기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
레이크 포메이션 설치
Lake Formation을 처음으로 설치하기 위해 다음 작업을 완료하세요.
전체 초기 AWS 구성 태스크
AWS Lake Formation사용하려면 먼저 다음 작업을 완료해야 합니다.
AWS 계정에 가입
AWS 계정이 없는 경우 다음 절차에 따라 계정을 생성합니다.
AWS 계정에 가입
온라인 지시 사항을 따릅니다.
등록 절차 중 전화를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.
AWS 계정 루트 사용자에 가입하면 AWS 계정 루트 사용자가 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스하는 권한이 있습니다. 보안 모범 사례는 관리 사용자에게 관리자 액세스 권한을 할당하고, 루트 사용자만 루트 사용자 액세스 권한이 필요한 태스크를 수행하는 것입니다.
AWS에서는 가입 프로세스가 완료된 후 확인 이메일이 전송됩니다. 언제든지 https://aws.amazon.com/
관리 사용자 생성
AWS 계정에 가입한 후 일상적인 태스크에 루트 사용자를 사용하지 않도록 관리 사용자를 생성합니다.
AWS 계정 루트 사용자 보호
-
루트 사용자를 선택하고 AWS 계정 이메일 주소를 입력하여 AWS Management Console
에 계정 소유자로 로그인합니다. 다음 페이지에서 암호를 입력합니다. 루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 AWS 로그인 User Guide의 루트 사용자로 로그인을 참조하세요.
-
루트 사용자에 대해 다중 인증(MFA)을 활성화합니다.
지침은 IAM 사용 설명서의 AWS 계정 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)를 참조하세요.
관리 사용자 생성
-
일상적인 관리 태스크의 경우 AWS IAM Identity Center에서 관리 사용자에게 관리 액세스 권한을 부여합니다.
지침을 보려면 AWS IAM Identity Center 사용 설명서의 시작하기를 참조하세요.
관리자 사용자로 로그인
-
IAM Identity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.
IAM Identity Center 사용자로 로그인하는 데 도움이 필요한 경우 AWS 로그인 사용 설명서의 AWS 액세스 포털에 로그인을 참조하세요.
프로그래밍 방식 액세스 권한 부여
사용자가 AWS Management Console 외부에서 AWS와 상호 작용하려면 프로그래밍 방식의 액세스가 필요합니다. 프로그래밍 방식으로 액세스를 부여하는 방법은 AWS에 액세스하는 사용자 유형에 따라 다릅니다.
사용자에게 프로그래밍 방식 액세스 권한을 부여하려면 다음 옵션 중 하나를 선택합니다.
| 프로그래밍 방식 액세스가 필요한 사용자는 누구인가요? | To | By |
|---|---|---|
|
작업 인력 ID (IAM Identity Center에서 관리되는 사용자) |
임시 보안 인증 정보로 AWS CLI, AWS SDK 또는 AWS API에 대한 프로그래밍 요청에 서명합니다. |
사용하고자 하는 인터페이스에 대한 지침을 따릅니다.
|
| IAM | 임시 보안 인증 정보로 AWS CLI, AWS SDK 또는 AWS API에 대한 프로그래밍 요청에 서명합니다. | IAM 사용 설명서의 AWS 리소스와 함께 임시 보안 인증 정보 사용에 나와 있는 지침을 따르세요. |
| IAM | (권장되지 않음) 장기 보안 인증 정보로 AWS CLI, AWS SDK 또는 AWS API에 대한 프로그래밍 요청에 서명합니다. |
사용하고자 하는 인터페이스에 대한 지침을 따릅니다.
|
AWS Lake Formation 설정
이 섹션에서는 두 가지 방법으로 Lake Formation 리소스를 설정하는 방법을 보여줍니다.
AWS CloudFormation 템플릿 사용
레이크 포메이션 콘솔 사용하기
AWS콘솔을 사용하여 Lake Formation을 설정하려면 로 이동하십시오워크플로를 위한 IAM 역할 생성.
