기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 이벤트 데이터 스토어 페더레이션
<a name="query-federation"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

이벤트 데이터 스토어를 연동하면 [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 AWS Glue 보고, 데이터 카탈로그를에 등록하고 AWS Lake Formation, Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다.

CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html) API 작업을 사용하여 페더레이션을 활성화할 수 있습니다. Lake 쿼리 페더레이션을 활성화하면 CloudTrail은 AWS Glue 데이터 카탈로그에 라는 관리형 데이터베이스`aws:cloudtrail`(데이터베이스가 아직 없는 경우)와 관리형 페더레이션 테이블을 생성합니다. 이벤트 데이터 스토어 ID는 테이블 이름에 사용됩니다. CloudTrail은 데이터 카탈로그의 페더레이션 리소스에 대한 세분화된 액세스 제어를 허용하는 서비스[AWS Lake Formation](query-federation-lake-formation.md)인에 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 등록합니다.

Lake 쿼리 페더레이션 활성화하려면 새 IAM 역할을 생성하거나 기존 역할을 선택해야 합니다. Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어의 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail에서 자동으로 역할에 필요한 권한을 생성합니다. 기존 역할을 선택하는 경우 해당 역할이 [최소 권한](#query-federation-permissions-role)을 제공하는지 확인합니다.

CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html) API 작업을 사용하여 페더레이션을 비활성화할 수 있습니다. 페더레이션을 비활성화하면 CloudTrail은 AWS Glue AWS Lake Formation및 Amazon Athena와의 통합을 비활성화합니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 이벤트 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화해도 CloudTrail Lake 데이터는 삭제되지 않으며 CloudTrail Lake에서 쿼리를 계속 실행할 수 있습니다.

CloudTrail Lake 이벤트 데이터 스토어 페더레이션에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 [Amazon Athena 요금](https://aws.amazon.com/athena/pricing/)을 참조하세요.

[![AWS Videos](http://img.youtube.com/vi/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg/0.jpg)](http://www.youtube.com/watch?v=cOeZaJt_k-w?si=4LsEgq23NNHSJAAg)


**Topics**
+ [고려 사항](#query-federation-considerations)
+ [페더레이션에 필요한 권한](#query-federation-permissions)
+ [Lake 쿼리 페더레이션 활성화](query-enable-federation.md)
+ [Lake 쿼리 페더레이션 비활성화](query-disable-federation.md)
+ [를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation](query-federation-lake-formation.md)

## 고려 사항
<a name="query-federation-considerations"></a>

이벤트 데이터 스토어를 페더레이션할 때는 다음 사항을 고려하세요.
+ CloudTrail Lake 이벤트 데이터 스토어 페더레이션에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 [Amazon Athena 요금](https://aws.amazon.com/athena/pricing/)을 참조하세요.
+ Lake Formation은 페더레이션 리소스에 대한 권한을 관리하는 데 사용됩니다. 페더레이션 역할을 삭제하거나 Lake Formation에서 리소스에 대한 권한을 취소하거나 Athena에서 쿼리 AWS Glue를 실행할 수 없습니다. Lake Formation 작업에 대한 자세한 내용은 [를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation](query-federation-lake-formation.md) 섹션을 참조하세요.
+ Amazon Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리하는 사용자는 `lakeformation:GetDataAccess` 작업을 허용하는 IAM 권한 정책이 있어야 합니다. AWS 관리형 정책:는이 작업을 [https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy) 허용합니다. 인라인 정책을 사용하는 경우 이 작업을 허용하도록 권한 정책을 업데이트하세요. 자세한 내용은 [Lake Formation 및 Athena 사용자 권한 관리](https://docs.aws.amazon.com/athena/latest/ug/lf-athena-user-permissions.html)를 참조하세요.
+ Athena에서 페더레이션 테이블에 대한 뷰를 생성하려면 `aws:cloudtrail` 이외의 대상 데이터베이스가 필요합니다. 이는 `aws:cloudtrail` 데이터베이스가 CloudTrail에서 관리되기 때문입니다.
+ Amazon Quick에서 데이터 세트를 생성하려면 **사용자 지정 SQL 사용** 옵션을 선택해야 합니다. 자세한 내용은 [Amazon Athena 데이터를 사용하여 데이터 세트 생성](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html)을 참조하십시오.
+ 페더레이션이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 페더레이션 이벤트 데이터 스토어를 삭제하려면 먼저 페더레이션 및 [종료 방지 기능](query-eds-termination-protection.md)이 활성화된 경우 [비활성화](query-disable-federation.md)해야 합니다.
+ 조직 이벤트 데이터 스토어에는 다음 고려 사항이 적용됩니다.
  + 위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 [Lake Formation 데이터 공유 기능](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)을 사용하여 계속해서 정보를 쿼리하고 공유할 수 있습니다.
  + 위임된 관리자 계정이나 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.

## 페더레이션에 필요한 권한
<a name="query-federation-permissions"></a>

이벤트 데이터 스토어를 페더레이션하기 전에 페더레이션 역할과 페더레이션 활성화 및 비활성화에 필요한 모든 권한이 있는지 확인합니다. 페더레이션을 활성화하기 위해 기존 IAM 역할을 선택한 경우 페더레이션 역할 권한을 업데이트하기만 하면 됩니다. CloudTrail 콘솔을 사용하여 새 IAM 역할을 생성하기로 선택한 경우 CloudTrail은 역할에 필요한 모든 권한을 제공합니다.

