AWS Lake Formation과 함께 Redshift Spectrum 사용

AWS Lake Formation을 사용하여 중앙에서 데이터베이스, 테이블 및 열 수준 액세스 정책을 정의하고 Amazon S3에 저장된 데이터에 적용할 수 있습니다. Lake Formation에서 사용할 수 있는 AWS Glue Data Catalog에 데이터를 등록한 후 Redshift Spectrum을 포함한 여러 서비스로 쿼리할 수 있습니다.

Lake Formation은 Data Catalog의 보안 및 거버넌스를 제공합니다. Lake Formation 내에서 데이터베이스, 테이블, 열, 기본 Amazon S3 스토리지 등 Data Catalog 객체에 대한 권한을 부여하고 취소할 수 있습니다.

중요

Lake Formation을 사용할 수 있는 AWS 리전에서는 Lake Formation 사용 Data Catalog와 함께 Redshift Spectrum만 사용할 수 있습니다. 사용할 수 있는 리전 목록은 AWS 일반 참조의 AWS Lake Formation 엔드포인트 및 할당량을 참조하세요.

Lake Formation과 함께 Redshift Spectrum을 사용하여 다음을 수행할 수 있습니다.

• Lake Formation을 데이터 레이크의 모든 데이터에 대한 권한 및 액세스 제어 정책을 부여하고 취소하는 중앙 위치로 사용합니다. Lake Formation은 Data Catalog의 데이터베이스 및 테이블에 대한 액세스를 제어하기 위한 권한 계층을 제공합니다. 자세한 내용은 AWS Lake Formation 개발자 안내서의 Lake Formation 권한 개요를 참조하십시오.

• 외부 테이블을 만들고 데이터 레이크의 데이터에 대한 쿼리를 실행합니다. 계정의 사용자가 쿼리를 실행할 수 있으려면 먼저 데이터 레이크 계정 관리자가 원본 데이터가 포함된 기존 Amazon S3 경로를 Lake Formation에 등록해야 합니다. 또한 관리자는 테이블을 만들고 사용자에게 권한을 부여합니다. 데이터베이스, 테이블 또는 열에 대한 액세스 권한을 부여할 수 있습니다. 관리자는 Lake Formation Formation의 데이터 필터를 사용하여 Amazon S3 저장된 민감한 데이터에 대한 액세스 제어를 세분화하여 부여할 수 있습니다. 자세한 내용은 행 수준 및 셀 수준 보안을 위한 데이터 필터 사용 단원을 참조하십시오.

  데이터가 Data Catalog에 등록되면 사용자가 쿼리를 실행하려고 할 때마다 Lake Formation이 해당 특정 보안 주체의 테이블 액세스를 확인합니다. Lake Formation이 Redshift Spectrum에 임시 자격 증명을 전송하고 쿼리가 실행됩니다.

• GetCredentials 또는 GetClusterCredentials를 사용하여 획득한 IAM 보안 인증 정보를 사용하여 자동 마운트된 AWS Glue Data Catalog에 대해 Redshift Spectrum 쿼리를 실행하고 데이터베이스 사용자(IAMR:username 또는 IAM:username)별로 Lake Formation 권한을 관리합니다.

Lake Formation에 대해 활성화된 데이터 카탈로그와 함께 Redshift Spectrum을 사용하는 경우 다음 중 하나가 있어야 합니다.

• 데이터 카탈로그에 대한 권한이 있는 클러스터와 연결된 IAM 역할입니다.

• 외부 리소스에 대한 액세스를 관리하도록 구성된 페더레이션형 IAM 자격 증명입니다. 자세한 내용은 페더레이션형 ID를 사용하여 로컬 리소스 및 Amazon Redshift 외부 테이블에 대한 Amazon Redshift 액세스 관리를 참조하세요.

중요

Lake Formation에 대해 사용 설정된 Data Catalog와 함께 Redshift Spectrum을 사용하는 경우 IAM 역할을 연결할 수 없습니다.

Redshift Spectrum과 함께 사용하기 위해 AWS Lake Formation을 설정하는 데 필요한 단계에 대한 자세한 내용은 AWS Lake Formation 개발자 안내서의 튜토리얼: Lake Formation의 JDBC 소스에서 데이터 레이크 생성을 참조하세요. 특히 Redshift Spectrum과의 통합에 대한 자세한 내용은 Amazon Redshift Spectrum을 사용한 데이터 레이크 내 데이터 쿼리를 참조하십시오. 이 주제에서 사용되는 데이터 및 AWS 리소스는 튜토리얼에 설명된 이전 단계에 따라 달라집니다.

행 수준 및 셀 수준 보안을 위한 데이터 필터 사용

AWS Lake Formation에서 데이터 필터를 정의하면 데이터 카탈로그에 정의된 데이터에 대한 Redshift Spectrum 쿼리의 행 수준 및 셀 수준 액세스를 제어할 수 있습니다. 이를 설정하려면 다음 작업을 수행합니다.

• Lake Formation에서 다음 정보를 사용하여 데이터 필터를 생성합니다.

  • 쿼리 결과에 포함하거나 제외할 열 목록이 포함된 열 사양.

  • 쿼리 결과에 포함할 행을 지정하는 행 필터 표현식.

  데이터 필터를 생성하는 방법에 대한 자세한 내용은 AWS Lake Formation 개발자 안내서의 Lake Formation 내 데이터 필터를 참조하십시오.

• Amazon Redshift 내에, Lake Formation이 활성화된 데이터 카탈로그 내 테이블을 참조하는 외부 테이블을 생성합니다. Redshift Spectrum을 사용하여 Lake Formation 테이블을 쿼리하는 방법에 대한 자세한 내용은 AWS Lake Formation 개발자 안내서의 Amazon Redshift Spectrum을 사용하여 데이터 레이크 내 데이터 쿼리를 참조하십시오.

Amazon Redshift에서 테이블을 정의한 후에는 Lake Formation 테이블을 쿼리하여 데이터 필터에서 허용하는 행과 열에만 액세스할 수 있습니다.

Lake Formation에서 행 수준 및 셀 수준 보안을 설정한 다음 Redshift Spectrum을 사용하여 쿼리하는 방법에 대한 자세한 내용은 Amazon Redshift Spectrum을 AWS Lake Formation에 정의된 행 수준 및 셀 수준 보안 정책과 함께 사용을 참조하십시오.