온보딩 및 액세스 권한 부여 - AWS 권장 가이드
온보딩 데이터 생산자데이터 소비자 온보딩데이터 소비자 계정에서 Select 액세스 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

온보딩 및 액세스 권한 부여

이 가이드의 데이터 레이크 참조 아키텍처는 데이터 생산자와 데이터 소비자를 독립적으로 확장하는 데 도움이 되며, 이러한 데이터 소비자를 온보딩하고 액세스 권한을 부여하기 위한 일관된 프로세스를 정의하고 수립하는 데도 도움이 됩니다.

다음 섹션에서는 데이터 생산자 및 데이터 소비자의 온보딩 프로세스와 데이터 소비자 계정에서 액세스 권한을 부여하는 방법을 설명합니다. 이 가이드에서는 중앙 집중식 카탈로그와 데이터 소비자 간에 명명된 리소스 메서드를 사용합니다. LF-TBAC 방법의 프로세스는 비슷하지만 약간 다릅니다. 조직의 데이터 거버넌스 관행 및 정책에 맞게 이러한 접근 방식을 평가하고 구성하는 것이 좋습니다.

이 두 가지 방법에 대한 자세한 내용은이 가이드의 중앙 집중식 카탈로그 섹션을 참조하세요.

온보딩 데이터 생산자

다음 다이어그램은 새 데이터 생산자를 데이터 레이크에 온보딩하는 방법을 보여줍니다.

새 데이터 생산자를 데이터 레이크에 온보딩하는 프로세스입니다.

다이어그램은 다음 온보딩 프로세스를 보여줍니다.

  1. 데이터 생산자는 선택적으로 중앙 집중식 카탈로그에 데이터에 대한 액세스 권한을 제공합니다(예: Amazon Simple Storage Service(Amazon S3) 버킷 및 AWS KMS key). 중앙 집중식 카탈로그 AWS Identity and Access Management (IAM) 보안 주체에 액세스 권한이 제공되어 데이터 생산자의 데이터 레이크 위치를에 등록 AWS Lake Formation 하고 데이터 생산자의 카탈로그를 유지 관리하는 데 사용되는 IAM 보안 주체에 액세스 권한이 제공됩니다.

  2. 중앙 집중식 카탈로그의 Lake Formation을 사용하는 데이터 생산자의 데이터 레이크 위치(예: S3 버킷)를 등록합니다.

  3. AWS Glue 데이터 카탈로그에서 데이터 생산자의 새 데이터에 대한 데이터베이스, 테이블 및 테이블 스키마를 생성합니다.

데이터 소비자 온보딩

다음 다이어그램은 새 데이터 소비자를 데이터 레이크에 온보딩하는 방법을 보여줍니다.

새 데이터 소비자를 데이터 레이크에 온보딩하는 프로세스입니다.

다이어그램은 다음 온보딩 프로세스를 보여줍니다.

  1. 데이터 소비자는 데이터 생산자의 데이터를 보기 위한 승인을 요청하고 액세스해야 하는 데이터를 지정합니다.

  2. 데이터 생산자의 데이터 관리자는 데이터 소비자의 요청을 검토하고 다음을 수행할지 여부를 평가합니다.

    • 요청된 데이터베이스의 일부 또는 모든 테이블을 공유합니다. 모든 테이블을 데이터 소비자와 공유하는 데 데이터 보안에 영향이 없는 경우 데이터베이스 수준 공유를 권장합니다. 이렇게 하면 테이블 수준 공유의 관리 오버헤드를 피할 수 있습니다.

    • 데이터 소비자의 조직, OU 또는 계정 수준에서 공유합니다.

  3. 데이터 생산자의 승인을 받으면 필요한 데이터 카탈로그 리소스가 중앙 카탈로그의 데이터 소비자와 공유됩니다.

  4. Lake Formation을 사용하여 데이터 소비자의 계정에서 리소스 링크를 생성한 다음 중앙 카탈로그의 공유 데이터 카탈로그 리소스를 가리킬 수 있습니다.

온보딩 프로세스가 완료되면 데이터 소비자의 Lake Formation 관리자는 중앙 집중식 카탈로그 및 리소스 링크에서 데이터베이스 카탈로그 리소스를 볼 수 있습니다. 이 단계에서는 데이터 소비자 계정의 다른 누구도 데이터 생산자의 데이터에 액세스할 수 없습니다.

데이터 소비자 계정에서 Select 액세스 권한 부여

다음 다이어그램은 데이터 소비자 계정의 로컬 IAM 보안 주체와 공유 데이터 리소스에 대한 Select 액세스 권한을 부여하는 프로세스를 보여줍니다. 로컬 IAM 보안 주체는 개별 사용자의 IAM 역할 또는 특정 AWS 서비스에서 사용하는 IAM 역할일 수 있습니다.

참고

공유되는 데이터의 민감도가 낮으면 데이터 생산자의 승인 없이 데이터 소비자 자체에 액세스 권한 부여를 위임할 수 있습니다. 이는 신뢰와 공유가 이미 설정되었기 때문입니다.

데이터 소비자 계정에서 Select 액세스 권한을 부여하는 프로세스입니다.

이 다이어그램은 다음 프로세스를 보여줍니다.

  1. 데이터 소비자 계정의 개별 IAM 보안 주체가 데이터 소비자 계정의 IAM 보안 주체로부터 리소스 링크에 대한 Select 액세스를 요청합니다.

  2. 데이터 생산자의 데이터 관리자는 데이터 소비자의 요청을 검토하고 모든 요구 사항이 충족되면 승인을 제공합니다.

  3. Select 액세스 권한이 부여되고 이를 통해 IAM 보안 주체가 요청된 데이터를 사용할 수 있습니다.