"
]
}
]
}
```
------
# Athena용 CalledVia 컨텍스트 키 사용
[보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)가 AWS에 [요청](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request)하면 AWS는 요청을 평가하고 권한을 부여하는 *요청 컨텍스트*로 요청 정보를 수집합니다. JSON 정책의 `Condition` 요소를 사용하여 요청 컨텍스트의 키를 정책에서 지정한 키 값과 비교할 수 있습니다. *글로벌 조건 컨텍스트 키*는 `aws:` 접두사가 있는 조건 키입니다.
## aws:CalledVia 컨텍스트 키
[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) 글로벌 컨텍스트 키를 사용하면 정책의 서비스를, IAM 보안 주체(사용자 또는 역할)를 대신하여 요청을 수행한 서비스와 비교할 수 있습니다. 보안 주체가 AWS 서비스에 요청하면 해당 서비스는 보안 주체의 자격 증명을 사용하여 다른 서비스에 대한 후속 요청을 할 수 있습니다. `aws:CalledVia` 키에는 보안 주체를 대신하여 요청을 수행한 체인의 각 서비스 목록이 정렬되어 있습니다.
`aws:CalledVia` 컨텍스트 키에 대한 서비스 주체 이름을 지정하여 컨텍스트 키를 AWS 서비스별로 지정할 수 있습니다. 예를 들어, `aws:CalledVia` 조건 키를 사용해 Athena에서 수행된 요청으로만 요청을 제한할 수 있습니다. Athena에서 어떤 정책에 `aws:CalledVia` 조건 키를 사용하려면 다음 예제처럼 Athena 서비스 보안 주체 이름 `athena.amazonaws.com`을 지정합니다.
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
`aws:CalledVia` 컨텍스트 키는 발신자가 Athena로부터 리소스를 호출할 때 발신자만 리소스(예: Lambda 함수)에 대한 액세스 권한을 갖도록 하는 데 사용할 수 있습니다.
**참고**
`aws:CalledVia` 컨텍스트 키는 신뢰할 수 있는 ID 전파 기능과 호환되지 않습니다.
## Lambda 함수에 대한 액세스를 위해 CalledVia 컨텍스트 키 추가
Athena에서는 쿼리와 연결된 Lambda 함수를 호출하려면 발신자에게 `lambda:InvokeFunction` 권한이 있어야 합니다. 다음 문은 사용자가 Athena에서만 Lambda 함수를 간접적으로 호출할 수 있도록 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
다음 예제에서는 사용자가 연합 쿼리를 실행하고 읽도록 허용하는 정책에 앞의 문을 추가하는 방법을 보여줍니다. 이러한 작업을 수행할 수 있는 보안 주체는 연합 데이터 원본과 연결된 Athena 카탈로그를 지정하는 쿼리를 실행할 수 있습니다. 그러나 보안 주체는 Athena를 통해 함수가 호출되지 않는 한 연결된 Lambda 함수에 액세스할 수 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
`CalledVia` 글로벌 조건 키에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 글로벌 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.
# 외부 Hive 메타스토어용 Athena 데이터 커넥터에 대한 액세스 허용
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 유사한 권한 정책을 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example – IAM 보안 주체가 외부 Hive 메타스토어용 Athena 데이터 커넥터를 사용하여 데이터를 쿼리할 수 있도록 허용합니다.**
다음 정책은 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 외에 Athena 작업에 대한 전체 액세스 권한을 부여하는 IAM 보안 주체에도 연결됩니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| `s3` 작업을 사용하면 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"`으로 지정된 리소스를 읽고 쓸 수 있습니다. 여기서 *MyLambdaSpillLocation*은 호출되는 Lambda 함수의 구성에 지정된 유출 버킷(spill bucket)을 식별합니다. *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* 리소스 식별자는 배포 시 함수 아티팩트 크기를 줄이기 위해 Athena 계층을 사용하여 사용자 지정 런타임 종속성을 만드는 경우에만 필요합니다. 마지막 위치에 있는 `*`은 계층 버전의 와일드카드입니다. |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출할 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
**Example – IAM 보안 주체가 외부 Hive 메타스토어용 Athena 데이터 커넥터를 생성할 수 있도록 허용합니다.**
다음 정책은 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 외에 Athena 작업에 대한 전체 액세스 권한을 부여하는 IAM 보안 주체에도 연결됩니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**권한에 대한 설명**
쿼리가 `Resource` 블록에 지정된 AWS Lambda 함수에 대한 AWS Lambda 함수를 호출할 수 있습니다. `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction`을 예로 들 수 있습니다. 여기서 *MyAthenaLambdaFunction*은 호출되는 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다.