**Topics**
+ [이벤트 데이터 스토어 페더레이션을 위한 IAM 권한](#query-federation-permissions-role)
+ [페더레이션 활성화에 필요한 권한](#query-federation-permissions-enable)
+ [페더레이션 비활성화에 필요한 권한](#query-federation-permissions-disable)

### 이벤트 데이터 스토어 페더레이션을 위한 IAM 권한
<a name="query-federation-permissions-role"></a>

페더레이션을 활성화하면 새 IAM 역할을 생성하거나 기존 IAM 역할을 사용할 수 있는 옵션이 제공됩니다. 새 IAM 역할을 선택하면 CloudTrail에서 필요한 권한이 있는 IAM 역할을 생성하므로 별도의 조치가 필요하지 않습니다.

기존 역할을 선택하는 경우 IAM 역할의 정책이 페더레이션 활성화에 필요한 권한을 제공하는지 확인합니다. 이 섹션에서는 필요한 IAM 역할 권한 및 신뢰 정책의 예제를 제공합니다.

다음 예제에서는 페더레이션 역할에 대한 권한 정책을 제공합니다. 첫 번째 문에는 `Resource`에 대한 이벤트 데이터 스토어의 전체 ARN을 제공합니다.

이 정책의 두 번째 문은 Lake Formation이 KMS 키로 암호화된 이벤트 데이터 스토어에 대한 데이터를 복호화하도록 허용합니다. {{key-region}}, {{account-id}} 및 {{key-id}}를 KMS 키의 값으로 바꿉니다. 이벤트 데이터 스토어가 암호화에 KMS 키를 사용하지 않는 경우 이 문을 생략할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFederationEDSDataAccess",
            "Effect": "Allow",
            "Action": "cloudtrail:GetEventDataStoreData",
            "Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
        },
        {
            "Sid": "LakeFederationKMSDecryptAccess",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:{{us-east-1}}:{{111111111111}}:key/{{key-id}}"
        }
    ]
}
```

------

다음 예제에서는 AWS Lake Formation 이 IAM 역할을 수임하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리할 수 있도록 허용하는 IAM 신뢰 정책을 제공합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lakeformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

### 페더레이션 활성화에 필요한 권한
<a name="query-federation-permissions-enable"></a>

다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 활성화하는 데 필요한 최소 권한을 제공합니다. 이 정책은 CloudTrail이 이벤트 데이터 스토어에서 페더레이션을 활성화하고, AWS Glue 데이터 카탈로그에서 페더레이션 리소스를 AWS Glue 생성하고, 리소스 등록을 관리할 AWS Lake Formation 수 있도록 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailEnableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:EnableFederation",
            "Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
        },
        {
            "Sid": "FederationRoleAccess",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole",
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::{{111122223333}}:role/{{federation-role-name}}"
        },
        {
            "Sid": "GlueResourceCreation",
            "Effect": "Allow",
            "Action": [
                "glue:CreateDatabase",
                "glue:CreateTable",
                "glue:PassConnection"
            ],
            "Resource": [
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:catalog",
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:database/aws:cloudtrail",
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:table/aws:cloudtrail/{{eds-id}}",
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:connection/aws:cloudtrail"
            ]
        },
        {
            "Sid": "LakeFormationRegistration",
            "Effect": "Allow",
            "Action": [
                "lakeformation:RegisterResource",
                "lakeformation:DeregisterResource"
            ],
            "Resource": "arn:aws:lakeformation:{{region}}:{{111111111111}}:catalog:{{111111111111}}"
        }
    ]
}
```

------

### 페더레이션 비활성화에 필요한 권한
<a name="query-federation-permissions-disable"></a>

다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 비활성화하는 데 필요한 최소 리소스를 제공합니다. 이 정책은 CloudTrail이 이벤트 데이터 스토어에서 페더레이션을 비활성화 AWS Glue 하고, AWS Glue 데이터 카탈로그에서 관리형 페더레이션 테이블을 삭제하고, Lake Formation이 페더레이션 리소스를 등록 취소하도록 허용합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CloudTrailDisableFederation",
            "Effect": "Allow",
            "Action": "cloudtrail:DisableFederation",
            "Resource": "arn:aws:cloudtrail:{{us-east-1}}:{{111111111111}}:eventdatastore/{{eds-id}}"
        },
        {
            "Sid": "GlueTableDeletion",
            "Effect": "Allow",
            "Action": "glue:DeleteTable",
            "Resource": [
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:catalog",
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:database/aws:cloudtrail",
                "arn:aws:glue:{{us-east-1}}:{{111111111111}}:table/aws:cloudtrail/{{eds-id}}"
            ]
        },
        {
            "Sid": "LakeFormationDeregistration",
            "Effect": "Allow",
            "Action": "lakeformation:DeregisterResource",
            "Resource": "arn:aws:lakeformation:{{us-east-1}}:{{111111111111}}:catalog:{{111111111111}}"
        }
    ]
}
```

------