AWS CloudFormation템플릿을 사용하여 Lake Formation 리소스 설정
참고
AWS CloudFormation스택은 4단계를 제외하고 위의 2~7단계를 수행합니다. Lake Formation 콘솔에서 기본 권한 모델 변경 수동으로 수행하십시오.
https://console.aws.amazon.com/cloudformation
에서 미국 동부 (버지니아 북부) 지역의 IAM 관리자로 AWS CloudFormation 콘솔에 로그인합니다. 런치
스택을 선택합니다. 스택 생성 화면에서 다음을 선택합니다.
스택 이름을 입력합니다.
DatalakeAdminName및 DatalakeAdminPassword에 데이터 레이크 관리자 사용자의 사용자 이름과 비밀번호를 입력합니다.
DatalakeUser1Name 및 DatalakeUser1Password의 경우 데이터 레이크 분석가 사용자의 사용자 이름과 비밀번호를 입력합니다.
에 DataLakeBucketName생성될 새 버킷 이름을 입력합니다.
다음을 선택합니다.
다음 페이지에서 다음을 선택합니다.
마지막 페이지의 세부 정보를 검토하고 IAM 리소스를 생성할 AWS CloudFormation 수 있음을 확인합니다를 선택합니다.
Create(생성)를 선택합니다.
스택 생성에는 최대 2분이 소요될 수 있습니다.
리소스 정리
AWS CloudFormation스택 리소스를 정리하려는 경우:
스택에서 생성하고 데이터 레이크 위치로 등록한 Amazon S3 버킷을 등록 취소합니다.
AWS CloudFormation스택을 삭제합니다. 그러면 스택에서 생성된 모든 리소스가 삭제됩니다.
워크플로를 위한 IAM 역할 생성
를 사용하면 AWS Glue 크롤러가 실행하는 워크플로를 사용하여 데이터를 가져올 수 있습니다. AWS Lake Formation 워크플로는 데이터 원본과 데이터를 데이터 레이크로 가져오는 일정을 정의합니다. Lake Formation이 제공하는 블루프린트 또는 템플릿을 사용하여 워크플로를 쉽게 정의할 수 있습니다.
워크플로를 생성할 때는 Lake Formation에 데이터를 수집하는 데 필요한 권한을 부여하는 AWS Identity and Access Management (IAM) 역할을 할당해야 합니다.
다음 절차는 IAM을 잘 알고 있다고 가정합니다.
워크플로를 위한 IAM 역할을 만들려면
-
에서 https://console.aws.amazon.com/iam
IAM 콘솔을 열고 생성한 관리자 사용자 관리 사용자 생성 또는 AdministratorAccessAWS 관리형 정책을 사용하는 사용자로 로그인합니다. -
탐색 창에서 역할을 선택한 다음 역할 생성을 선택합니다.
-
역할 만들기 페이지에서 AWS서비스를 선택한 다음 Glue를 선택합니다. 다음을 선택합니다.
-
권한 추가 페이지에서 AWSGlueServiceRole관리형 정책을 검색하고 목록에서 정책 이름 옆의 확인란을 선택합니다. 그런 다음 역할 만들기 마법사를 완료하여 역할
LakeFormationWorkflowRole이름을 지정합니다. 완료하려면 역할 생성을 선택합니다. -
역할 페이지로 돌아가서 역할 이름을
LakeFormationWorkflowRole검색하여 선택합니다. -
역할 요약 페이지의 권한 탭에서 인라인 정책 생성을 선택합니다. 정책 생성 화면에서 JSON 탭으로 이동하여 다음 인라인 정책을 추가합니다. 권장되는 정책 이름은 입니다.
LakeFormationWorkflow중요
다음 정책에서는 <account-id>유효한
AWS 계정번호로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "lakeformation:GrantPermissions" ], "Resource": "*" }, { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": [ "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole" ] } ] }다음은 이 정책의 권한에 대한 간략한 설명입니다.