# 외부 Hive 메타스토어에 대한 Lambda 함수 액세스 허용
사용자 계정에서 Lambda 함수를 호출하려면 다음 권한을 가진 역할을 만들어야 합니다.
+ `AWSLambdaVPCAccessExecutionRole` – 함수를 VPC에 연결하는 탄력적 네트워크 인터페이스를 관리하기 위한 [AWS Lambda 실행 역할](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) 권한입니다. 충분한 수의 네트워크 인터페이스 및 IP 주소를 사용할 수 있는지 확인합니다.
+ `AmazonAthenaFullAccess` – [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 관리형 정책은 Athena에 대한 모든 액세스 권한을 부여합니다.
+ Lambda 함수가 S3에 쓸 수 있도록 허용하고 Athena가 S3에서 읽을 수 있도록 허용하는 Amazon S3 정책입니다.
예를 들어 다음 정책은 유출 위치 `s3:\\mybucket\spill`에 대한 권한을 정의합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
IAM 정책을 사용할 때는 항상 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## Lambda 함수 생성
사용자 계정에서 Lambda 함수를 만들려면 함수 개발 권한 또는 `AWSLambdaFullAccess` 역할이 필요합니다. 자세한 내용은 [AWS Lambda에 대한 자격 증명 기반 IAM 정책](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html)을 참조하세요.
Athena는 AWS Serverless Application Repository를 사용해 Lambda 함수를 생성하기 때문에 Lambda 함수를 생성하는 슈퍼 사용자 또는 관리자는 [Athena 연합 쿼리를 허용할](federated-query-iam-access.md) IAM 정책도 보유해야 합니다.
## 카탈로그 등록 및 메타데이터 API 작업을 위한 권한 구성
카탈로그 등록 및 메타데이터 작업에 대한 API 액세스에는 [AmazonAthenaFullAccess 관리형 정책](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)을 사용할 수 있습니다. `AmazonAthenaFullAccess` 정책을 사용하지 않는 경우에는 다음 API 작업을 Athena 정책에 추가하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## 여러 리전에서 Lambda 함수를 직접적으로 호출
기본적으로 Athena는 동일한 리전에 정의된 Lambda 함수를 호출합니다. Athena 쿼리를 실행 중인 리전 이외의 AWS 리전에서 Lambda 함수를 간접적으로 호출하려면 Lambda 함수의 전체 ARN을 사용합니다.
다음 예제에서는 유럽(프랑크푸르트) 리전의 카탈로그가 미국 동부(버지니아 북부) 리전에서 Lambda 함수를 지정하여 유럽(프랑크푸르트) 리전의 Hive 메타스토어에서 데이터를 가져오는 방법을 보여줍니다.
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
이러한 방식으로 전체 ARN을 지정하면 Athena는 `us-east-1`의 `external-hms-service-new` Lambda 함수를 호출하여 `eu-central-1`에서 Hive 메타스토어 데이터를 가져올 수 있습니다.
**참고**
카탈로그는 Athena 쿼리를 실행하는 데 사용하는 동일한 AWS 리전에 등록되어야 합니다.
## 여러 계정에서 Lambda 함수 호출
경우에 따라 다른 계정에서 Hive 메타스토어에 액세스해야 할 수도 있습니다. 예를 들어 Hive 메타스토어를 실행하기 위해 Athena 쿼리에 사용하는 계정과 다른 계정을 사용할 수도 있습니다. 여러 그룹 또는 팀이 VPC 내에서 여러 계정으로 Hive 메타스토어를 실행할 수도 있습니다. 또는 여러 그룹 또는 팀에서 여러 Hive 메타스토어의 메타데이터에 액세스해야 할 수도 있습니다.
