기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사전 조건
다음은 IAM Identity Center를 Lake Formation과 통합하기 위한 사전 조건입니다.
-
IAM Identity Center 활성화 - IAM Identity Center 활성화는 인증 및 자격 증명 전파를 지원하기 위한 사전 조건입니다.
-
자격 증명 원본 선택 - IAM Identity Center를 활성화한 후에는 사용자와 그룹을 관리할 자격 증명 공급자가 있어야 합니다. 내장된 Identity Center 디렉터리를 ID 소스로 사용하거나 Microsoft Entra ID 또는 Okta와 같은 외부 IdP를 사용할 수 있습니다.
자세한 내용은 AWS IAM Identity Center 사용 설명서의 ID 소스 관리 및 외부 ID 공급자에 연결을 참조하십시오.
-
IAM 역할 생성 - IAM Identity Center 연결을 생성하는 역할에는 다음 인라인 정책에서와 같이 Lake Formation 및 IAM Identity Center에서 애플리케이션 구성을 생성하고 수정할 수 있는 권한이 필요합니다.
IAM 모범 사례에 따라 권한을 추가해야 합니다. 구체적인 권한은 다음 절차에 자세히 설명되어 있습니다. 자세한 내용은 IAM Identity Center 시작하기를 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:CreateLakeFormationIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", ], "Resource": [ "*" ] } ] }
데이터 카탈로그 리소스를 외부 AWS 계정 또는 조직과 공유하는 경우 리소스 공유를 만들 수 있는 AWS Resource Access Manager (AWS RAM) 권한이 있어야 합니다. 리소스를 공유하는 데 필요한 권한에 대한 자세한 내용은 계정 간 데이터 공유 사전 요구 사항을 참조하십시오.
다음 인라인 정책에는 Lake Formation과 IAM Identity Center의 통합 속성을 확인, 업데이트 및 삭제하는 데 필요한 특정 권한이 포함되어 있습니다.
-
다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 볼 수 있도록 허용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication" ], "Resource": [ "*" ] } ] }
다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 업데이트할 수 있도록 허용하십시오. 정책에는 외부 계정과 리소스를 공유하는 데 필요한 선택적 권한도 포함되어 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:UpdateLakeFormationIdentityCenterConfiguration", "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication", "sso:UpdateApplication", ], "Resource": [ "*" ] } ] }
-
다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 삭제할 수 있도록 허용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DeleteLakeFormationIdentityCenterConfiguration", "sso:DeleteApplication", ], "Resource": [ "*" ] } ] }
-
IAM Identity Center 사용자 및 그룹에 데이터 레이크 권한을 부여하거나 취소하는 데 필요한 IAM 권한은 Lake Formation 권한을 부여 또는 취소하는 데 필요한 IAM 권한 섹션을 참조하십시오.
권한 설명
-
lakeformation:CreateLakeFormationIdentityCenterConfiguration
- Lake Formation IdC 구성을 생성합니다. -
lakeformation:DescribeLakeFormationIdentityCenterConfiguration
- 기존 IdC 구성을 설명합니다. -
lakeformation:DeleteLakeFormationIdentityCenterConfiguration
- 기존 Lake Formation IdC 구성을 삭제할 수 있는 기능을 제공합니다. -
lakeformation:UpdateLakeFormationIdentityCenterConfiguration
- 기존 Lake Formation 구성을 변경하는 데 사용됩니다. sso:CreateApplication
- IAM Identity Center 애플리케이션을 생성하는 데 사용됩니다.sso:DeleteApplication
- IAM Identity Center 애플리케이션을 삭제하는 데 사용됩니다.sso:UpdateApplication
- IAM Identity Center 애플리케이션을 업데이트하는 데 사용됩니다.sso:PutApplicationGrant
- 신뢰할 수 있는 토큰 발급자 정보를 변경하는 데 사용됩니다.sso:PutApplicationAuthenticationMethod
- Lake Formation 인증 액세스 권한을 부여합니다.sso:GetApplicationGrant
- 신뢰할 수 있는 토큰 발급자 정보를 나열하는 데 사용됩니다.sso:DeleteApplicationGrant
- 신뢰할 수 있는 토큰 발급자 정보를 삭제합니다.-
sso:PutApplicationAccessScope
- 애플리케이션의 IAM Identity Center 액세스 범위에 대한 승인된 대상 목록을 추가하거나 업데이트합니다. -
sso:PutApplicationAssignmentConfiguration
- 사용자가 애플리케이션에 액세스하는 방법을 구성하는 데 사용됩니다.