-
lakeformation:GetDataAccess워크플로우에서 만든 작업을 대상 위치에 쓸 수 있도록 합니다. -
lakeformation:GrantPermissions워크플로가 대상 테이블에 대한SELECT권한을 부여할 수 있도록 합니다. -
iam:PassRole서비스가 역할을LakeFormationWorkflowRole맡아 크롤러와 작업 (워크플로 인스턴스) 을 만들고 생성된 크롤러와 작업에 역할을 할당할 수 있도록 합니다.
-
-
역할에 두
LakeFormationWorkflowRole개의 정책이 연결되어 있는지 확인하세요. -
데이터 레이크 위치 외부의 데이터를 수집하는 경우 원본 데이터에 대한 읽기 권한을 부여하는 인라인 정책을 추가하세요.
데이터 레이크 관리자를 생성하세요.
처음에는 데이터 레이크 관리자만 데이터 위치 및 Data Catalog 리소스에 대한 Lake Formation 권한을 모든 보안 주체 AWS Identity and Access Management (본인 포함) 에게 부여할 수 있는 유일한 (IAM) 사용자 또는 역할입니다. 데이터 레이크 관리자 기능에 대한 자세한 내용은 을 참조하십시오암시적 Lake Formation 권한. 기본적으로 Lake Formation에서는 최대 30명의 데이터 레이크 관리자를 생성할 수 있습니다.
Lake Formation 콘솔 또는 Lake Formation API의 PutDataLakeSettings 작업을 사용하여 데이터 레이크 관리자를 생성할 수 있습니다.
데이터 레이크 관리자를 생성하려면 다음 권한이 필요합니다. Administrator사용자는 이러한 권한을 암시적으로 가집니다.
-
lakeformation:PutDataLakeSettings -
lakeformation:GetDataLakeSettings
사용자에게 AWSLakeFormationDataAdmin 정책을 부여하면 해당 사용자는 추가 Lake Formation 관리자 사용자를 생성할 수 없습니다.
데이터 레이크 관리자를 만들려면 (콘솔)
-
데이터 레이크 관리자가 될 사용자가 아직 존재하지 않는 경우 IAM 콘솔을 사용하여 생성하십시오. 그렇지 않으면 데이터 레이크 관리자가 될 기존 사용자를 선택하십시오.
참고
IAM 관리 사용자 (
AdministratorAccessAWS관리형 정책을 사용하는 사용자) 를 데이터 레이크 관리자로 선택하지 않는 것이 좋습니다.다음 AWS 관리형 정책을 사용자에게 연결하십시오.
정책 필수? 주의 AWSLakeFormationDataAdmin필수 기본 데이터 레이크 관리자 권한. 이 AWS 관리형 정책에는 사용자가 새 데이터 레이크 관리자를 생성하는 PutDataLakeSetting것을 제한하는 Lake Formation API 작업에 대한 명시적 거부가 포함되어 있습니다.AWSGlueConsoleFullAccess,CloudWatchLogsReadOnlyAccess선택 데이터 레이크 관리자가 Lake Formation 블루프린트에서 생성된 워크플로우의 문제를 해결하려는 경우 이 정책을 첨부하십시오. 이러한 정책을 통해 데이터 레이크 관리자는 AWS Glue 콘솔과 콘솔에서 문제 해결 정보를 볼 수 있습니다. Amazon CloudWatch Logs 워크플로에 대한 자세한 내용은 을 참조하십시오Lake Formation 포메이션의 워크플로를 사용하여 데이터 가져오기. AWSLakeFormationCrossAccountManager선택 데이터 레이크 관리자가 Data Catalog 리소스에 대한 계정 간 권한을 부여하고 취소할 수 있도록 하려면 이 정책을 연결하십시오. 자세한 정보는 Lake Formation의 계정 간 데이터 공유을 참조하세요. AmazonAthenaFullAccess선택 데이터 레이크 관리자가 에서 쿼리를 실행할 경우 이 정책을 연결하세요. Amazon Athena -
데이터 레이크 관리자에게 Lake Formation 서비스 연결 역할을 생성할 수 있는 권한을 부여하는 다음 인라인 정책을 첨부하십시오. 권장되는 정책 이름은 다음과 같습니다.