Athena는 [계정 간 액세스에 대한 AWS Lambda 지원](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/)을 사용하여 Hive 메타스토어에 대한 계정 간 액세스를 활성화합니다.
**참고**
Athena에 대한 계정 간 액세스는 일반적으로 Amazon S3의 메타데이터 및 데이터 모두에 대한 계정 간 액세스를 의미합니다.
다음 시나리오를 예로 들겠습니다.
+ 계정 `111122223333`은 EMR 클러스터에서 실행 중인 Hive 메타스토어에 액세스하기 위해 Athena의 us-east-1에 Lambda 함수 `external-hms-service-new`를 설정합니다.
+ 계정 `111122223333`에서 계정 444455556666이 Hive 메타스토어 데이터에 액세스하도록 허용할 수 있습니다.
Lambda 함수 `external-hms-service-new`에 대한 액세스 권한을 계정 `444455556666`에 부여하기 위해 계정 `111122223333`은 다음 AWS CLI `add-permission` 명령을 사용합니다. 명령은 가독성을 위해 형식이 지정되었습니다.
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
Lambda 권한을 확인하려면 다음 예제와 같이 `get-policy` 명령을 사용합니다. 명령은 가독성을 위해 형식이 지정되었습니다.
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
권한을 추가한 후, 카탈로그 `ehms`를 정의할 때 다음과 같이 `us-east-1`에서 Lambda 함수의 전체 ARN을 사용할 수 있습니다.
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
교차 리전 호출에 대한 자세한 내용은 이 주제의 앞부분에 있는 [여러 리전에서 Lambda 함수를 직접적으로 호출](#hive-metastore-iam-access-lambda-cross-region-invocation)을 참조하세요.
### 데이터에 대한 크로스 계정 액세스 권한 부여
Athena 쿼리를 실행하려면 먼저 Amazon S3의 데이터에 대한 계정 간 액세스 권한을 부여해야 합니다. 이 작업을 다음 중 한 가지 방법으로 수행할 수 있습니다.
+ Amazon S3 버킷의 액세스 제어 목록 정책을 [정식 사용자 ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)로 업데이트합니다.
+ 계정 간 액세스를 Amazon S3 버킷 정책에 추가합니다.
예를 들어 다음 정책을 계정 `111122223333`의 Amazon S3 버킷 정책에 추가하여 계정 `444455556666`이 지정된 Amazon S3 위치에서 데이터를 읽을 수 있도록 합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**참고**
데이터뿐만 아니라 Amazon S3 유출 위치에도 Amazon S3에 대한 계정 간 액세스 권한을 부여해야 할 수도 있습니다. 응답 객체의 크기가 지정된 임계값을 초과하면 Lambda 함수는 여분의 데이터를 유출 위치로 분산합니다. 샘플 정책에 대한 이 주제의 시작 부분을 참조하세요.
현재 예제에서, 교차 계정 액세스가 `444455556666,`에 부여된 후 `444455556666`은 자체 `account`의 카탈로그 `ehms`를 사용하여 계정 `111122223333`에 정의된 테이블을 쿼리할 수 있습니다.
다음 예제에서 SQL Workbench 프로필 `perf-test-1`은 계정 `444455556666`에 대한 것입니다. 쿼리는 카탈로그 `ehms`를 사용하여 계정 `111122223333`의 Amazon S3 데이터 및 Hive 메타스토어에 액세스합니다.
