메타데이터 액세스 제어를 위한 LF 태그 관리 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

메타데이터 액세스 제어를 위한 LF 태그 관리

Lake Formation 태그 기반 액세스 제어(LF-TBAC) 메서드를 사용하여 데이터 카탈로그 리소스(데이터베이스, 테이블 및 열)를 보호하려면 LF 태그를 생성하고 리소스에 할당한 다음 보안 주체에게 LF 태그 권한을 부여합니다.

데이터 카탈로그 리소스에 LF 태그를 할당하거나 보안 주체에 권한을 부여하려면 먼저 LF 태그를 정의해야 합니다. LF 태그 생성자 권한이 있는 보안 주체 또는 데이터 레이크 관리자만 LF 태그를 생성할 수 있습니다.

LF 태그 생성자

LF 태그 생성자는 LF 태그를 생성하고 관리할 권한이 있는 관리자가 아닌 보안 주체입니다. 데이터 레이크 관리자는 Lake Formation 콘솔 또는 를 사용하여 LF 태그 생성자를 추가할 수 있습니다CLI. LF 태그 생성자는 LF 태그를 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, LF 태그 권한 및 LF 태그 값 권한을 다른 보안 주체에 부여할 수 있는 암시적인 Lake Formation 권한을 가집니다.

LF 태그 생성자 역할을 통해 데이터 레이크 관리자는 태그 키 및 값 생성 및 업데이트와 같은 태그 관리 작업을 관리자가 아닌 보안 주체에 위임할 수 있습니다. 또한 데이터 레이크 관리자는 LF 태그 생성자에게 부여 가능한 Create LF-Tag 권한을 부여할 수 있습니다. 그러면 LF 태그 생성자는 LF 태그를 생성할 권한을 다른 보안 주체에 부여할 수 있습니다.

LF 태그에 대해 다음 두 가지 유형의 권한을 부여할 수 있습니다.

  • LF 태그 권한 - Create LF-Tag, AlterDrop. LF 태그를 생성, 업데이트 및 삭제하려면 이러한 권한이 필요합니다.

    데이터 레이크 관리자 및 LF 태그 생성자는 자신이 생성하는 LF 태그에 대해 암시적으로 이러한 권한을 가지며, 데이터 레이크에서 태그를 관리하기 위해 보안 주체에 이러한 권한을 명시적으로 부여할 수 있습니다.

  • LF 태그 키-값 페어 권한 - Assign, DescribeGrant with LF-Tag expressions. 이러한 권한은 데이터 카탈로그 데이터베이스, 테이블 및 열에 LF 태그를 할당하고 Lake Formation 태그 기반 액세스 제어를 사용하여 보안 주체에 리소스에 대한 권한을 부여하는 데 필요합니다. LF 태그 생성자는 LF 태그를 생성할 때 암시적으로 이러한 권한을 수신합니다.

Create LF-Tag 권한을 수신하고 LF 태그를 성공적으로 생성한 후 LF 태그 생성자는 리소스에 LF 태그를 할당하고 다른 비관리 보안 주체에 LF 태그 권한(Create LF-Tag, Alter, Drop)을 부여하여 데이터 레이크에서 태그를 관리할 수 있습니다. Lake Formation 콘솔, API또는 AWS Command Line Interface ()를 사용하여 LF 태그를 관리할 수 있습니다AWS CLI.

참고

데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, 보안 주체에 LF 태그 권한을 부여할 수 있는 암시적인 Lake Formation 권한을 가집니다.

모범 사례 및 고려 사항에 대해서는 Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항 섹션을 참조하십시오.

LF 태그의 수명 주기

  1. LF 태그 생성자 Michael이 LF 태그 module=Customers를 생성합니다.

  2. Michael이 데이터 엔지니어 Eduardo에게 LF 태그에 대한 Associate 권한을 부여합니다. Associate 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.

  3. Michael은 Eduardo가 LF 태그를 테이블에 할당할 수 있도록 권한 부여 옵션을 사용하여 Eduardo에게 테이블 Custs에 대한 Super 권한을 부여합니다. 자세한 내용은 데이터 카탈로그 리소스에 LF 태그 할당 단원을 참조하십시오.

  4. Eduardo가 테이블 Custs에 LF 태그 module=customers를 할당합니다.

  5. Michael은 데이터 엔지니어 Sandra에게 다음과 같은 권한을 부여합니다(의사 코드 기준).

    GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION
  6. Sandra는 데이터 분석가 Maria에게 다음과 같은 권한을 부여합니다.

    GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

    Maria는 이제 Custs 테이블에 대한 쿼리를 실행할 수 있습니다.

다음 사항도 참조하세요.

Lake Formation 태그 기반 액세스 제어와 IAM 속성 기반 액세스 제어 비교

속성 기반 액세스 제어(ABAC)는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. 에서는 AWS이러한 속성을 태그 라고 합니다. IAM 엔터티(사용자 또는 역할)를 포함한 IAM 리소스와 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 작은 정책 집합을 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. ABAC 는 빠르게 성장하는 환경에서 유용하며 정책 관리가 번거로워지는 상황에 도움이 됩니다.

