Lake Formation 권한을 부여 또는 취소하는 데 필요한 IAM 권한 - AWS Lake Formation

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Lake Formation 권한을 부여 또는 취소하는 데 필요한 IAM 권한

데이터 레이크 관리자를 포함한 모든 보안 주체가 Lake Formation API 또는 AWS CLI를 사용하여 AWS Lake Formation 데이터 카탈로그 권한 또는 데이터 위치 권한을 부여하거나 취소하려면 다음과 같은 AWS Identity and Access Management(IAM) 권한이 필요합니다.

  • lakeformation:GrantPermissions

  • lakeformation:BatchGrantPermissions

  • lakeformation:RevokePermissions

  • lakeformation:BatchRevokePermissions

  • glue:GetTable 또는 glue:GetDatabase(명명된 리소스 방법으로 권한을 부여하는 테이블이나 데이터베이스의 경우)

참고

데이터 레이크 관리자는 Lake Formation 권한을 부여하고 취소할 수 있는 암시적인 Lake Formation 권한을 가지고 있습니다. 하지만 Lake Formation 권한 부여 및 API 작업 취소에 대한 IAM 권한은 여전히 필요합니다.

AWSLakeFormationDataAdmin AWS 관리형 정책을 사용하는 IAM 역할은 새 데이터 레이크 관리자를 추가할 수 없습니다. 이 정책에는 Lake Formation API 작업 PutDataLakeSetting에 대한 명시적 거부가 포함되어 있기 때문입니다.

다음 IAM 정책은 데이터 레이크 관리자가 아니며 Lake Formation 콘솔을 사용하여 권한을 부여하거나 취소하려는 보안 주체에 권장됩니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:ListPermissions",
                "lakeformation:GrantPermissions",
                "lakeformation:BatchGrantPermissions",
                "lakeformation:RevokePermissions",
                "lakeformation:BatchRevokePermissions",
                "glue:GetDatabases",
                "glue:SearchTables",
                "glue:GetTables",
                "glue:GetDatabase",
                "glue:GetTable",
                "iam:ListUsers",
                "iam:ListRoles",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup",
                "sso:DescribeInstance"
            ],
            "Resource": "*"
        }
    ]
}

이 정책의 모든 glue:iam: 권한은 AWS 관리형 정책 AWSGlueConsoleFullAccess에서 사용할 수 있습니다.

Lake Formation 태그 기반 액세스 제어(LF-TBAC)를 사용하여 권한을 부여하려면 보안 주체에 추가적인 IAM 권한이 필요합니다. 자세한 정보는 Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항Lake Formation 페르소나 및 IAM 권한 참조 섹션을 참조하십시오.

교차 계정 권한

명명된 리소스 방법을 사용하여 교차 계정 Lake Formation 권한을 부여하려는 사용자는 AWSLakeFormationCrossAccountManager AWS 관리형 정책의 권한도 가져야 합니다.

데이터 레이크 관리자는 교차 계정 권한을 부여하기 위한 동일한 권한과 조직에 권한을 부여할 수 있는 AWS Resource Access Manager(AWS RAM) 권한도 필요합니다. 자세한 내용은 데이터 레이크 관리자 권한 섹션을 참조하세요.

관리 사용자입니다.

관리 권한이 있는 보안 주체(예: AdministratorAccess AWS 관리형 정책 사용)는 Lake Formation 권한을 부여하고 데이터 레이크 관리자를 생성할 수 있는 권한을 갖습니다. Lake Formation 관리자 작업에 대한 사용자 또는 역할 액세스를 거부하려면 관리자 API 작업에 대한 Deny 문을 정책에 연결하거나 추가합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "lakeformation:GetDataLakeSettings",
                "lakeformation:PutDataLakeSettings"
            ],
            "Effect": "Deny",
            "Resource": [
                "*"
            ]
        }
    ]
}
중요

사용자가 추출, 전환, 적재(ETL) 스크립트를 사용하여 자신을 관리자로 추가하지 못하도록 하려면 관리자가 아닌 모든 사용자와 역할이 이러한 API 작업에 대한 액세스를 거부하도록 하세요. AWSLakeFormationDataAdmin AWS 관리형 정책에는 사용자가 새 데이터 레이크 관리자를 추가할 수 없도록 하는 Lake Formation API 작업 PutDataLakeSetting에 대한 명시적 거부가 포함되어 있습니다.