![\[SQL Workbench의 여러 계정에서 Hive 메타스토어 및 Amazon S3 데이터에 액세스.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# 커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한
Athena `CreateDataCatalog`를 호출하려면 다음 권한이 있는 역할을 생성해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# Athena 페더레이션 쿼리에 대한 액세스 허용: 정책 예제
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
IAM 자격 증명에 정책을 연결하는 방법에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example - IAM 보안 주체가 Athena 연합 쿼리를 사용하여 쿼리를 실행하고 결과를 반환할 수 있도록 허용합니다.**
다음 자격 증명 기반 권한 정책은 사용자 또는 다른 IAM 보안 주체가 Athena 연합 쿼리를 사용하는 데 필요한 작업을 허용합니다. 이러한 작업을 수행할 수 있는 보안 주체는 연합 데이터 원본과 연결된 Athena 카탈로그를 지정하는 쿼리를 실행할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 연합 쿼리를 실행하는 데 필요한 Athena 권한입니다. |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 페더레이션된 보기 쿼리를 실행하는 데 필요한 Athena 권한입니다. 뷰에는 `GetDataCatalog` 작업이 필요합니다. |
| "lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수에 대한 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출되는 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| `StartQueryExecution`을 실행하는 IAM 보안 주체에 대한 쿼리 출력 버킷에 액세스하려면 `s3:ListBucket` 및 `s3:GetBucketLocation` 권한이 필요합니다. `s3:PutObject`, `s3:ListMultipartUploadParts` 및 `s3:AbortMultipartUpload`는 `arn:aws:s3:::MyQueryResultsBucket/*` 리소스 식별자에 지정된 대로 쿼리 결과 버킷의 모든 하위 폴더에 쿼리 결과를 작성하도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 섹션을 참조하세요. `s3:GetObject`는 `arn:aws:s3:::MyQueryResultsBucket`으로 지정된 리소스에 대한 쿼리 결과 및 쿼리 기록을 읽을 수 있도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 또한 `s3:GetObject`는 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`로 지정된 리소스에서 읽을 수 있도록 허용합니다. 여기서 *MyLambdaSpillPrefix*는 호출되는 Lambda 함수의 구성에서 지정됩니다. |
**Example - IAM 보안 주체가 데이터 원본 커넥터를 생성하도록 허용합니다.**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 리소스로 나열된 Lambda 함수의 생성 및 관리를 허용합니다. 이 예제에서는 이름 접두사가 리소스 식별자 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`에 사용됩니다. 여기서 `MyAthenaLambdaFunctionsPrefix`는 Lambda 함수 그룹의 이름에 사용되는 공유 접두사이므로 리소스로 개별적으로 지정할 필요가 없습니다. 하나 이상의 Lambda 함수 리소스를 지정할 수 있습니다. |
| "s3:GetObject"
| 리소스 식별자 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1에 지정된 대로 AWS Serverless Application Repository이 요구하는 버킷을 읽을 수 있습니다. 이 버킷은 사용자 계정에만 해당될 수 있습니다. |
| "cloudformation:*"
| `MyCFStackPrefix` 리소스에 의해 지정된 CloudFormation 스택의 생성 및 관리를 허용합니다. 이러한 스택 및 스택 세트는 AWS Serverless Application Repository이 커넥터와 UDF를 배포하는 방법입니다. |
| "serverlessrepo:*"
| AWS Serverless Application Repository에서 리소스 식별자 arn:aws:serverlessrepo:\$1:\$1:applications/\$1로 지정된 애플리케이션을 검색하고 보고 게시 및 업데이트할 수 있습니다. |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| 생성된 Lambda 함수가 페더레이션 커넥터 ECR 이미지에 액세스할 수 있도록 허용합니다. |
# Athena UDF에 대한 액세스 허용: 정책 예제
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 유사한 권한 정책을 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example - IAM 보안 주체가 Athena UDF 문을 포함한 쿼리를 실행하고 결과를 반환하도록 허용합니다.**
