기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Lake Formation 태그 기반 액세스 제어를 사용한 데이터 레이크 관리
수천 명의 고객이 페타바이트 규모의 데이터 레이크를 구축하고 있습니다. AWS이러한 고객 중 다수는 조직 전체에서 데이터 레이크를 쉽게 구축하고 공유하는 AWS Lake Formation 데 사용합니다. 테이블과 사용자 수가 증가함에 따라 데이터 관리자와 관리자는 데이터 레이크에 대한 권한을 대규모로 쉽게 관리할 수 있는 방법을 찾고 있습니다. Lake Formation 태그 기반 액세스 제어(LF-TBAC)는 데이터 관리자가 데이터 분류 및 온톨로지에 따라 LF 태그를 생성한 다음 리소스에 연결하도록 하는 방식으로 이 문제를 해결합니다.
LF-TBAC는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. Lake Formation에서 이러한 속성을 LF 태그라고 합니다. 데이터 카탈로그 리소스 및 Lake Formation 보안 주체에 LF 태그를 연결할 수 있습니다. 데이터 레이크 관리자는 LF 태그를 사용하여 Lake Formation 리소스에 대한 권한을 할당하고 취소할 수 있습니다. 자세한 내용은 Lake Formation 태그 기반 액세스 제어 섹션을 참조하세요.
이 가이드에서는 AWS 공개 데이터세트를 사용하여 Lake Formation 태그 기반 액세스 제어 정책을 만드는 방법을 보여줍니다. 또한 Lake Formation 태그 기반 액세스 정책이 연결된 테이블, 데이터베이스 및 열을 쿼리하는 방법도 보여줍니다.
다음 사용 사례에 대해 LF-TBAC를 사용할 수 있습니다.
데이터 레이크 관리자가 액세스 권한을 부여해야 하는 테이블과 보안 주체가 많습니다.
온톨로지를 기반으로 데이터를 분류하고 분류에 따라 권한을 부여하려고 합니다.
데이터 레이크 관리자는 느슨하게 결합된 방식으로 권한을 동적으로 할당하려고 합니다.
다음은 LF-TBAC를 사용하여 권한을 구성하기 위한 개략적인 단계입니다.
-
데이터 관리자는 두 개의 LF 태그인
Confidential및Sensitive를 사용하여 태그 온톨로지를 정의합니다.Confidential=True인 데이터에는 더 엄격한 액세스 제어가 적용됩니다.Sensitive=True인 데이터에는 분석가의 구체적인 분석이 필요합니다. -
데이터 관리자는 데이터 엔지니어가 다양한 LF 태그가 있는 테이블을 구축할 수 있도록 다양한 권한 수준을 할당합니다.
-
데이터 엔지니어는
tag_database및col_tag_database의 두 가지 데이터베이스를 구축합니다.tag_database의 모든 테이블은Confidential=True로 구성됩니다.col_tag_database의 모든 테이블은Confidential=False로 구성됩니다.col_tag_database에 있는 테이블의 일부 열에는 특정 분석 요구 사항에 따라Sensitive=True태그가 지정되어 있습니다. 데이터 엔지니어는 분석가에게 특정 표현식 조건
Confidential=True및Confidential=False,Sensitive=True이 있는 테이블에 대한 읽기 권한을 부여합니다.-
이 구성을 통해 데이터 분석가는 올바른 데이터로 분석을 수행하는 데 집중할 수 있습니다.
주제
