하이브리드 액세스 모드를 사용한 AWS Glue 리소스 공유 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

하이브리드 액세스 모드를 사용한 AWS Glue 리소스 공유

기존 Data Catalog 사용자의 IAM 기반 액세스를 중단하지 않고 Lake Formation 권한을 AWS 계정 적용하는 다른 사용자 AWS 계정 또는 주체와 데이터를 공유할 수 있습니다.

시나리오 설명 - 생산자 계정에는 Amazon S3에 대한 IAM 보안 정책 및 AWS Glue 작업을 사용하여 액세스를 제어하는 Data Catalog 데이터베이스가 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있지 않습니다. IAMAllowedPrincipals그룹은 기본적으로 데이터베이스 및 모든 테이블에 대한 Super 권한을 가집니다.

하이브리드 액세스 모드에서 교차 계정 Lake Formation 권한 부여
  1. 생산자 계정 설정
    1. lakeformation:PutDataLakeSettings IAM 권한이 있는 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.

    2. 데이터 카탈로그 설정으로 이동하고 교차 계정 버전 설정에 대해 Version 4를 선택합니다.

      현재 버전 1 또는 2를 사용 중인 경우 교차 계정 데이터 공유 버전 설정 업데이트 섹션에서 버전 3으로의 업데이트에 대한 지침을 참조할 수 있습니다.

      버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.

    3. 하이브리드 액세스 모드에서 공유하려는 데이터베이스 또는 테이블의 Amazon S3 위치를 등록합니다.

    4. 위 단계에서 하이브리드 액세스 모드에서 데이터 위치를 등록한 데이터베이스와 테이블에 대한 Super 권한이 IAMAllowedPrincipals 그룹에 있는지 확인합니다.

    5. 조직, AWS 조직 단위 (OU) 에 Lake Formation 권한을 부여하거나 다른 계정의 IAM 보안 주체에게 직접 권한을 부여하십시오.

    6. IAM 보안 주체에 직접 권한을 부여하는 경우 Lake Formation 권한을 즉시 적용 옵션을 활성화하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 소비자 계정의 보안 주체를 옵트인합니다.

      다른 계정에 교차 계정 권한을 부여하는 경우 해당 AWS 계정을 옵트인하면 Lake Formation 권한이 해당 계정의 관리자에게만 적용됩니다. 수신자 계정 데이터 레이크 관리자는 하이브리드 액세스 모드에 있는 공유 리소스에 대해 Lake Formation 권한을 적용하도록 권한을 하향 조정하고 계정의 보안 주체를 옵트인해야 합니다.

      LF 태그와 일치하는 리소스 옵션을 선택하여 교차 계정 권한을 부여하는 경우 먼저 권한 부여 단계를 완료해야 합니다. Lake Formation 콘솔의 왼쪽 탐색 표시줄에 있는 권한에서 하이브리드 액세스 모드를 선택하여 보안 주체와 리소스를 별도의 단계로 하이브리드 액세스 모드로 옵트인할 수 있습니다. 그런 다음 추가를 선택하여 Lake Formation 권한을 적용하려는 리소스와 보안 주체를 추가합니다.

  2. 소비자 계정 설정
    1. Lake Formation 콘솔(https://console.aws.amazon.com/lakeformation/)에 데이터 레이크 관리자로 로그인합니다.

    2. https://console.aws.amazon.com/ram 으로 이동하여 리소스 공유 초대를 수락하세요. AWS RAM 콘솔의 Shared with me 탭에는 사용자 계정과 공유된 데이터베이스와 테이블이 표시됩니다.

    3. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.

    4. (소비자) 계정의 IAM 보안 주체에 리소스 링크에 대한 Describe 권한과 Grant on target 권한(원래 공유 리소스에 대한)을 부여합니다.

    5. 공유된 데이터베이스 또는 테이블에 대한 Lake Formation 권한을 계정의 보안 주체에 부여합니다. Lake Formation 권한을 즉시 적용 옵션을 활성화하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체 및 리소스를 옵트인합니다.

    6. 샘플 Athena 쿼리를 실행하여 보안 주체의 Lake Formation 권한을 테스트합니다. Amazon S3에 대한 IAM 보안 정책 및 AWS Glue 작업을 사용하여 AWS Glue 사용자의 기존 액세스를 테스트합니다.

      (선택 사항) 데이터 액세스를 위한 Amazon S3 버킷 정책과 Lake Formation 권한을 사용하도록 구성한 보안 주체에 대한 AWS Glue 및 Amazon S3 데이터 액세스를 위한 IAM 보안 주체 정책을 제거합니다.