메타데이터 액세스 제어를 위한 LF 태그 관리

Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 카탈로그, 데이터베이스, 테이블, 뷰 및 열과 같은 데이터 카탈로그 객체를 보호하려면 LF 태그를 생성하고 리소스에 할당하며 보안 주체에 LF 태그 권한을 부여합니다.

데이터 카탈로그 객체에 LF 태그를 할당하거나 보안 주체에 권한을 부여하려면 먼저 LF 태그를 정의해야 합니다. LF 태그 생성자 권한이 있는 보안 주체 또는 데이터 레이크 관리자만 LF 태그를 생성할 수 있습니다.

LF 태그 생성자

LF 태그 생성자는 LF 태그를 생성하고 관리할 권한이 있는 관리자가 아닌 보안 주체입니다. 데이터 레이크 관리자는 Lake Formation 콘솔 또는 CLI를 사용하여 LF 태그 생성자를 추가할 수 있습니다. LF 태그 생성자는 LF 태그를 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, LF 태그 권한 및 LF 태그 값 권한을 다른 보안 주체에 부여할 수 있는 암시적인 Lake Formation 권한을 가집니다.

LF 태그 생성자 역할을 통해 데이터 레이크 관리자는 태그 키 및 값 생성 및 업데이트와 같은 태그 관리 작업을 관리자가 아닌 보안 주체에 위임할 수 있습니다. 또한 데이터 레이크 관리자는 LF 태그 생성자에게 부여 가능한 Create LF-Tag 권한을 부여할 수 있습니다. 그러면 LF 태그 생성자는 LF 태그를 생성할 권한을 다른 보안 주체에 부여할 수 있습니다.

LF 태그에 대해 다음 두 가지 유형의 권한을 부여할 수 있습니다.

• LF 태그 권한 - Create LF-Tag, Alter 및 Drop. LF 태그를 생성, 업데이트 및 삭제하려면 이러한 권한이 필요합니다.

  데이터 레이크 관리자 및 LF 태그 생성자는 자신이 생성하는 LF 태그에 대해 암시적으로 이러한 권한을 가지며, 데이터 레이크에서 태그를 관리하기 위해 보안 주체에 이러한 권한을 명시적으로 부여할 수 있습니다.

• LF 태그 키-값 페어 권한 - Assign, Describe 및 Grant with LF-Tag expressions. 이러한 권한은 데이터 카탈로그 객체에 LF 태그를 할당하고 Lake Formation 태그 기반 액세스 제어를 사용하여 보안 주체에게 리소스에 대한 권한을 부여하는 데 필요합니다. LF 태그 생성자는 LF 태그를 생성할 때 암시적으로 이러한 권한을 수신합니다.

Create LF-Tag 권한을 받고 LF 태그를 성공적으로 생성한 후 LF 태그 생성자는 리소스에 LF 태그를 할당하고 다른 비관리 보안 주체에게 데이터 레이크의 태그를 관리할 수 있는 LF 태그 권한(Create LF-Tag, AlterDrop, 및 )을 부여할 수 있습니다. Lake Formation 콘솔, API 또는 AWS Command Line Interface ()를 사용하여 LF 태그를 관리할 수 있습니다AWS CLI.

참고

데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, 보안 주체에 LF 태그 권한을 부여할 수 있는 암시적인 Lake Formation 권한을 가집니다.

모범 사례 및 고려 사항에 대해서는 Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항 섹션을 참조하십시오.

주제

• LF 태그 생성자 추가

• LF 태그 생성

• LF 태그 업데이트

• LF 태그 삭제

• LF 태그 나열

• 데이터 카탈로그 리소스에 LF 태그 할당

• 리소스에 할당된 LF 태그 보기

• LF 태그가 할당된 리소스 보기

• LF 태그의 수명 주기

• Lake Formation 태그 기반 액세스 제어와 IAM 속성 기반 액세스 제어의 비교

다음 사항도 참조하세요.

• LF 태그 값 권한 관리

• LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여

• Lake Formation 태그 기반 액세스 제어

LF 태그의 수명 주기

1. LF 태그 생성자 Michael이 LF 태그 module=Customers를 생성합니다.

2. Michael이 데이터 엔지니어 Eduardo에게 LF 태그에 대한 Associate 권한을 부여합니다. Associate 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다.

3. Michael은 Eduardo가 LF 태그를 테이블에 할당할 수 있도록 권한 부여 옵션을 사용하여 Eduardo에게 테이블 Custs에 대한 Super 권한을 부여합니다. 자세한 내용은 데이터 카탈로그 리소스에 LF 태그 할당 단원을 참조하십시오.

4. Eduardo가 테이블 Custs에 LF 태그 module=customers를 할당합니다.

5. Michael은 데이터 엔지니어 Sandra에게 다음과 같은 권한을 부여합니다(의사 코드 기준).

   GRANT (SELECT, INSERT ON TABLES) ON TAGS module=customers TO Sandra WITH GRANT OPTION

6. Sandra는 데이터 분석가 Maria에게 다음과 같은 권한을 부여합니다.

   GRANT (SELECT ON TABLES) ON TAGS module=customers TO Maria

   Maria는 이제 Custs 테이블에 대한 쿼리를 실행할 수 있습니다.

다음 사항도 참조하세요.

