기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon DataZone에 대한 Lake Formation 권한 구성
기본 제공 데이터 레이크 블루프린트(**DefaultDataLake**)를 사용하여 환경을 생성하면이 환경 생성 프로세스의 일부로 Amazon DataZone에 AWS Glue 데이터베이스가 추가됩니다. 이 AWS Glue 데이터베이스에서 자산을 게시하려는 경우 추가 권한이 필요하지 않습니다.
그러나 자산을 게시하고 Amazon DataZone 환경 외부에 있는 AWS Glue 데이터베이스의 자산을 구독하려면 Amazon DataZone에이 외부 AWS Glue 데이터베이스의 테이블에 액세스할 수 있는 권한을 명시적으로 제공해야 합니다. 이렇게 하려면 AWS Lake Formation에서 다음 설정을 완료하고 필요한 Lake Formation 권한을 [AmazonDataZoneGlueAccess--](glue-manage-access-role.md)에 연결해야 합니다.
+ AWS Lake Formation 권한 모드 또는 **하이브리드 액세스 모드를** 사용하여 **Lake Formation**에서 데이터 레이크의 Amazon S3 위치를 구성합니다. 자세한 내용은 [https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)을 참조하세요.
+ Amazon DataZone이 `IAMAllowedPrincipals` 권한을 처리하는 Amazon Lake Formation 테이블에서 권한을 제거합니다. 자세한 내용은 [https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation-background.html](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation-background.html)을 참조하세요.
+ [AmazonDataZoneGlueAccess--](glue-manage-access-role.md)다음 AWS Lake Formation 권한을에 연결합니다.
+ 테이블이 있는 데이터베이스에 대한 `Describe` 및 `Describe grantable` 권한
+ DataZone이 사용자를 대신하여 액세스를 관리하도록 하려는 위 데이터베이스의 모든 테이블에 대한 `Describe`, `Select`, `Describe Grantable`, `Select Grantable` 권한.
**참고**
Amazon DataZone은 AWS Lake Formation Hybrid 모드를 지원합니다. Lake Formation 하이브리드 모드를 사용하면 Lake Formation을 통해 AWS Glue 데이터베이스 및 테이블에 대한 권한 관리를 시작하는 동시에 이러한 테이블 및 데이터베이스에 대한 기존 IAM 권한을 계속 유지할 수 있습니다. 자세한 내용은 [AWS Lake Formation 하이브리드 모드와 Amazon DataZone 통합](hybrid-mode.md) 섹션을 참조하세요.
자세한 내용은 [Amazon DataZone에 대한 AWS Lake Formation 권한 문제 해결](troubleshooting-datazone.md#troubleshooting-lake-formation-permissions) 단원을 참조하십시오.
# AWS Lake Formation 하이브리드 모드와 Amazon DataZone 통합
Amazon DataZone은 AWS Lake Formation 하이브리드 모드와 통합됩니다. 이 통합을 통해 먼저 AWS Lake Formation에 등록할 필요 없이 Amazon DataZone을 통해 AWS Glue 테이블을 쉽게 게시하고 공유할 수 있습니다. 하이브리드 모드를 사용하면 AWS Lake Formation을 통해 AWS Glue 테이블에 대한 권한 관리를 시작하는 동시에 이러한 테이블에 대한 기존 IAM 권한을 계속 유지할 수 있습니다.
시작하려면 Amazon DataZone 관리 콘솔의 **DefaultDataLake** 블루프린트에서 **데이터 위치 등록** 설정을 활성화할 수 있습니다.
**AWS Lake Formation 하이브리드 모드와의 통합 활성화**
1. [https://console.aws.amazon.com/datazone](https://console.aws.amazon.com/datazone)에서 Amazon DataZone 콘솔로 이동하여 계정 자격 증명으로 로그인합니다.
1. **도메인 보기를** 선택하고 AWS Lake Formation 하이브리드 모드와의 통합을 활성화하려는 도메인을 선택합니다.
1. 도메인 세부 정보 페이지에서 **블루프린트** 탭으로 이동합니다.
1. **블루프린트** 목록에서 **DefaultDataLake** 블루프린트를 선택합니다.
1. DefaultDataLake 블루프린트가 활성화되어 있는지 확인합니다. 활성화되지 않은 경우 [Amazon DataZone 도메인을 소유한 AWS 계정에서 기본 제공 블루프린트 활성화](working-with-blueprints.md#enable-default-blueprint)의 단계에 따라 AWS 계정에서 활성화하세요.
