Amazon S3 위치 등록 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon S3 위치 등록

아마존 심플 스토리지 서비스 AWS Identity and Access Management (Amazon S3) 위치를 등록할 때 (IAM) 역할을 지정해야 합니다. Lake Formation은 해당 위치의 데이터에 액세스하는 통합 AWS 서비스에 임시 자격 증명을 부여할 때 이 역할을 맡습니다.

중요

요청자 지불이 활성화된 Amazon S3 버킷은 등록하지 마세요. Lake Formation에 등록된 버킷의 경우 버킷 등록에 사용된 역할은 항상 요청자로 표시됩니다. 다른 AWS 계정으로 버킷에 액세스하는 경우, 역할이 버킷 소유자와 동일한 계정에 속하면 버킷 소유자에게 데이터 액세스 요금이 부과됩니다.

AWS Lake Formation 콘솔, Lake Formation API 또는 AWS Command Line Interface (AWS CLI) 를 사용하여 Amazon S3 위치를 등록할 수 있습니다.

시작하기 전 준비 사항

위치를 등록하는 데 사용되는 역할에 대한 요구 사항을 검토합니다.

위치를 등록하려면(콘솔)
중요

다음 절차에서는 Amazon S3 위치가 데이터 카탈로그와 동일한 AWS 계정에 있고 해당 위치의 데이터가 암호화되지 않았다고 가정합니다. 이 장의 다른 섹션에서는 교차 계정 등록 및 암호화된 위치 등록에 대해 다룹니다.

  1. https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 엽니다. 데이터 레이크 관리자 또는 lakeformation:RegisterResource IAM 권한이 있는 사용자로 로그인합니다.

  2. 탐색 창의 관리에서 데이터 레이크 위치를 선택합니다.

  3. 위치 등록을 선택한 다음 찾아보기를 선택하고 Amazon Simple Storage Service(S3) 경로를 선택합니다.

  4. (선택 사항이지만 강력히 권장됨) 선택한 Amazon S3 위치에 있는 모든 기존 리소스 및 해당 권한의 목록을 보려면 위치 권한 검토를 선택합니다.

    선택한 위치를 등록하면 Lake Formation 사용자가 해당 위치에 이미 있는 데이터에 액세스할 수 있습니다. 이 목록을 보면 기존 데이터를 안전하게 유지하는 데 도움이 됩니다.

  5. IAM 역할의 경우 AWSServiceRoleForLakeFormationDataAccess 서비스 연결 역할(기본값) 또는 위치를 등록하는 데 사용되는 역할에 대한 요구 사항의 요구 사항을 충족하는 사용자 지정 IAM 역할을 선택합니다.

    사용자 지정 IAM 역할을 사용하여 등록한 경우에만 등록된 위치 또는 기타 세부 정보를 업데이트할 수 있습니다. 서비스 연결 역할을 사용하여 등록된 위치를 편집하려면 위치를 등록 취소하고 다시 등록해야 합니다.

  6. Lake Formation이 역할을 맡고 통합 AWS 서비스에 임시 자격 증명을 제공하여 통합 데이터베이스의 테이블에 액세스할 수 있도록 하려면 데이터 카탈로그 페더레이션 활성화 옵션을 선택합니다. 위치가 Lake Formation에 등록되어 있고 페더레이션된 데이터베이스의 테이블에 동일한 위치를 사용하려면 데이터 카탈로그 페더레이션 활성화 옵션을 사용하여 동일한 위치를 등록해야 합니다.

  7. 하이브리드 액세스 모드를 선택하여 Lake Formation 권한을 기본적으로 활성화하지 않도록 설정합니다. 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하면 해당 위치 아래의 데이터베이스 및 테이블에 대한 보안 주체를 선택하여 Lake Formation 권한을 활성화할 수 있습니다.


    하이브리드 액세스 모드 설정에 대한 자세한 내용은 하이브리드 액세스 모드 섹션을 참조하세요.

  8. 위치 등록을 선택합니다.

위치를 등록하려면(AWS CLI)
  1. Lake Formation에 새로운 위치를 등록합니다.

    이 예제는 서비스 연결 역할을 사용하여 위치를 등록합니다. 대신 --role-arn 인수를 사용하여 사용자 고유의 역할을 제공할 수 있습니다.

    <s3-path>유효한 Amazon S3 경로, 유효한 계정의 계정 번호, <s3-access-role>데이터 위치를 등록할 권한이 있는 IAM 역할로 대체하십시오. AWS

    참고

    서비스 연결 역할을 사용하여 등록한 경우 등록된 위치의 속성을 편집할 수 없습니다.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role

    다음 예에서는 사용자 지정 역할을 사용하여 위치를 등록합니다.

    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>
  2. Lake Formation에 등록된 위치를 업데이트하려면

    사용자 지정 IAM 역할을 사용하여 등록한 경우에만 등록된 위치를 편집할 수 있습니다. 서비스 연결 역할로 등록된 위치의 경우 위치를 등록 취소하고 다시 등록해야 합니다. 자세한 정보는 Amazon S3 위치 등록 취소을 참조하세요.

    aws lakeformation update-resource \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role>\ --resource-arn arn:aws:s3:::<s3-path>
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --use-service-linked-role
  3. 페더레이션을 사용하여 하이브리드 액세스 모드에서 데이터 위치 등록
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled
    aws lakeformation register-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --with-federation
    aws lakeformation update-resource \ --resource-arn arn:aws:s3:::<s3-path> \ --role-arn arn:aws:iam::<123456789012>:role/<s3-access-role> \ --hybrid-access-enabled

자세한 내용은 RegisterResourceAPI 작업을 참조하십시오.

참고

Amazon S3 위치를 등록하면 해당 위치 (또는 하위 위치) 를 가리키는 모든 AWS Glue 테이블이 true GetTable 호출에서와 같이 IsRegisteredWithLakeFormation 파라미터 값을 반환합니다. GetTablesSearchTables와 같은 데이터 카탈로그 API 작업은 IsRegisteredWithLakeFormation 파리미터 값을 업데이트하지 않고 기본값인 false를 반환한다는 알려진 제한 사항이 있습니다. IsRegisteredWithLakeFormation 파라미터의 올바른 값을 보려면 GetTable API를 사용하는 것이 좋습니다.