LakeFormationSLR서비스 연결 역할을 통해 데이터 레이크 관리자는 Amazon S3 위치를 Lake Formation에 더 쉽게 등록할 수 있습니다. Lake Formation 서비스 연결 역할에 대한 자세한 내용은 을 참조하십시오. Lake Formation Forvice연결 역할 사용
중요
다음 모든 정책에서 <account-id>유효한 AWS 계정
번호로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "lakeformation.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::<account-id>:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess" } ] } -
(선택 사항) 다음
PassRole인라인 정책을 사용자에게 연결합니다. 이 정책을 통해 데이터 레이크 관리자는 워크플로를 생성하고 실행할 수 있습니다.iam:PassRole권한을 통해 워크플로우는 크롤러와 작업을 생성하는 역할을LakeFormationWorkflowRole맡고 생성된 크롤러와 작업에 역할을 할당할 수 있습니다. 권장되는 정책 이름은 입니다.UserPassRole중요
<account-id>유효한 AWS 계좌
번호로 바꾸십시오.{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRolePermissions", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<account-id>:role/LakeFormationWorkflowRole" ] } ] } -
(선택 사항) 계정에서 계정 간 Lake Formation 권한을 부여하거나 받을 경우 이 추가 인라인 정책을 첨부하십시오. 이 정책을 통해 데이터 레이크 관리자는 리소스 공유 초대를 보고 수락 AWS Resource Access Manager (AWS RAM) 할 수 있습니다. 또한 AWS Organizations 관리 계정의 데이터 레이크 관리자를 위한 정책에는 조직에 계정 간 부여를 활성화할 수 있는 권한이 포함됩니다. 자세한 정보는 Lake Formation의 계정 간 데이터 공유을 참조하세요.
이 정책의 권장 이름은 입니다
RAMAccess.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:RejectResourceShareInvitation", "ec2:DescribeAvailabilityZones", "ram:EnableSharingWithAwsOrganization" ], "Resource": "*" } ] } -
https://console.aws.amazon.com/lakeformation/
에서 AWS Lake Formation 콘솔을 열고 생성한 관리자 사용자 관리 사용자 생성 또는 AdministratorAccess사용자 AWS 관리 정책을 사용하는 사용자로 로그인합니다. -
Welcome to Lake Formation 창이 나타나면 1단계에서 생성하거나 선택한 IAM 사용자를 선택한 다음 Get started 를 선택합니다.
-
Lake Formation 시작 창이 표시되지 않는 경우 다음 단계를 수행하여 Lake Formation 관리자를 구성하십시오.
-
탐색 창의 [관리자] 에서 관리자 역할 및 작업을 선택합니다. 콘솔 페이지의 데이터 레이크 관리자 섹션에서 추가를 선택합니다.
-
관리자 추가 대화 상자의 액세스 유형에서 데이터 레이크 관리자를 선택합니다.
IAM 사용자 및 역할의 경우 1단계에서 생성하거나 선택한 IAM 사용자를 선택한 다음 Save를 선택합니다.
-
기본 권한 모델 변경
Lake Formation은 기존 AWS Glue Data Catalog 동작과의 호환성을 위해 “IAM 액세스 제어만 사용” 설정이 활성화된 것으로 시작합니다. Lake Formation 권한으로 세분화된 태그 기반 액세스 제어를 활성화하려면 이러한 설정을 비활성화하는 것이 좋습니다.
자세한 정보는 데이터 레이크의 기본 설정 변경을 참조하세요.
