Lake Formation에 서비스 연결 역할 사용

AWS Lake Formation AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Lake Formation에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Lake Formation에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 사용하면 역할을 생성하고 필요한 권한을 수동으로 추가할 필요가 없으므로 Lake Formation을 더 쉽게 설정할 수 있습니다. Lake Formation은 서비스 연결 역할의 권한을 정의하며, 달리 정의하지 않는 한 Lake Formation만 해당 역할을 수행할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

이 서비스 연결 역할은 역할을 수행하기 위해 다음 서비스를 신뢰합니다.

• lakeformation.amazonaws.com

계정 A의 서비스 연결 역할을 사용하여 계정 B가 소유한 Amazon S3 위치를 등록하는 경우, 계정 B의 Amazon S3 버킷 정책 (리소스 기반 정책) 은 계정 A의 서비스 연결 역할에 액세스 권한을 부여해야 합니다.

참고

서비스 제어 정책 (SCP) 은 서비스 연결 역할에 영향을 주지 않습니다.

자세한 내용은 사용 설명서의 서비스 제어 정책 (SCP) 을 참조하십시오.AWS Organizations

Lake Formation의 서비스 연결 역할 권한

Lake Formation은 AWSServiceRoleForLakeFormationDataAccess라는 서비스 연결 역할을 사용합니다. 이 역할은 Lake Formation 통합 서비스 (예 Amazon Athena:) 가 등록된 위치에 액세스할 수 있도록 하는 일련의 Amazon Simple Storage Service (Amazon S3) 권한을 제공합니다. 데이터 레이크 위치를 등록할 때는 해당 위치에 대한 필수 Amazon S3 읽기/쓰기 권한이 있는 역할을 제공해야 합니다. 필수 Amazon S3 권한이 있는 역할을 생성하는 대신 이 서비스 연결 역할을 사용할 수 있습니다.

경로를 등록할 역할로 서비스 연결 역할을 처음 지정하면 서비스 연결 역할과 새 IAM 정책이 자동으로 생성됩니다. Lake Formation은 인라인 정책에 경로를 추가하고 이 경로를 서비스 연결 역할에 연결합니다. 서비스 연결 역할에 후속 경로를 등록하면 Lake Formation이 기존 정책에 경로를 추가합니다.

데이터 레이크 관리자로 로그인한 상태에서 데이터 레이크 위치를 등록합니다. 그런 다음 IAM 콘솔에서 AWSServiceRoleForLakeFormationDataAccess 역할을 검색하고 연결된 정책을 확인합니다.

예를 들어 s3://my-kinesis-test/logs 위치를 등록하면 Lake Formation이 다음 인라인 정책을 생성한 후 AWSServiceRoleForLakeFormationDataAccess에 연결합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test/logs/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": [
                "arn:aws:s3:::my-kinesis-test"
            ]
        }
    ]
}

Lake Formation을 위한 서비스 연계 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API에서 Lake Formation에 Amazon S3 위치를 등록하면 Lake Formation이 서비스 연결 역할을 대신 생성합니다.

중요

이러한 서비스 연결 역할은 해당 역할이 지원하는 기능을 사용하는 다른 서비스에서 작업을 완료했을 경우 계정에 나타날 수 있습니다. 자세한 내용은 내 IAM 계정에 표시되는 새 역할을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. Lake Formation에 Amazon S3 위치를 등록하면 Lake Formation에서 서비스 연결 역할을 다시 생성합니다.

또한 IAM 콘솔을 사용하여 Lake Formation 사용 사례와 함께 서비스 연결 역할을 생성할 수 있습니다. AWS CLI 또는 AWS API에서 서비스 이름을 사용하여 서비스 연결 역할을 생성합니다. lakeformation.amazonaws.com 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 생성 단원을 참조하세요. 이 서비스 연결 역할을 삭제하면 동일한 프로세스를 사용하여 역할을 다시 생성할 수 있습니다.

Lake Formation의 서비스 연결 역할 편집

Lake Formation에서는 AWSServiceRoleForLakeFormationDataAccess 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.

Lake Formation의 서비스 연결 역할 삭제

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

Lake Formation 서비스가 리소스를 삭제하려고 할 때 역할을 사용하는 경우 삭제가 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

레이크 포메이션에서 사용하는 레이크 포메이션 리소스를 삭제하려면

• 서비스 연결 역할을 사용하여 Amazon S3 위치를 Lake Formation에 등록한 경우, 서비스 연결 역할을 삭제하기 전에 위치를 등록 취소하고 사용자 지정 역할을 사용하여 다시 등록해야 합니다.

IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면

IAM 콘솔 AWS CLI, 또는 API를 사용하여 서비스 연결 역할을 삭제하십시오. AWS AWSServiceRoleForLakeFormationDataAccess 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.