데이터 필터링 제한 사항

데이터 카탈로그 테이블에 대한 Lake Formation 권한을 부여하면 데이터 필터링 사양을 포함하여 쿼리 결과 및 Lake Formation 통합 엔진에서 특정 데이터에 대한 액세스를 제한할 수 있습니다. Lake Formation은 데이터 필터링을 사용하여 열 수준 보안, 행 수준 보안 및 셀 수준 보안을 달성합니다. 소스 데이터에 중첩 구조가 포함된 경우 중첩 열에 데이터 필터를 정의하고 적용할 수 있습니다.

행 수준 및 셀 수준 필터링에 대한 다음 참고 사항과 제한 사항에 유의하십시오.

• 셀 수준 보안은 중첩된 열, 뷰 및 리소스 링크에서 지원되지 않습니다.

• 최상위 열에서 지원되는 모든 표현식은 중첩 열에서도 지원됩니다. 하지만 중첩된 행 수준 식을 정의할 때는 파티션 열 아래의 중첩 필드를 NOT참조해야 합니다.

• 셀 수준 보안은 Athena 엔진 버전 3 또는 Amazon Redshift Spectrum을 사용하는 경우 모든 리전에서 사용할 수 있습니다. 다른 서비스의 경우, 셀 수준 보안은 지원되는 리전에 언급된 리전에서만 사용할 수 있습니다.

• SELECT INTO 설명은 지원되지 않습니다.

• array 및 map 데이터 유형은 행 필터 표현식에서 지원되지 않습니다. struct 데이터 유형만 지원됩니다.

• 테이블에 정의할 수 있는 데이터 필터 수에는 제한이 없지만, 테이블의 단일 보안 주체에 대한 데이터 필터 SELECT 권한은 100개로 제한되어 있습니다.

• 테이블에 대한 권한 부여에 포함할 수 있는 최대 데이터 필터 수는 10개입니다.

• 행 필터 표현식을 사용하여 데이터 필터를 적용하려면 모든 테이블 열에 부여 옵션이 있는 SELECT가 있어야 합니다. 외부 계정에 권한이 부여되었을 때 외부 계정의 관리자에게는 이 제한이 적용되지 않습니다.

• 보안 주체가 그룹의 구성원이고 보안 주체와 그룹 모두 행의 하위 집합에 대한 권한이 부여된 경우, 보안 주체의 유효 행 권한은 보안 주체의 권한과 그룹의 권한을 합산한 값입니다.

• 행 수준 및 셀 수준 필터링에 대한 테이블에는 다음 열 이름이 제한됩니다.

  • ctid

  • oid

  • xmin

  • cmin

  • xmax

  • cmax

  • tableoid

  • insertxid

  • deletexid

  • importoid

  • redcatuniqueid

• 테이블에 모든 행 필터 표현식을 조건자가 있는 다른 필터 표현식과 동시에 적용하는 경우, 모든 행 표현식이 다른 모든 필터 표현식보다 우선합니다.

• 행 하위 집합에 대한 권한이 외부 계정에 부여되고 외부 AWS 계정의 데이터 레이크 관리자가 해당 계정의 보안 주체에게 해당 권한을 부여하는 경우 보안 주체의 유효 필터 조건자는 계정의 조건자와 보안 주체에게 직접 부여된 모든 조건자의 교집합입니다.

  예를 들어 계정에 조건자가 dept='hr'인 행 권한이 있고 사용자에게 country='us'에 대한 권한이 별도로 부여된 경우, 사용자에게는 dept='hr' 및 country='us'가 있는 행에만 액세스 권한이 있습니다.

셀 수준 필터링에 대한 자세한 내용은 Lake Formation의 데이터 필터링 및 셀 수준 보안 섹션을 참조하세요.