Lake Formation 권한 개요 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lake Formation 권한 개요

AWS Lake Formation에는 다음과 같은 두 가지 주요 권한 유형이 있습니다.

  • 메타데이터 액세스 - 데이터 카탈로그 리소스에 대한 권한(데이터 카탈로그 권한).

    보안 주체는 이러한 권한을 통해 데이터 카탈로그에서 메타데이터 데이터베이스 및 테이블을 생성하고, 읽고, 업데이트하고, 삭제할 수 있습니다.

  • 기본 데이터 액세스 — Amazon Simple Storage Service (Amazon S3) 내 위치에 대한 권한 (데이터 액세스 권한데이터 위치 권한).

    • 데이터 레이크 권한을 통해 보안 주체는 기본 Amazon S3 위치(데이터 카탈로그 리소스가 가리키는 데이터)에 데이터를 읽고 쓸 수 있습니다.

    • 데이터 위치 권한을 통해 보안 주체는 특정 Amazon S3 위치를 가리키는 메타데이터 데이터베이스 및 테이블을 생성하고 변경할 수 있습니다.

두 지역 모두에서 Lake Formation은 Lake Formation 권한과 AWS Identity and Access Management (IAM) 권한을 조합하여 사용합니다. IAM 권한 모델은 IAM 정책으로 구성됩니다. Lake Formation 권한 모델은 Grant SELECT on tableName to userName과 같은 DBMS 스타일의 GRANT/REVOKE 명령으로 구현됩니다.

보안 주체가 데이터 카탈로그 리소스 또는 기본 데이터에 대한 액세스를 요청하는 경우 요청이 성공하려면 IAM과 Lake Formation의 권한 검사를 모두 통과해야 합니다.

요청자의 요청은 Lake Formation 권한과 IAM 권한이라는 두 개의 '문'을 통과해야 리소스에 도달할 수 있습니다.

Lake Formation 권한은 데이터 카탈로그 리소스, Amazon S3 위치 및 해당 위치의 기본 데이터에 대한 액세스를 제어합니다. IAM 권한은 Lake Formation 및 AWS Glue API와 리소스에 대한 액세스를 제어합니다. 따라서 데이터 카탈로그(CREATE_TABLE)에 메타데이터 테이블을 생성할 수 있는 Lake Formation 권한이 있더라도 glue:CreateTable API에 대한 IAM 권한이 없으면 작업이 실패합니다. (glue: 권한인 이유는 Lake Formation에서 AWS Glue 데이터 카탈로그를 사용하기 때문입니다.)

참고

Lake Formation 권한은 해당 권한이 부여된 리전에서만 적용됩니다.

AWS Lake Formation Lake Formation에서 관리하는 리소스에 대한 작업을 수행할 수 있는 권한을 각 주체 (사용자 또는 역할) 에게 부여해야 합니다. 보안 주체는 데이터 레이크 관리자 또는 Lake Formation 권한 부여가 가능한 다른 보안 주체로부터 필요한 권한을 부여받습니다.

Lake Formation 권한을 보안 주체에 부여할 때 선택적으로 해당 권한을 다른 보안 주체에게 전달할 수 있는 기능을 부여할 수 있습니다.

Lake Formation API, AWS Command Line Interface (AWS CLI) 또는 Lake Formation 콘솔의 데이터 권한데이터 위치 페이지를 사용하여 Lake Formation 권한을 부여하거나 취소할 수 있습니다.