하이브리드 액세스 모드

AWS Lake Formation하이브리드 액세스 모드는 동일한 데이터베이스 및 테이블에 대한 두 가지 권한 경로를 지원합니다. AWS Glue Data Catalog 
 첫 번째 경로에서는 Lake Formation을 통해 특정 주체를 선택하고 옵트인을 통해 해당 주체에 데이터베이스와 테이블에 액세스할 수 있는 권한을 부여할 수 있습니다. 두 번째 경로를 사용하면 다른 모든 보안 주체가 Amazon S3의 기본 IAM 보안 정책 및 작업을 통해 이러한 리소스에 액세스할 수 있습니다. AWS Glue

Amazon S3 위치를 Lake Formation에 등록하면 해당 위치의 모든 리소스에 대해 Lake Formation 권한을 적용하거나 하이브리드 액세스 모드를 사용할 수 있습니다. 하이브리드 액세스 모드는 기본적으로 CREATE_TABLECREATE_PARTITION, UPDATE_TABLE 권한만 적용합니다. Amazon S3 위치가 하이브리드 모드인 경우 해당 위치에 있는 데이터베이스 및 테이블에 대한 보안 주체를 선택하여 Lake Formation 권한을 활성화할 수 있습니다.


따라서 하이브리드 액세스 모드는 다른 기존 사용자 또는 워크로드에 대한 액세스를 중단하지 않고도 특정 사용자 집합의 데이터 카탈로그의 데이터베이스 및 테이블에 대해 Lake Formation을 선택적으로 활성화할 수 있는 유연성을 제공합니다.

용어 및 정의

액세스 권한 설정 방법에 따른 데이터 카탈로그 리소스의 정의는 다음과 같습니다.

Lake Formation 리소스

Lake Formation에 등록된 리소스와 사용자가 리소스에 액세스하려면 Lake Formation 권한이 필요합니다.

AWS Glue 리소스

Lake Formation에 등록되지 않은 리소스와 사용자는 IAMAllowedPrincipals 그룹 권한이 있으므로 리소스에 액세스하는 데 IAM 권한만 있으면 됩니다. Lake Formation 권한은 적용되지 않습니다.

하이브리드 리소스

하이브리드 액세스 모드에서 등록된 리소스. 데이터베이스와 테이블에 액세스하는 주체에 따라 리소스는 Lake Formation 리소스 또는 리소스 간에 동적으로 전환됩니다. AWS Glue

일반적인 하이브리드 액세스 모드 사용 사례

하이브리드 액세스 모드를 사용하여 단일 계정 및 계정 간 데이터 공유 시나리오에서 액세스를 제공할 수 있습니다.

단일 계정 시나리오

• 리소스를 하이브리드 AWS Glue 리소스로 전환 - 이 시나리오에서는 현재 Lake Formation을 사용하고 있지 않지만 데이터 카탈로그 데이터베이스 및 테이블에 Lake Formation 권한을 채택하려고 합니다. 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하면 해당 위치를 가리키는 특정 데이터베이스 및 테이블을 옵트인하는 사용자에게 Lake Formation 권한을 부여할 수 있습니다.

• Lake Formation 리소스를 하이브리드 리소스로 전환 - 현재는 Lake Formation 권한을 사용하여 데이터 카탈로그 데이터베이스에 대한 액세스를 제어하고 있지만 기존 Lake Formation 권한을 AWS Glue 중단하지 않으면서 Amazon S3에 대한 IAM 권한을 사용하여 새 보안 주체에 대한 액세스를 제공하고자 합니다.

  데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하면 새 보안 주체가 기존 사용자의 Lake Formation 권한을 방해하지 않고 IAM 권한 정책을 사용하여 Amazon S3 위치를 가리키는 Data Catalog 데이터베이스에 액세스할 수 있습니다.

  하이브리드 액세스 모드를 활성화하도록 데이터 위치 등록을 업데이트하기 전에 먼저 현재 Lake Formation 권한으로 리소스에 액세스하고 있는 보안 주체를 옵트인해야 합니다. 
 이는 현재 워크플로가 중단될 가능성을 방지하기 위한 것입니다. 
 또한 데이터베이스의 테이블에 대한 Super 권한을 IAMAllowedPrincipal 그룹에 부여해야 합니다.

계정 간 데이터 공유 시나리오

• 하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유 - 이 시나리오에서 생산자 계정에는 데이터베이스에 테이블이 있으며, 이 테이블은 현재 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 소비자 계정과 공유됩니다. 데이터베이스의 데이터 위치가 Lake Formation에 등록되어 있지 않습니다.

  하이브리드 액세스 모드에서 데이터 위치를 등록하기 전에 Cross account 버전 설정을 버전 4로 업데이트해야 합니다. 버전 4에서는 IAMAllowedPrincipal 그룹이 리소스에 대한 AWS RAM 권한을 가질 때 계정 간 공유에 필요한 새로운 Super 권한 정책을 제공합니다. IAMAllowedPrincipal그룹 권한이 있는 리소스의 경우 외부 계정에 Lake Formation 권한을 부여하고 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 수신자 계정의 데이터 레이크 관리자는 계정의 보안 주체에게 Lake Formation 권한을 부여하고 보안 주체가 Lake Formation 권한을 적용하도록 옵트인할 수 있습니다.

• 하이브리드 액세스 모드를 사용하여 Lake Formation 리소스 공유 - 현재 생산자 계정의 데이터베이스에는 Lake Formation 권한을 적용하는 소비자 계정과 공유되는 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다.

  이 경우 Amazon S3 위치 등록을 하이브리드 액세스 모드로 업데이트하고, Amazon S3 버킷 정책 및 데이터 카탈로그 리소스 정책을 사용하여 Amazon S3의 데이터와 Data Catalog의 메타데이터를 소비자 계정의 보안 주체와 공유할 수 있습니다. Amazon S3 위치 등록을 업데이트하기 전에 기존 Lake Formation 권한을 다시 부여하고 보안 주체를 옵트인해야 합니다. 또한 데이터베이스의 테이블에 대한 Super 권한을 그룹에 부여해야 합니다. IAMAllowedPrincipals

주제

• 하이브리드 액세스 모드 작동 방식
• 하이브리드 액세스 모드 설정 - 일반적인 시나리오
• 하이브리드 액세스 모드에서 보안 주체 및 리소스 제거
• 하이브리드 액세스 모드에서 보안 주체 및 리소스 보기
• 고려 사항 및 제한