# Athena를 사용하여 AWS Lake Formation에 등록된 데이터 쿼리
<a name="security-athena-lake-formation"></a>

[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)을 사용하면 Amazon S3에 저장된 데이터 또는 페더레이션된 데이터 소스를 통해 액세스하는 데이터를 읽는 Athena 쿼리를 사용할 때 데이터베이스, 테이블 및 열 수준 액세스 정책을 정의하고 적용할 수 있습니다. Lake Formation은 Amazon S3에 저장된 데이터 또는 페더레이션된 데이터 카탈로그에 대한 권한 및 거버넌스 계층을 제공합니다. Lake Formation의 권한 계층을 사용하여 데이터베이스, 테이블, 열과 같은 데이터 카탈로그 객체를 읽을 수 있는 권한을 부여하거나 취소할 수 있습니다. Lake Formation은 권한 관리를 단순화하며, 이를 통해 데이터에 대한 세분화된 액세스 제어를 구현할 수 있습니다.

Athena를 사용하여 Lake Formation에 등록된 데이터와 Lake Formation에 등록되지 않은 데이터를 모두 쿼리할 수 있습니다.

Lake Formation 권한은 Athena를 사용하여 Lake Formation에 등록된 Amazon S3 위치 또는 데이터 카탈로그에서 원본 데이터를 쿼리할 때 적용됩니다. Lake Formation 권한은 등록된 Amazon S3 데이터 위치 또는 데이터 카탈로그를 가리키는 데이터베이스 및 테이블을 생성할 때도 적용됩니다.

Lake Formation 권한은 객체를 쓸 때 적용되지 않으며 Lake Formation에 등록되지 않은 데이터나 메타데이터를 쿼리할 때도 적용되지 않습니다. Lake Formation에 등록되지 않은 원본 데이터와 메타데이터의 경우 액세스 권한이 IAM 권한 정책 및 AWS Glue 작업에 따라 결정됩니다. Amazon S3의 Athena 쿼리 결과 위치는 Lake Formation에 등록할 수 없으며, Amazon S3에 대한 IAM 권한 정책이 액세스 권한을 제어합니다. 또한 Lake Formation 권한은 Athena 쿼리 기록에 적용되지 않습니다. Athena 작업 그룹을 사용하여 쿼리 기록에 대한 액세스를 제어할 수 있습니다.

Lake Formation에 대한 자세한 내용은 [Lake Formation FAQ](https://aws.amazon.com/lake-formation/faqs/) 및 [AWS Lake Formation 개발자 안내서](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)를 참조하세요.

## 기존 데이터베이스 및 테이블에 Lake Formation 권한 적용
<a name="lf-athena-apply-lf-permissions-to-existing-databases-and-tables"></a>

Athena를 처음 사용하고 Lake Formation을 사용하여 쿼리 데이터에 대한 액세스를 구성하는 경우 사용자가 데이터를 읽고 메타데이터를 생성할 수 있도록 IAM 정책을 구성할 필요가 없습니다. Lake Formation을 사용하여 권한을 관리할 수 있습니다.

Lake Formation에 데이터를 등록하고 IAM 권한 정책을 업데이트할 필요는 없습니다. 데이터가 Lake Formation에 등록되지 않은 경우에도 적절한 권한을 가진 Athena 사용자는 Lake Formation에 등록되지 않은 데이터를 계속 쿼리할 수 있습니다.

Lake Formation에 등록되지 않은 Amazon S3 데이터를 쿼리하는 기존 Athena 사용자가 있는 경우 Amazon S3(해당되는 경우 AWS Glue Data Catalog)에 대한 IAM 권한을 업데이트할 수 있으며 Lake Formation 권한을 사용하여 중앙에서 사용자 액세스를 관리할 수 있습니다. Amazon S3 데이터 위치 읽기 권한의 경우, 리소스 기반 정책 및 자격 증명 기반 정책을 업데이트하여 Amazon S3 권한을 수정할 수 있습니다. 메타데이터 액세스의 경우, AWS Glue를 사용하여 세분화된 액세스 제어를 위해 리소스 수준 정책을 구성하면 Lake Formation 권한을 사용하여 대신 액세스를 관리할 수 있습니다.

자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [AWS Glue Data Catalog의 데이터베이스 및 테이블에 대한 액세스 구성](fine-grained-access-to-glue-resources.md) 및 [AWS Lake Formation 모델로 AWS Glue 데이터 권한 업그레이드](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation.html)를 참조하세요.

**Topics**
+ [기존 데이터베이스 및 테이블에 Lake Formation 권한 적용](#lf-athena-apply-lf-permissions-to-existing-databases-and-tables)
+ [데이터 액세스 작동 방식](lf-athena-access.md)
+ [고려 사항 및 제한 사항](lf-athena-limitations.md)
+ [크로스 계정 액세스](lf-athena-limitations-cross-account.md)
+ [사용자 권한 관리](lf-athena-user-permissions.md)
+ [페더레이션 액세스를 위해 Lake Formation과 JDBC 또는 ODBC 사용](security-athena-lake-formation-jdbc.md)