1. DefaultDataLake 세부 정보 페이지에서 **프로비저닝** 탭을 열고 페이지 오른쪽 상단 모서리에 있는 **편집** 버튼을 선택합니다.
1. **데이터 위치 등록**에서 데이터 위치 등록을 활성화하려면 확인란을 선택합니다.
1. 데이터 위치 관리 역할의 경우 새 IAM 역할을 생성하거나 기존 IAM 역할을 선택할 수 있습니다. Amazon DataZone은이 역할을 사용하여 AWS Lake Formation 하이브리드 액세스 모드를 사용하여 Data Lake에 대해 선택한 Amazon S3 버킷(들)에 대한 읽기/쓰기 액세스를 관리합니다. 자세한 내용은 [AmazonDataZoneS3Manage--](AmazonDataZoneS3Manage.md) 단원을 참조하십시오.
1. 선택적으로 Amazon DataZone이 하이브리드 모드에서 자동으로 등록하지 않도록 하려면 특정 Amazon S3 위치를 제외하도록 선택할 수 있습니다. 이를 위해서는 다음 단계를 완료하세요.
+ 토글 버튼을 선택하여 지정된 Amazon S3 위치를 제외합니다.
+ 삭제할 Amazon S3 버킷의 URL를 제공합니다.
+ 버킷을 추가하려면 **S3 위치 추가**를 선택합니다.
**참고**
Amazon DataZone은 루트 S3 위치만 제외할 수 있습니다. 루트 S3 위치 경로 내의 모든 S3 위치는 자동으로 등록에서 제외됩니다.
+ **변경 사항 저장**을 선택합니다.
계정 AWS 에서 데이터 위치 등록 설정을 활성화한 후 데이터 소비자가 IAM 권한을 통해 관리되는 AWS Glue 테이블을 구독하면 Amazon DataZone은 먼저이 테이블의 Amazon S3 위치를 하이브리드 모드로 등록한 다음 AWS Lake Formation을 통해 테이블에 대한 권한을 관리하여 데이터 소비자에게 액세스 권한을 부여합니다. 이렇게 하면 기존 워크플로를 중단하지 않고 새로 부여된 AWS Lake Formation 권한으로 테이블에 대한 IAM 권한이 계속 존재합니다.
## Amazon DataZone에서 AWS Lake Formation 하이브리드 모드 통합을 활성화할 때 암호화된 Amazon S3 위치를 처리하는 방법
고객 관리형 또는 AWS 관리형 KMS 키로 암호화된 Amazon S3 위치를 사용하는 경우 **AmazonDataZoneS3Manage** 역할에는 KMS 키를 사용하여 데이터를 암호화하고 복호화할 수 있는 권한이 있거나 KMS 키 정책이 역할에 키에 대한 권한을 부여해야 합니다.
Amazon S3 위치가 AWS 관리형 키로 암호화된 경우 **AmazonDataZoneDataLocationManagement** 역할에 다음 인라인 정책을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Amazon S3 위치가 고객 관리형 키로 암호화된 경우 다음을 수행합니다.
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 열고 Identity and Access Management(IAM) 관리 사용자 또는 위치를 암호화하는 데 사용되는 KMS 키의 키 정책을 수정할 수 있는 사용자로 로그인 AWS 합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택한 다음 원하는 KMS 키의 이름을 선택합니다.
1. KMS 키 세부 정보 페이지에서 **키 정책** 탭을 선택한 다음 다음 중 하나를 수행하여 사용자 지정 역할 또는 Lake Formation 서비스 연결 역할을 KMS 키 사용자로 추가합니다.
+ 기본 보기가 표시되는 경우(키 관리자, 키 삭제, 키 사용자 및 기타 AWS 계정 섹션 포함) - **키 사용자** 섹션에서 **AmazonDataZoneDataLocationManagement** 역할을 추가합니다.
+ 키 정책(JSON)이 표시되는 경우 다음 예제와 같이 정책을 편집하여 객체 '키 사용 허용'에 **AmazonDataZoneDataLocationManagement** 역할을 추가합니다.
```
...
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/service-role/AmazonDataZoneDataLocationManage--"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
...
```
**참고**
KMS 키 또는 Amazon S3 위치가 데이터 카탈로그와 동일한 AWS 계정에 있지 않은 경우 [계정 간에 AWS 암호화된 Amazon S3 위치 등록](https://docs.aws.amazon.com/lake-formation/latest/dg/register-cross-encrypted.html)의 지침을 따릅니다.