암시적 Lake Formation 권한

AWS Lake Formation은 데이터 레이크 관리자, 데이터베이스 생성자 및 테이블 생성자에게 다음과 같은 암시적 권한을 부여합니다.

데이터 레이크 관리자

• 다른 계정에서 다른 보안 주체와 직접 공유하는 리소스를 제외하고 데이터 카탈로그의 모든 리소스에 대한 Describe 액세스 권한이 있습니다. 관리자는 이 액세스 권한을 취소할 수 없습니다.

• 데이터 레이크의 모든 곳에 데이터 위치 권한이 있습니다.

• 데이터 카탈로그의 모든 리소스에 대한 액세스 권한을 모든 보안 주체(자신 포함)에게 부여하거나 취소할 수 있습니다. 관리자는 이 액세스 권한을 취소할 수 없습니다.

• 데이터 카탈로그에서 데이터베이스를 생성할 수 있습니다.

• 다른 사용자에게 데이터베이스 생성 권한을 부여할 수 있습니다.

참고

데이터 레이크 관리자는 해당하는 IAM 권한이 있는 경우에만 Amazon S3 위치를 등록할 수 있습니다. 이 안내서에서 제안하는 데이터 레이크 관리자 정책은 이러한 권한을 부여합니다. 또한 데이터 레이크 관리자에게는 데이터베이스를 삭제하거나 다른 사람이 생성한 테이블을 변경/삭제할 수 있는 암시적인 권한이 없습니다. 하지만 자신에게 그러한 권한을 부여할 수는 있습니다.

데이터 레이크 관리자에 대한 자세한 내용은 데이터 레이크 관리자 생성 섹션을 참조하세요.

데이터베이스 생성자

• 자신이 생성한 데이터베이스에 대한 모든 데이터베이스 권한이 있고, 데이터베이스에 생성한 테이블에 대한 권한이 있으며, 동일한 AWS 계정의 다른 보안 주체에게 데이터베이스에 테이블을 생성할 수 있는 권한을 부여할 수 있습니다. AWSLakeFormationCrossAccountManager AWS 관리형 정책을 함께 사용하는 데이터베이스 생성자는 다른 AWS 계정이나 조직에 해당 데이터베이스에 대한 권한을 부여할 수 있습니다.

  데이터 레이크 관리자는 Lake Formation 콘솔 또는 API를 사용하여 데이터베이스 생성자를 지정할 수 있습니다.

  참고

  데이터베이스 생성자는 다른 사람이 데이터베이스에서 생성하는 테이블에 대한 권한을 암시적으로 가지지 않습니다.

자세한 내용은 데이터베이스 생성 섹션을 참조하세요.

테이블 생성자

• 자신이 생성하는 테이블에 대한 모든 권한을 가집니다.

• 생성하는 모든 테이블에 대한 권한을 동일한 AWS 계정의 보안 주체에 부여할 수 있습니다.

• AWSLakeFormationCrossAccountManager AWS 관리형 정책이 있는 경우 자신이 생성하는 모든 테이블에 대한 권한을 다른 AWS 계정이나 조직에 부여할 수 있습니다.

• 생성하는 테이블이 포함된 데이터베이스를 볼 수 있습니다.