기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Lake Formation에 서비스 연결 역할 사용
AWS Lake Formation은 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Lake Formation에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Lake Formation에서 사전 정의하며, 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 역할을 생성하고 필요한 권한을 수동으로 추가할 필요가 없으므로 Lake Formation을 더 쉽게 설정할 수 있습니다. Lake Formation은 서비스 연결 역할의 권한을 정의하며, 달리 정의하지 않는 한 Lake Formation만 해당 역할을 수행할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
이 서비스 연결 역할은 역할을 수행하기 위해 다음 서비스를 신뢰합니다.
-
lakeformation.amazonaws.com
Lake Formation의 서비스 연결 역할 권한
Lake Formation은 AWSServiceRoleForLakeFormationDataAccess라는 서비스 연결 역할을 사용합니다. 이 역할은 Lake Formation 통합 서비스(예: Amazon Athena)가 등록된 위치에 액세스할 수 있도록 하는 일련의 Amazon Simple Storage Service(S3) 권한을 제공합니다. 데이터 레이크 위치를 등록할 때는 해당 위치에 대한 필수 Amazon S3 읽기/쓰기 권한이 있는 역할을 제공해야 합니다. 필수 Amazon S3 권한이 있는 역할을 생성하는 대신 이 서비스 연결 역할을 사용할 수 있습니다.
경로를 등록할 역할로 서비스 연결 역할을 처음 지정하면 서비스 연결 역할과 새 IAM 정책이 자동으로 생성됩니다. Lake Formation은 인라인 정책에 경로를 추가하고 이 경로를 서비스 연결 역할에 연결합니다. 서비스 연결 역할에 후속 경로를 등록하면 Lake Formation이 기존 정책에 경로를 추가합니다.
데이터 레이크 관리자로 로그인한 상태에서 데이터 레이크 위치를 등록합니다. 그런 다음 IAM 콘솔에서 AWSServiceRoleForLakeFormationDataAccess 역할을 검색하고 연결된 정책을 확인합니다.
예를 들어 s3://my-kinesis-test/logs 위치를 등록하면 Lake Formation이 다음 인라인 정책을 생성한 후 AWSServiceRoleForLakeFormationDataAccess에 연결합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessPermissionsForS3", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::my-kinesis-test/logs/*" ] }, { "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListBucketMultipartUploads" ], "Resource": [ "arn:aws:s3:::my-kinesis-test" ] } ] }
서비스 연결 역할에 위치를 등록하려면 다음 권한이 필요합니다.
-
iam:CreateServiceLinkedRole -
iam:PutRolePolicy
데이터 레이크 관리자는 일반적으로 이러한 권한을 가집니다.
