Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항

LF 태그를 생성, 유지 관리 및 할당하여 데이터 카탈로그 데이터베이스, 테이블 및 열에 대한 액세스를 제어할 수 있습니다.

Lake Formation 태그 기반 액세스 제어를 사용할 때는 다음 모범 사례를 고려하십시오.

  • 모든 LF 태그를 미리 정의해야 데이터 카탈로그 리소스에 할당하거나 보안 주체에 부여할 수 있습니다.

    데이터 레이크 관리자는 필요한 IAM 권한을 가진 LF 태그 생성자를 생성하여 태그 관리 작업을 위임할 수 있습니다. 데이터 엔지니어와 분석가는 LF 태그의 특성과 관계를 결정합니다. 그러면 LF 태그 생성자가 Lake Formation에서 LF 태그를 생성하고 유지 관리합니다.

  • 데이터 카탈로그 리소스에 여러 LF 태그를 할당할 수 있습니다. 특정 키에 대해 하나의 값만 특정 리소스에 할당할 수 있습니다.

    예를 들어 module=Orders, region=West, division=Consumer 등을 데이터베이스, 테이블 또는 열에 할당할 수 있습니다. module=Orders,Customers는 할당할 수 없습니다.

  • 리소스를 생성할 때 LF 태그를 리소스에 할당할 수 없습니다. LF 태그는 기존 리소스에만 추가할 수 있습니다.

  • 단일 LF 태그뿐만 아니라 LF 태그 표현식을 보안 주체에 부여할 수 있습니다.

    LF 태그 표현식은 다음과 유사합니다(의사 코드 기준).

    module=sales AND division=(consumer OR commercial)

    이 LF 태그 표현식이 부여된 보안 주체는 module=sales division=consumer 또는 division=commercial이 할당된 데이터 카탈로그 리소스(데이터베이스, 테이블 및 열)에만 액세스할 수 있습니다. 보안 주체가 module=sales 또는 division=commercial 조건을 가진 리소스에 액세스할 수 있도록 하려면 동일한 권한 부여에 두 가지를 모두 포함하지 마세요. 각각 module=salesdivision=commercial을 위한 두 개의 권한 부여를 만들어야 합니다.

    가장 간단한 LF 태그 표현식은 LF 태그 하나로만 구성됩니다(예: module=sales).

  • 값이 여러 개인 LF 태그에 대한 권한이 부여된 보안 주체는 해당 값 중 하나를 사용하여 데이터 카탈로그 리소스에 액세스할 수 있습니다. 예를 들어 사용자에게 키가 module이고 값이 orders,customers인 LF 태그가 부여된 경우 사용자는 module=orders 또는 module=customers 중 하나가 할당된 리소스에 액세스할 수 있습니다.

  • LF-TBAC 메서드를 사용하여 Data Catalog 리소스에 대한 데이터 권한을 부여Grant with LF-Tag expressions할 권한이 있어야 합니다. 데이터 레이크 관리자와 LF 태그 생성자는 이 권한을 묵시적으로 수신합니다. Grant with LFTag expressions 권한이 있는 보안 주체는 다음을 사용하여 리소스에 대한 데이터 권한을 부여할 수 있습니다.

    • 명명된 리소스 방법

    • LF-TBAC 메서드, 그러나 동일한 LF-태그 표현식만 사용

      예를 들어, 데이터 레이크 관리자가 다음과 같은 권한 부여를 만든다고 가정합니다(의사 코드 기준).

      GRANT (SELECT ON TABLES) ON TAGS module=customers, region=west,south TO user1 WITH GRANT OPTION

      이 경우 user1는 LF-TBAC 메서드를 사용하여 테이블에 SELECT를 다른 보안 주체에게 부여할 수 있지만 전체 LF-태그 표현식이 있는 경우에만 부여할 수 있습니다module=customers, region=west,south.

  • 보안 주체에게 LFTBAC 메서드와 명명된 리소스 메서드가 모두 포함된 리소스에 대한 권한이 부여되는 경우 보안 주체가 리소스에 대해 갖는 권한은 두 메서드에서 부여한 권한의 조합입니다.

  • Lake Formation은 계정 간 LF 태그ASSOCIATEDESCRIBE 대한 및 권한 부여와 LF-TBAC 메서드를 사용하여 계정 간 데이터 카탈로그 리소스에 대한 권한 부여를 지원합니다. 두 경우 모두 보안 주체는 AWS 계정 ID입니다.

    참고

    Lake Formation은 LF-TBAC 메서드를 사용하여 조직 및 조직 단위에 대한 교차 계정 부여를 지원합니다. 이 기능을 사용하려면 교차 계정 버전 설정버전 3으로 업데이트해야 합니다.

    자세한 내용은 Lake Formation에서의 교차 계정 데이터 공유 단원을 참조하십시오.

  • 한 계정에서 생성된 데이터 카탈로그 리소스는 동일한 계정에서 생성된 LF 태그로만 태그를 지정할 수 있습니다. 한 계정에서 생성된 LF 태그는 다른 계정의 공유 리소스와 연결할 수 없습니다.

  • Lake Formation 태그 기반 액세스 제어(LF-TBAC)를 사용하여 데이터 카탈로그 리소스에 대한 교차 계정 액세스 권한을 부여하려면 AWS 계정의 데이터 카탈로그 리소스 정책에 추가해야 합니다. 자세한 내용은 사전 조건 단원을 참조하십시오.

  • LF 태그 키와 LF 태그 값의 길이는 50자를 초과할 수 없습니다.

  • 데이터 카탈로그 리소스에 할당할 수 있는 최대 LF 태그 수는 50개입니다.

  • 다음 제한은 소프트 제한입니다.

    • 생성 가능한 최대 LF 태그 수는 1000개입니다.

    • LF 태그에 정의할 수 있는 최대 값 수는 1000개입니다.

  • 태그 키와 값은 저장 시 모두 소문자로 변환됩니다.

  • LF 태그당 하나의 값만 특정 리소스에 할당할 수 있습니다.

  • 단일 권한 부여로 보안 주체 하나에 여러 LF 태그를 부여한 경우 보안 주체는 모든 LF 태그가 있는 데이터 카탈로그 리소스에만 액세스할 수 있습니다.

  • AWS Glue ETL 작업에는 전체 테이블 액세스가 필요합니다. ETL 역할이 테이블의 모든 열에 액세스할 수 없는 경우 AWS Glue 작업이 실패합니다. 열 수준에서 LF 태그를 적용할 수 있지만 역할이 AWS Glue ETL 전체 테이블 액세스 권한을 잃고 작업이 실패할 수 있습니다.

  • LF 태그 표현식 평가 결과 테이블 열의 하위 집합에만 액세스할 수 있지만 일치하는 항목이 있을 때 부여되는 Lake Formation 권한이 전체 열 액세스가 필요한 권한(즉, Alter, Drop, Insert 또는 Delete) 중 하나인 경우 해당 권한은 부여되지 않습니다. 대신 Describe만 부여됩니다. 부여된 권한이 All(Super)인 경우 SelectDescribe만 부여됩니다.

  • 와일드카드는 LF 태그와 함께 사용되지 않습니다. 테이블의 모든 열에 LF 태그를 할당하려는 경우, 테이블에 LF 태그를 할당하면 테이블의 모든 열이 LF 태그를 상속합니다. 데이터베이스의 모든 테이블에 LF 태그를 할당하려는 경우, 데이터베이스에 LF 태그를 할당하면 데이터베이스의 모든 테이블이 해당 LF 태그를 상속합니다.