다음 자격 증명 기반 권한 정책은 사용자 또는 다른 IAM 보안 주체가 Athena UDF 문을 사용하는 쿼리를 실행하는 데 필요한 작업을 허용합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| `MyAthenaWorkGroup` 작업 그룹에서 쿼리를 실행하는 데 필요한 Athena 권한입니다. |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject` 및 `s3:AbortMultipartUpload`는 `arn:aws:s3:::MyQueryResultsBucket/*` 리소스 식별자에 지정된 대로 쿼리 결과 버킷의 모든 하위 폴더에 쿼리 결과를 작성하도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요. `s3:GetObject`는 `arn:aws:s3:::MyQueryResultsBucket`으로 지정된 리소스에 대한 쿼리 결과 및 쿼리 기록을 읽을 수 있도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요. 또한 `s3:GetObject`는 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`로 지정된 리소스에서 읽을 수 있도록 허용합니다. 여기서 *MyLambdaSpillPrefix*는 호출되는 Lambda 함수의 구성에서 지정됩니다. |
| "lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출할 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
**Example - IAM 보안 주체가 Athena UDF를 생성할 수 있도록 허용합니다.**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 리소스로 나열된 Lambda 함수의 생성 및 관리를 허용합니다. 이 예제에서는 이름 접두사가 리소스 식별자 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`에 사용됩니다. 여기서 *MyAthenaLambdaFunctionsPrefix*는 Lambda 함수 그룹의 이름에 사용되는 공유 접두사이므로 리소스로 개별적으로 지정할 필요가 없습니다. 하나 이상의 Lambda 함수 리소스를 지정할 수 있습니다. |
| "s3:GetObject"
| 리소스 식별자 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1에 지정된 대로 AWS Serverless Application Repository이 요구하는 버킷을 읽을 수 있습니다. |
| "cloudformation:*"
| *MyCFStackPrefix* 리소스에 의해 지정된 CloudFormation 스택의 생성 및 관리를 허용합니다. 이러한 스택 및 스택 세트는 AWS Serverless Application Repository이 커넥터와 UDF를 배포하는 방법입니다. |
| "serverlessrepo:*"
| AWS Serverless Application Repository에서 리소스 식별자 arn:aws:serverlessrepo:\$1:\$1:applications/\$1로 지정된 애플리케이션을 검색하고 보고 게시 및 업데이트할 수 있습니다. |
# Athena를 통한 ML에 액세스 허용
Athena ML 쿼리를 실행하는 IAM 보안 주체는 자신이 사용하는 Sagemaker 엔드포인트 대한 `sagemaker:invokeEndpoint` 작업을 수행할 수 있어야 합니다. 사용자 자격 증명에 연결된 ID 기반 권한 정책에 다음과 유사한 정책 문을 포함합니다. 또한 Athena 작업에 대한 전체 액세스 권한을 부여하는 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), 또는 작업의 하위 집합을 허용하는 수정된 인라인 정책을 연결합니다.
예제에서 `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint`를 쿼리에 사용할 모델 엔드포인트의 ARN 또는 ARN으로 바꿉니다. 자세한 내용은 *서비스 권한 부여 참조*에서 [SageMaker AI에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)를 참조하세요.
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
# Athena API에 대한 페더레이션 액세스 활성화
이 단원에서는 조직의 사용자 또는 클라이언트 애플리케이션이 Amazon Athena API 작업을 호출하는 데 사용할 수 있는 연합 액세스에 대해 설명합니다. 이 경우 조직의 사용자는 Athena에 직접 액세스할 수 없습니다. 그 대신, Microsoft Active Directory에서 AWS 외부의 사용자 자격 증명을 관리합니다. Active Directory는 [SAML 2.0](https://wiki.oasis-open.org/security)(Security Assertion Markup Language 2.0)를 지원합니다.
이 시나리오에서 사용자를 인증하려면 Active Directory Federation Services(ADFS) 3.0에 액세스하고 Athena API 작업 호출을 위해 클라이언트 애플리케이션을 활성화하는 SAML.2.0 지원이 포함된 JDBC 또는 ODBC 드라이버를 사용합니다.
AWS에서 SAML 2.0 지원에 대한 자세한 내용은 *IAM 사용 설명서*에서 [SAML 2.0 연합에 대하여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)를 참조하세요.
**참고**
Athena API에 대한 연합 액세스는 특정 유형의 자격 증명 공급자(IdP)인 Active Directory Federation Service(AD FS 3.0)(Windows Server의 일부)에 대해 지원됩니다. 연동 액세스는 IAM Identity Center의 신뢰할 수 있는 ID 전파 기능과 호환되지 않습니다. 액세스는 SAML 2.0을 지원하는 JDBC 또는 ODBC 드라이버 버전을 통해 설정됩니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
**Topics**
+ [시작하기 전 준비 사항](#access-federation-before-you-begin)
+ [인증 프로세스 이해](#access-federation-diagram)
+ [절차: Athena API에 대한 SAML 기반 페더레이션 액세스 활성화](#access-federation-procedure)
## 시작하기 전 준비 사항
시작하기 전에 다음 필수 조건을 완료합니다.