중요
기존 AWS Glue Data Catalog 데이터베이스 및 테이블이 있는 경우 이 섹션의 지침을 따르지 마십시오. 그 대신 업그레이드AWS Glue에 대한 데이터 권한AWS Lake Formation모델의 지시 사항을 따릅니다.
주의
데이터 카탈로그에 데이터베이스와 테이블을 생성하는 자동화 기능이 있는 경우 다음 단계를 수행하면 자동화 및 다운스트림 ETL (추출, 변환, 로드) 작업이 실패할 수 있습니다. 기존 프로세스를 수정하거나 필수 주도자에게 Lake Formation 권한을 명시적으로 부여한 후에만 진행하십시오. Lake Formation 권한에 대한 자세한 내용은 을 참조하십시오호수 형성 권한 참조.
기본 데이터 카탈로그 설정을 변경하려면
-
Lake Formation 콘솔 https://console.aws.amazon.com/lakeformation/ 에서 계속 플레이하세요
. 에서 생성한 관리자 사용자 관리 사용자 생성 또는 AdministratorAccessAWS 관리형 정책을 사용하는 사용자로 로그인했는지 확인하십시오. 데이터 카탈로그 설정 수정:
-
탐색 창의 관리에서 데이터 카탈로그 설정을 선택합니다.
-
두 확인란의 선택을 취소하고 저장을 선택합니다.
-
데이터베이스
IAMAllowedPrincipals작성자의 권한을 취소합니다.-
탐색 창의 관리에서 관리 역할 및 작업을 선택합니다.
-
관리 역할 및 작업 콘솔 페이지의 데이터베이스 작성자 섹션에서
IAMAllowedPrincipals그룹을 선택하고 취소를 선택합니다.권한 취소 대화 상자가 나타나고 데이터베이스 만들기
IAMAllowedPrincipals권한이 있는 것으로 표시됩니다. -
취소를 선택합니다.
-
Lake Formation 사용자에게 권한 할당하기
데이터 레이크에 액세스할 수 있는 사용자를 AWS Lake Formation 생성하십시오. 이 사용자는 데이터 레이크를 쿼리할 수 있는 최소 권한을 가집니다.
사용자 또는 그룹 생성에 대한 자세한 내용은 IAM 사용 설명서의 IAM ID를 참조하십시오.
관리자가 아닌 사용자에게 Lake Formation 데이터에 액세스할 수 있는 권한을 부여하려면
-
에서 IAM 콘솔을 열고 생성한 관리자 사용자 관리 사용자 생성 또는
AdministratorAccessAWS 관리형 정책을 사용하는 사용자로 로그인합니다. https://console.aws.amazon.com/iam -
사용자 또는 사용자 그룹을 선택합니다.
-
목록에서 정책을 삽입할 사용자 또는 그룹 이름을 선택합니다.
권한(Permissions)을 선택합니다.
-
[권한 추가] 를 선택하고 [정책 직접 연결] 을 선택합니다. 필터 정책 텍스트
Athena필드에 입력합니다. 결과 목록에서 확인란을 선택합니다AmazonAthenaFullAccess. -
정책 생성 버튼을 선택합니다. 정책 생성 페이지에서 JSON 탭을 선택합니다. 다음 코드를 복사하여 정책 편집기에 붙여넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:GetDataAccess", "glue:GetTable", "glue:GetTables", "glue:SearchTables", "glue:GetDatabase", "glue:GetDatabases", "glue:GetPartitions", "lakeformation:GetResourceLFTags", "lakeformation:ListLFTags", "lakeformation:GetLFTag", "lakeformation:SearchTablesByLFTags", "lakeformation:SearchDatabasesByLFTags" ], "Resource": "*" } ] } -
정책 검토 페이지가 표시될 때까지 하단의 다음 버튼을 선택합니다. 정책 이름 (예:) 을 입력합니다
DatalakeUserBasic. [정책 생성] 을 선택한 다음 [정책] 탭 또는 브라우저 창을 닫습니다.
