4단계: 데이터 스토어를 Lake Formation 권한 모델로 전환 - AWS Lake Formation
Lake Formation 권한 확인기존 데이터 카탈로그 리소스 보호Amazon S3 위치에 대한 Lake Formation 권한 설정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

4단계: 데이터 스토어를 Lake Formation 권한 모델로 전환

한 번에 하나씩 데이터 위치를 Lake Formation 권한으로 업그레이드합니다. 그렇게 하려면 데이터 카탈로그에서 참조하는 모든 Amazon Simple Storage Service(S3) 경로를 등록할 때까지 이 전체 섹션을 반복합니다.

Lake Formation 권한 확인

위치를 등록하기 전에 확인 단계를 수행하여 올바른 보안 주체에게 필요한 Lake Formation 권한이 있는지 그리고 권한이 없어야 하는 보안 주체에게는 Lake Formation 권한이 부여되지 않았는지 확인합니다. Lake Formation GetEffectivePermissionsForPath API 작업을 사용하여 Amazon S3 위치를 참조하는 데이터 카탈로그 리소스와 해당 리소스에 대한 권한이 있는 보안 주체를 식별합니다.

다음 AWS CLI 예제는 Amazon S3 버킷을 참조하는 데이터 카탈로그 데이터베이스 및 테이블을 반환합니다products.

aws lakeformation get-effective-permissions-for-path --resource-arn arn:aws:s3:::products --profile datalake_admin

profile 옵션을 기록해 둡니다. 데이터 레이크 관리자로 명령을 실행하는 것이 좋습니다.

다음은 반환된 결과에서 발췌한 내용입니다.

{
        "PermissionsWithGrantOption": [
            "SELECT"
        ],
        "Resource": {
            "TableWithColumns": {
                "Name": "inventory_product",
                "ColumnWildcard": {},
                "DatabaseName": "inventory"
            }
        },
        "Permissions": [
            "SELECT"
        ],
        "Principal": {
            "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1",
            "DataLakePrincipalType": "IAM_USER"
        }
 },...
중요

AWS Glue 데이터 카탈로그가 암호화되면 GetEffectivePermissionsForPath는 Lake Formation 정식 출시 이후에 생성되거나 수정된 데이터베이스 및 테이블만 반환합니다.

기존 데이터 카탈로그 리소스 보호

다음으로, 해당 위치에 대해 식별한 각 테이블과 데이터베이스에 대해 IAMAllowedPrincipalsSuper 권한을 취소합니다.

주의

데이터 카탈로그에 데이터베이스와 테이블을 생성하는 자동화 기능이 있는 경우 다음 단계를 수행하면 자동화 및 다운스트림 추출, 전환, 적재(ETL) 작업이 실패할 수 있습니다. 기존 프로세스를 수정했거나 필수 보안 주체에게 명시적인 Lake Formation 권한을 부여한 경우에만 진행하세요. Lake Formation 권한에 대한 자세한 내용은 Lake Formation 권한 참조 섹션을 참조하세요.

테이블에 대해 IAMAllowedPrincipalsSuper 권한을 취소하려면

  1. https://console.aws.amazon.com/lakeformation/ 에서 AWS Lake Formation 콘솔을 엽니다. 데이터 레이크 관리자로 로그인합니다.

  2. 탐색 창에서 테이블을 선택합니다.

  3. 테이블 페이지에서 원하는 테이블 옆의 라디오 버튼을 선택합니다.

  4. 작업 메뉴에서 취소를 선택합니다.

  5. 권한 취소 대화 상자의 IAM 사용자 및 역할 목록에서 그룹 제목으로 스크롤하여 IAM을 선택합니다. AllowedPrincipals

  6. 테이블 권한에서 슈퍼가 선택되어 있는지 확인한 다음 취소를 선택합니다.

데이터베이스에 대해 IAMAllowedPrincipalsSuper 권한을 취소하려면

  1. https://console.aws.amazon.com/lakeformation/ 에서 콘솔을 엽니다. AWS Lake Formation 데이터 레이크 관리자로 로그인합니다.

  2. 탐색 창에서 Databases(데이터베이스)를 선택합니다.

  3. 데이터베이스 페이지에서 원하는 데이터베이스 옆의 라디오 버튼을 선택합니다.

  4. [Actions] 메뉴에서 [Edit]을 선택합니다.

  5. 데이터베이스 편집 페이지에서 이 데이터베이스의 새 테이블에 대해 IAM 액세스 제어만 사용을 선택 취소한 다음 저장을 선택합니다.

  6. 데이터베이스 페이지로 돌아가서 데이터베이스가 계속 선택되어 있는지 확인한 다음 작업 메뉴에서 취소를 선택합니다.

  7. 권한 취소 대화 상자의 IAM 사용자 및 역할 목록에서 그룹 제목으로 스크롤하여 IAM을 선택합니다. AllowedPrincipals

  8. 데이터베이스 권한에서 슈퍼가 선택되어 있는지 확인한 다음 취소를 선택합니다.

Amazon S3 위치에 대한 Lake Formation 권한 설정

다음으로, Lake Formation에 Amazon S3 위치를 등록합니다. 이를 위해 데이터 레이크에 Amazon S3 위치 추가에 설명된 프로세스를 사용할 수 있습니다. 또는 보안 인증 정보 벤딩 API에 설명된 RegisterResource API 작업을 사용합니다.

참고

상위 위치가 등록된 경우 하위 위치를 등록할 필요가 없습니다.

이러한 단계를 완료하고 사용자가 데이터에 액세스할 수 있는지 테스트했다면 Lake Formation 권한으로 업그레이드된 것입니다. 다음 단계 5단계: 새 데이터 카탈로그 리소스 보호에서 계속합니다.