+ 조직 내부에서 AD FS 3.0을 설치하고 IdP로 구성합니다.
+ Athena 액세스에 사용되는 클라이언트에 JDBC 또는 ODBC 드라이버의 최신 버전을 설치하고 구성합니다. 드라이버는 SAML 2.0과 호환되는 연합 액세스에 대한 지원을 포함해야 합니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
## 인증 프로세스 이해
다음 다이어그램은 Athena API에 대한 페더레이션 액세스의 인증 프로세스를 보여줍니다.
![\[Athena API에 대한 페더레이션 액세스의 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/athena-saml-based-federation.png)
1. 조직 내 사용자는 클라이언트 애플리케이션을 JDBC 또는 ODBC 드라이버와 함께 사용하여 조직의 IdP에게 인증을 요청합니다. IdP는 AD FS 3.0입니다.
1. IdP는 조직의 자격 증명 스토어인 Active Directory에 대해 사용자를 인증합니다.
1. IdP는 사용자에 대한 정보로 SAML 어설션을 구성하여 JDBC 또는 ODBC 드라이버를 통해 클라이언트 애플리케이션에 전송합니다.
1. JDBC 또는 ODBC 드라이버는 AWS Security Token Service [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 작업을 호출하여 이 작업에 다음 파라미터를 전달합니다.
+ SAML 공급자의 ARN
+ 수임할 역할의 ARN
+ IdP의 SAML 어설션
자세한 내용은 *AWS Security Token Service API 참조*의 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)을 참조하세요.
1. JDBC 또는 ODBC 드라이버를 통해 클라이언트 애플리케이션으로 보내는 API 응답에는 임시 보안 자격 증명이 포함됩니다.
1. 클라이언트 애플리케이션은 사용자가 Athena API 작업에 액세스할 수 있도록 임시 보안 자격 증명을 사용하여 Athena API 작업을 호출합니다.
## 절차: Athena API에 대한 SAML 기반 페더레이션 액세스 활성화
이 절차에서는 조직의 IdP와 AWS 계정 간에 신뢰를 확립하여 Amazon Athena API 작업에 대한 SAML 기반 연합 액세스를 활성화합니다.
**Athena API에 대한 연합 액세스를 활성화하려면:**
1. 조직에서 AWS를 IdP의 서비스 공급자(SP)로 등록합니다. 이 프로세스를 *신뢰 당사자 신뢰*라고 합니다. 자세한 내용은 *IAM 사용 설명서*의 [신뢰 당사자 신뢰로 SAML 2.0 IdP 구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html)을 참조하세요. 이 작업의 일부로 다음 단계를 수행합니다.
1. 다음 URL에서 샘플 SAML 메타데이터 문서를 가져옵니다. [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
1. 조직의 IdP(ADFS)에서 IdP를 AWS에 대한 자격 증명 공급자로 설명하는 동등한 메타데이터 XML 파일을 생성합니다. 메타데이터 파일에는 발행자 이름, 생성 날짜, 만료 날짜 및 AWS가 조직에서 오는 인증 응답의 유효성을 검증하는 데 사용할 수 있는 키가 포함되어야 합니다.
1. IAM 콘솔에서 SAML 자격 증명 공급자 개체를 생성합니다. 자세한 내용은 *IAM 사용 설명서*의 [SAML 자격 증명 공급자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)을 참조하세요. 이 단계의 일부로 다음을 포함합니다.
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 이 절차에서 1단계의 IdP(ADFS)가 생성한 SAML 메타데이터 문서를 업로드합니다.
1. IAM 콘솔에서 IdP에 대해 하나 이상의 IAM 역할을 생성합니다. 자세한 내용은 *IAM 사용 설명서*의 [서드 파티 자격 증명 공급자의 역할 만들기(연합)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)을 참조하세요. 이 단계의 일부로 다음을 포함합니다.