데이터 레이크를 위한 Amazon S3 위치를 구성합니다.
Lake Formation을 사용하여 데이터 레이크의 데이터를 관리하고 보호하려면 먼저 Amazon S3 위치를 등록해야 합니다. 위치를 등록하면 해당 Amazon S3 경로와 해당 경로 아래의 모든 폴더가 등록되므로 Lake Formation에서 스토리지 수준 권한을 적용할 수 있습니다. 사용자가 Amazon Athena와 같은 통합 엔진에서 데이터를 요청하면 Lake Formation은 사용자 권한을 사용하지 않고 데이터 액세스를 제공합니다.
위치를 등록할 때 해당 위치에 대한 읽기/쓰기 권한을 부여하는 IAM 역할을 지정합니다. Lake Formation은 등록된 Amazon S3 위치의 데이터에 대한 액세스를 요청하는 통합 AWS 서비스에 임시 자격 증명을 제공할 때 이 역할을 맡습니다. Lake Formation 서비스 연결 역할 (SLR) 을 지정하거나 직접 역할을 생성할 수 있습니다.
다음과 같은 상황에서는 사용자 지정 역할을 사용하십시오.
-
등록된 Amazon S3 위치에 관리 테이블을 생성할 계획입니다. 사용자 정의 역할에는 SLR 권한 외에 로그에 CloudWatch 로그를 추가하고 지표를 게시하기 위한 정책이 포함되어야 합니다. 필요한 CloudWatch 권한을 부여하는 인라인 정책의 예는 을 참조하십시오. 위치 등록에 사용되는 역할 요구 사항
-
Amazon S3 위치가 다른 계정에 있습니다. 자세한 내용은 다른 AWS 계정에 Amazon S3 위치 등록을 참조하세요.
-
Amazon S3 위치에는 로 암호화된 데이터가 포함되어 AWS 관리형 키 있습니다. 자세한 내용은 암호화된 Amazon S3 위치 등록 및 여러 AWS 계정에 암호화된 Amazon S3 위치 등록 섹션을 참조하세요.
-
Amazon EMR을 사용하여 Amazon S3 위치에 액세스할 계획입니다. 역할 요구 사항에 대한 자세한 내용은 Amazon EMR 관리 가이드의 Lake Formation의 IAM 역할을 참조하십시오.
에 설명된 대로 선택한 역할에는 필요한 권한이 있어야 합니다. 위치 등록에 사용되는 역할 요구 사항 Amazon S3 위치를 등록하는 방법에 대한 지침은 을 참조하십시오데이터 레이크에 Amazon S3 위치 추가.
행 수준 보안 사용을 준비하십시오.
데이터 카탈로그 테이블에 대한 Lake Formation 권한을 부여하면 데이터 필터링 사양을 포함하여 쿼리 결과 및 AWS Glue ETL 작업 내에서 특정 데이터에 대한 액세스를 제한할 수 있습니다. Lake Formation은 데이터 필터링을 사용하여 열 수준 보안, 행 수준 보안 및 셀 수준 보안을 달성합니다. 테이블에 대한 Lake Formation 권한을 부여할 때 명명된 데이터 필터를 생성하고 데이터 필터를 지정하여 열 수준, 행 수준 및 셀 수준 보안을 구현할 수 있습니다. SELECT 데이터 필터를 생성할 때는 포함해야 하는 행에 대해 열 집합과 필터 표현식을 제공합니다. 이를 통해 쿼리 결과 및 Lake Formation과 통합된 엔진 (예: Athena 및 AWS Glue ETL 작업) 내의 특정 데이터에 대한 액세스를 제한할 수 있습니다.
데이터 필터에 대한 자세한 내용은 을 참조하십시오. Lake Formation 포메이션의 데이터 필터링 및 셀 수준 보안
Lake Formation 행 수준 필터링은 사용하기 전에 추가 구성이 필요합니다.