• 메타데이터 액세스 제어

Lake Formation 태그 기반 액세스 제어와 IAM 속성 기반 액세스 제어의 비교

속성 기반 액세스 제어(ABAC)는 속성에 근거하여 권한을 정의하는 권한 부여 전략입니다. 에서는 AWS이러한 속성을 태그라고 합니다. IAM 엔터티(사용자 또는 역할)를 포함한 IAM 리소스와 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 작은 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계될 수 있습니다. ABAC는 빠르게 성장하는 환경에서 유용하며 정책 관리가 번거로운 상황에 도움이 됩니다.

클라우드 보안 및 거버넌스 팀은 IAM을 사용하여 Amazon S3 버킷, Amazon EC2 인스턴스 및 ARN으로 참조할 수 있는 리소스를 포함한 모든 리소스에 대한 액세스 정책 및 보안 권한을 정의합니다. IAM 정책은 Amazon S3 버킷, 접두사 수준 또는 데이터베이스 수준에서 액세스를 허용하거나 거부하는 등 데이터 레이크 리소스에 대한 광범위한(대략적인) 권한을 정의합니다. IAM ABAC에 대한 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

예를 들어, project-access 태그 키를 사용하여 세 개의 역할을 생성할 수 있습니다. 첫 번째 역할의 태그 값을 Dev로, 두 번째 역할의 태그 값을 Marketing으로, 세 번째 역할의 태그 값을 Support으로 설정합니다. 적절한 값을 가진 태그를 리소스에 할당합니다. 그런 다음 역할과 리소스에 project-access에 대해 동일한 값으로 태그를 지정할 때 액세스를 허용하는 단일 정책을 사용할 수 있습니다.

데이터 거버넌스 팀은 Lake Formation을 사용하여 특정 데이터 레이크 리소스에 대한 세분화된 권한을 정의합니다. LF 태그는 데이터 카탈로그 리소스(데이터베이스, 테이블 및 열)에 할당되고 보안 주체에 부여됩니다. 리소스의 LF 태그와 일치하는 LF 태그가 있는 보안 주체는 해당 리소스에 액세스할 수 있습니다. Lake Formation 권한은 IAM 권한에 대한 보조 권한입니다. 예를 들어 IAM 권한이 사용자에게 데이터 레이크에 대한 액세스를 허용하지 않는 경우 Lake Formation은 보안 주체와 리소스에 일치하는 LF 태그가 있더라도 해당 사용자에게 해당 데이터 레이크 내의 리소스에 대한 액세스 권한을 부여하지 않습니다.

Lake Formation 태그 기반 액세스 제어(LF-TBAC) 는 IAM ABAC와 함께 작동하여 Lake Formation 데이터 및 리소스에 대한 추가 수준의 권한을 제공합니다.

• Lake Formation TBAC 권한은 혁신을 통해 확장됩니다. 관리자가 새 리소스에 액세스할 수 있도록 기존 정책을 업데이트할 필요가 없습니다. 예를 들어 project-access 태그와 함께 IAM ABAC 전략을 사용하여 Lake Formation 내의 특정 데이터베이스에 대한 액세스를 제공한다고 가정합니다. LF-TBAC를 사용하면 특정 테이블이나 열에 LF 태그 Project=SuperApp이 할당되고 해당 프로젝트의 개발자에게 동일한 LF 태그가 부여됩니다. 개발자는 IAM을 통해 데이터베이스에 액세스할 수 있으며, LF-TBAC 권한은 개발자에게 테이블 내의 특정 테이블이나 열에 대한 추가 액세스 권한을 부여합니다. 프로젝트에 새 테이블이 추가되는 경우 Lake Formation 관리자가 새 테이블에 태그를 할당하기만 하면 개발자에게 테이블에 대한 액세스 권한이 부여됩니다.

• Lake Formation TBAC에는 필요한 IAM 정책이 더 적습니다. IAM 정책을 사용하여 Lake Formation 리소스에 대한 높은 수준의 액세스 권한을 부여하고 Lake Formation TBAC를 사용하여 더 정확한 데이터 액세스를 관리하므로 더 적은 수의 IAM 정책을 생성하게 됩니다.

• Lake Formation TBAC를 사용하여 팀은 빠르게 변화하고 성장할 수 있습니다. 새 리소스에 대한 권한이 속성에 따라 자동으로 부여되기 때문입니다. 예를 들어 새 개발자가 프로젝트에 참여하면 IAM 역할을 사용자에게 연결한 다음 필요한 LF 태그를 사용자에게 할당하여 해당 개발자에게 액세스 권한을 쉽게 부여할 수 있습니다. 새 프로젝트를 지원하거나 새 LF 태그를 생성하기 위해 IAM 정책을 변경할 필요가 없습니다.

• Lake Formation TBAC를 사용하면 더 세분화된 권한 설정이 가능합니다. IAM 정책은 데이터 카탈로그 데이터베이스 또는 테이블과 같은 최상위 리소스에 대한 액세스 권한을 부여합니다. Lake Formation TBAC를 사용하면 특정 데이터 값을 포함하는 특정 테이블 또는 열에 대한 액세스 권한을 부여할 수 있습니다.

참고

IAM 태그는 LF 태그와 다릅니다. 이러한 태그는 서로 바꿔 사용할 수 없습니다. LF 태그는 Lake Formation 권한을 부여하는 데 사용되고 IAM 태그는 IAM 정책을 정의하는 데 사용됩니다.