생산자 계정에서 Lake Formation 데이터 카탈로그 설정을 구성합니다.

이 자습서를 시작하기 전에 올바른 권한을 가진 관리자로 로그인하는 데 사용할 수 있는 계정이 AWS 계정 있어야 합니다. 자세한 정보는 전체 초기 AWS 구성 태스크을 참조하세요.

이 자습서에서는 사용자가 IAM에 익숙하다고 가정합니다. IAM에 대한 자세한 내용은 IAM 사용 설명서를 참조하십시오.

생산자 계정에서 Lake Formation 데이터 카탈로그 설정을 구성합니다.

참고

이 자습서에서는 원본 테이블이 있는 계정을 생산자 계정이라고 하고 원본 테이블에 액세스해야 하는 계정을 소비자 계정이라고 합니다.

Lake Formation은 자체 권한 관리 모델을 제공합니다. IAM 권한 모델과의 이전 버전과의 호환성을 유지하기 위해 기본적으로 모든 기존 AWS Glue Data Catalog 리소스에 IAMAllowedPrincipals 대한 Super 권한이 그룹에 부여됩니다. 또한 새 데이터 카탈로그 리소스에는 IAM 액세스 제어 설정만 사용할 수 있습니다. 이 자습서에서는 Lake Formation 권한을 사용한 세분화된 액세스 제어를 사용하고 세부적인 액세스 제어를 위해서는 IAM 정책을 사용합니다. 세부 정보는 세분화된 액세스 제어 방법을 참조하십시오. 따라서 빠른 설정을 위해 AWS CloudFormation 템플릿을 사용하기 전에 생산자 계정에서 Lake Formation Data Catalog 설정을 변경해야 합니다.

중요

이 설정은 새로 만든 모든 데이터베이스 및 테이블에 영향을 미치므로 비프로덕션 계정이나 새 계정으로 이 자습서를 완료하는 것이 좋습니다. 또한 공유 계정 (예: 회사의 개발 계정) 을 사용하는 경우 다른 리소스에 영향을 주지 않는지 확인하세요. 기본 보안 설정을 유지하려면 다른 계정과 리소스를 공유할 때 데이터베이스 또는 테이블에서 IAMAllowedPrincipals 기본 슈퍼 권한을 취소하는 추가 단계를 완료해야 합니다. 자세한 내용은 이 자습서의 뒷부분에서 설명합니다.

생산자 계정에서 Lake Formation 데이터 카탈로그 설정을 구성하려면 다음 단계를 완료하십시오.

1. 프로듀서 계정을 AWS Management Console 사용하여 관리자 사용자 또는 Lake Formation PutDataLakeSettings API 권한이 있는 사용자로 로그인합니다.

2. Lake Formation 콘솔의 탐색 창에서 데이터 카탈로그에서 설정을 선택합니다.

3. 새 데이터베이스에 IAM 액세스 제어만 사용 및 새 데이터베이스의 새 테이블에 IAM 액세스 제어만 사용을 선택 취소합니다.

   저장을 선택합니다.

   

   또한 관리자 역할 및 작업에서 CREATE_DATABASE 데이터베이스 생성자에 대한 IAMAllowedPrincipals 권한을 제거할 수 있습니다. 그래야만 Lake Formation 권한을 통해 새 데이터베이스를 생성할 수 있는 사용자를 관리할 수 있습니다.