테이블의 행 수준 보안을 구성하려면
-
액세스를 제한하려는 콘텐츠를 식별하고 데이터 필터를 생성합니다. 데이터 필터를 만드는 방법에 대한 지침은 을 참조하십시오데이터 필터 생성.
-
데이터 필터를 볼 수 있는 사용자에게 데이터 필터에 대한
DESCRIBE권한을 부여하십시오.데이터 필터를 만들면 사용자만 볼 수 있습니다. 다른 주체가 데이터 필터를 보고 사용할 수 있도록 하려면 해당
DESCRIBE권한을 부여하면 됩니다. -
주도자에게 테이블에 대한
SELECTLake Formation 권한을 부여할 때 데이터 필터를 지정하십시오. -
셀 수준 필터를 사용하여 테이블을 쿼리할 보안 주체에 IAM 권한을 할당하십시오. 셀 수준 필터링으로 테이블을 쿼리하는 보안 주체는 다음과 같은 IAM 권한을 가져야 합니다.
lakeformation:StartQueryPlanning lakeformation:GetQueryState lakeformation:GetWorkUnits lakeformation:GetWorkUnitResults
(선택 사항) 외부 데이터 필터링 설정
타사 쿼리 엔진을 사용하여 데이터 레이크의 데이터를 분석하고 처리하려는 경우 Lake Formation에서 관리하는 데이터에 외부 엔진이 액세스할 수 있도록 허용하도록 선택해야 합니다. 옵트인하지 않으면 외부 엔진이 Lake Formation에 등록된 Amazon S3 위치의 데이터에 액세스할 수 없습니다.
Lake Formation은 테이블의 특정 열에 대한 액세스를 제한하는 열 수준 권한을 지원합니다. Amazon Redshift Spectrum 및 Amazon EMR과 같은 Amazon Athena 통합 분석 서비스는 에서 필터링되지 않은 테이블 메타데이터를 검색합니다. AWS Glue Data Catalog 쿼리 응답의 열을 실제로 필터링하는 것은 통합 서비스의 책임입니다. 데이터에 대한 무단 액세스를 방지하기 위해 권한을 적절하게 처리하는 것은 타사 관리자의 책임입니다.
타사 엔진의 데이터 액세스 및 필터링 허용 허용 (콘솔)
-
Lake Formation 콘솔 https://console.aws.amazon.com/lakeformation/ 에서 계속 플레이하세요
. Lake Formation PutDataLakeSettingsAPI 작업에 대한 IAM 권한이 있는 보안 주체로 로그인했는지 확인하십시오. 생성한 IAM 관리자 사용자는 AWS 계정에 가입 이 권한을 가집니다. -
탐색 창의 관리에서 애플리케이션 통합 설정을 선택합니다.
-
애플리케이션 통합 설정 페이지에서 다음을 수행하십시오.
-
외부 엔진이 Lake Formation에 등록된 Amazon S3 위치의 데이터를 필터링하도록 허용 확인란을 선택합니다.
-
타사 엔진용으로 정의된 세션 태그 값을 입력합니다.
-
AWS계정 ID에는 타사 엔진이 Lake Formation에 등록된 위치에 액세스할 수 있도록 허용된 계정 ID를 입력합니다. 각 계정 ID 다음에 Enter를 누르십시오.
-
저장을 선택합니다.
-
외부 엔진이 세션 태그 검증 없이 데이터에 액세스할 수 있도록 허용하려면 을 참조하십시오. 전체 테이블 액세스를 위한 애플리케이션 통합
(선택 사항) 데이터 카탈로그 암호화 키에 대한 액세스 권한 부여
암호화된 경우 Data Catalog 데이터베이스 및 테이블에 대한 Lake Formation 권한을 부여해야 하는 모든 보안 주체에게 AWS KMS 키에 대한 권한 AWS Identity and Access Management (IAM) 을 부여하십시오. AWS Glue Data Catalog
자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하세요.