클라우드 보안 및 거버넌스 팀은 IAM 를 사용하여 Amazon S3 버킷, Amazon EC2 인스턴스 및 에서 참조할 수 있는 모든 리소스를 포함한 모든 리소스에 대한 액세스 정책 및 보안 권한을 정의합니다ARN. IAM 정책은 Amazon S3 버킷 또는 접두사 수준 또는 데이터베이스 수준에서 액세스를 허용하거나 거부하는 등 데이터 레이크 리소스에 대한 광범위한(대규모) 권한을 정의합니다. IAM 에 대한 자세한 내용은 IAM 사용 설명서AWS의 에 ABAC 대한 정의 를 ABAC참조하세요.

예를 들어, project-access 태그 키를 사용하여 세 개의 역할을 생성할 수 있습니다. 첫 번째 역할의 태그 값을 Dev로, 두 번째 역할의 태그 값을 Marketing으로, 세 번째 역할의 태그 값을 Support으로 설정합니다. 적절한 값을 가진 태그를 리소스에 할당합니다. 그런 다음 역할과 리소스에 project-access에 대해 동일한 값으로 태그를 지정할 때 액세스를 허용하는 단일 정책을 사용할 수 있습니다.

데이터 거버넌스 팀은 Lake Formation을 사용하여 특정 데이터 레이크 리소스에 대한 세분화된 권한을 정의합니다. LF 태그는 데이터 카탈로그 리소스(데이터베이스, 테이블 및 열)에 할당되고 보안 주체에 부여됩니다. 리소스의 LF 태그와 일치하는 LF 태그가 있는 보안 주체는 해당 리소스에 액세스할 수 있습니다. Lake Formation 권한은 IAM 권한에 보조적입니다. 예를 들어, IAM 권한이 사용자가 데이터 레이크에 액세스할 수 있도록 허용하지 않는 경우 보안 주체와 리소스에 일치하는 LF 태그가 있더라도 Lake Formation은 해당 데이터 레이크 내의 리소스에 대한 액세스 권한을 해당 사용자에게 부여하지 않습니다.

Lake Formation 태그 기반 액세스 제어(LF-TBAC)는 와 협력하여 Lake Formation 데이터 및 리소스IAMABAC에 대한 추가 수준의 권한을 제공합니다.

  • Lake Formation TBAC 권한은 혁신에 따라 확장됩니다. 관리자가 새 리소스에 액세스할 수 있도록 기존 정책을 업데이트할 필요가 없습니다. 예를 들어 project-access 태그가 있는 IAM ABAC 전략을 사용하여 Lake Formation 내의 특정 데이터베이스에 대한 액세스를 제공한다고 가정해 보겠습니다. LF-TBAC를 사용하면 LF 태그Project=SuperApp가 특정 테이블 또는 열에 할당되고 해당 프로젝트의 개발자에게 동일한 LF 태그가 부여됩니다. IAM를 통해 개발자는 데이터베이스에 액세스할 수 있으며 LF 권한TBAC은 개발자에게 테이블 내의 특정 테이블 또는 열에 대한 추가 액세스 권한을 부여합니다. 프로젝트에 새 테이블이 추가되는 경우 Lake Formation 관리자가 새 테이블에 태그를 할당하기만 하면 개발자에게 테이블에 대한 액세스 권한이 부여됩니다.

  • Lake Formation에는 더 적은 IAM 정책이 TBAC 필요합니다. IAM 정책을 사용하여 Lake Formation 리소스 및 Lake FormationTBAC에 대한 높은 수준의 액세스 권한을 부여하여 더 정확한 데이터 액세스를 관리하기 때문에 IAM 정책을 더 적게 생성합니다.

  • Lake Formation을 사용하면 TBAC팀이 빠르게 변화하고 성장할 수 있습니다. 새 리소스에 대한 권한이 속성에 따라 자동으로 부여되기 때문입니다. 예를 들어 새 개발자가 프로젝트에 참여하는 경우 IAM 역할을 사용자에게 연결한 다음 필요한 LF 태그를 사용자에게 할당하여 이 개발자에게 액세스 권한을 부여하기 쉽습니다. 새 프로젝트를 지원하거나 새 LF 태그를 생성하기 위해 IAM 정책을 변경할 필요가 없습니다.

  • Lake Formation을 사용하면 더 세분화된 권한이 가능합니다TBAC. IAM 정책은 Data Catalog 데이터베이스 또는 테이블과 같은 최상위 리소스에 대한 액세스 권한을 부여합니다. Lake Formation을 TBAC사용하여 특정 데이터 값이 포함된 특정 테이블 또는 열에 대한 액세스 권한을 부여할 수 있습니다.

참고

IAM 태그는 LF 태그와 동일하지 않습니다. 이러한 태그는 서로 바꿔 사용할 수 없습니다. LF 태그는 Lake Formation에 권한을 부여하는 데 사용되고 IAM 태그는 IAM 정책을 정의하는 데 사용됩니다.