로그인합니다.

    2. https://console.aws.amazon.com/ram 로 이동하여 리소스 공유 초대를 수락하세요. AWS RAM콘솔의 Shared with me 탭에는 계정과 공유된 데이터베이스와 테이블이 표시됩니다.

    3. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.

    4. (소비자) 계정의 IAM 보안 주체에게 리소스 링크에 대한 Grant on target 권한과 (원래 공유 리소스에 대한) 권한을 Describe 부여하십시오.

    5. 공유된 데이터베이스 또는 테이블에 대한 Lake Formation 권한을 계정의 보안 주체에게 부여하십시오. Lake Formation 권한을 즉시 적용하기 옵션을 활성화하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 주체 및 리소스를 선택하여 Lake Formation 권한을 적용하십시오.

    6. 샘플 Athena 쿼리를 실행하여 주도자의 Lake Formation 권한을 테스트해 보세요. Amazon S3에 대한 IAM 보안 정책 및 AWS Glue 작업을 사용하여 AWS Glue 사용자의 기존 액세스를 테스트합니다.

      (선택 사항) Lake Formation 권한을 사용하도록 구성한 보안 주체에 대한 Amazon S3 버킷 정책과 IAM 보안 정책 AWS Glue 및 Amazon S3 데이터 액세스를 제거합니다.