+ 역할의 권한 정책에서 조직의 사용자가 AWS에서 수행할 수 있는 작업을 나열합니다.
+ 역할의 신뢰 정책에서 이 절차의 2단계에서 생성한 SAML 공급자 엔터티를 보안 주체로 설정합니다.
이렇게 하면 조직과 AWS 사이에 신뢰 관계가 설정됩니다.
1. 조직의 IdP(ADFS)에서 조직 내 사용자 또는 그룹을 IAM 역할에 매핑하는 어설션을 정의합니다. IAM 역할에 대한 사용자와 그룹의 매핑을 *클레임 규칙(claim rule)*이라고 합니다. 조직의 다양한 사용자 및 그룹은 서로 다른 IAM 역할에 매핑될 수 있다는 점에 유의하세요.
ADFS에서 매핑을 구성하는 방법에 대한 자세한 내용은 [Windows Active Directory, ADFS 및 SAML 2.0을 사용하여 AWS에 대한 연합 활성화](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 블로그 게시물을 참조하세요.
1. SAML 2.0 지원이 포함된 JDBC 또는 ODBC 드라이버를 설치하고 구성합니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
1. 애플리케이션에서 JDBC 또는 ODBC 드라이버로 연결을 지정합니다. 애플리케이션에서 사용해야 할 연결 문자열에 대한 자세한 내용은 *JDBC Driver Installation and Configuration Guide*의 *‘Using the Active Directory Federation Services (ADFS) Credentials Provider’* 또는 *ODBC Driver Installation and Configuration Guide*의 비슷한 주제를 참조하세요. [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 주제에서 PDF로 다운로드할 수 있습니다.
다음은 드라이버에 연결 문자열을 구성하는 방법에 대한 개괄적인 요약입니다.
1. `AwsCredentialsProviderClass configuration`에서 `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider`를 설정하여 ADFS IdP를 통해 SAML 2.0 기반 인증을 사용합니다.
1. `idp_host`에 ADFS IdP 서버의 호스트 이름을 입력합니다.
1. `idp_port`에 ADFS IdP가 SAML 어설션 요청에 대해 수신 대기하는 포트 번호를 입력합니다.
1. `UID` 및 `PWD`에 AD 도메인 사용자 자격 증명을 제공합니다. Windows에서 드라이버를 사용하는 경우 `UID` 및 `PWD`를 입력하지 않으면 드라이버는 Windows 시스템에 로그인한 사용자의 사용자 자격 증명을 가져오려고 합니다.
1. 선택적으로 `ssl_insecure`를 `true`로 설정합니다. 이 경우 드라이버는 ADFS IdP 서버에 대한 SSL 인증서의 신뢰성을 확인하지 않습니다. 드라이버에서 신뢰할 수 있도록 ADFS IdP의 SSL 인증서를 구성하지 않은 경우 `true`로 설정해야 합니다.
1. 하나 이상의 IAM 역할에 대한 Active Directory 도메인 사용자 또는 그룹의 매핑을 활성화하려면(이 절차의 4단계에서 언급함) JDBC 또는 ODBC 연결에 대한 `preferred_role`에서 드라이버 연결을 수임할 IAM 역할(ARN)을 지정합니다. `preferred_role` 지정은 선택 사항이며 역할이 클레임 규칙에 나열된 첫 번째 역할이 아닌 경우에 유용합니다.
이 절차를 수행하면 다음 작업이 수행됩니다.
1. JDBC 또는 ODBC 드라이버가 AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API를 호출하고 [아키텍처 다이어그램](#access-federation-diagram)의 4단계와 같이 이 API에 어설션을 전달합니다.
1. AWS는 역할 수임 요청이 SAML 공급자 엔터티에서 참조된 IdP로부터 오는지 확인합니다.
1. 요청이 성공하면 AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 작업은 일련의 임시 보안 자격 증명을 반환하고 클라이언트 애플리케이션은 이 자격 증명을 사용하여 Athena에 대한 서명된 요청을 생성합니다.
이제 애플리케이션은 현재 사용자에 대한 정보를 갖추었으며 프로그래밍 방식으로 Athena에 액세스할 수 있습니다.