사전 조건 - AWS Glue
필수 IAM 권한IAM 정책 예시

사전 조건

AWS Glue Data Catalog에서 S3 Tables에 대한 페더레이션 카탈로그를 생성하기 전에 IAM 위탁자(사용자 또는 역할)에게 필요한 권한이 있는지 확인합니다.

필수 IAM 권한

S3 Tables 통합을 활성화하려면 IAM 위탁자에게 다음 권한이 필요합니다.

AWS Glue 권한:

  • glue:CreateCatalog - s3tablescatalog 페더레이션 카탈로그를 생성하는 데 필요합니다.

  • glue:GetCatalog - 카탈로그 세부 정보를 보는 데 필요합니다.

  • glue:GetDatabase - S3 네임스페이스를 데이터베이스로 보는 데 필요합니다.

  • glue:GetTable - S3 테이블을 보는 데 필요합니다.

  • glue:passConnection - 직접적으로 호출하는 위탁자에게 AWS Glue 서비스에 대한 aws:s3tables 연결을 위임할 수 있는 권한을 부여합니다.

S3 Tables 권한(IAM 액세스 제어용):

  • s3tables:CreateTableBucket

  • s3tables:GetTableBucket

  • s3tables:CreateNamespace

  • s3tables:GetNamespace

  • s3tables:ListNamespaces

  • s3tables:CreateTable

  • s3tables:GetTable

  • s3tables:ListTables

  • s3tables:UpdateTableMetadataLocation

  • s3tables:GetTableMetadataLocation

  • s3tables:GetTableData

  • s3tables:PutTableData

IAM 정책 예시

다음 IAM 정책은 IAM 모드에서 Data Catalog와의 S3 Tables 통합을 활성화하는 데 필요한 최소 권한을 제공합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "GlueDataCatalogPermissions",
      "Effect": "Allow",
      "Action": [
        "glue:CreateCatalog",
        "glue:GetCatalog",
        "glue:GetDatabase",
        "glue:GetTable"
      ],
      "Resource": [
        "arn:aws:glue:region:account-id:catalog/s3tablescatalog",
        "arn:aws:glue:region:account-id:database/s3tablescatalog/*/*",
        "arn:aws:glue:region:account-id:table/s3tablescatalog/*/*/*"
      ]
    },
    {
      "Sid": "S3TablesDataAccessPermissions",
      "Effect": "Allow",
      "Action": [
        "s3tables:GetTableBucket",
        "s3tables:GetNamespace",
        "s3tables:GetTable",
        "s3tables:GetTableMetadataLocation",
        "s3tables:GetTableData"
      ],
      "Resource": [
        "arn:aws:s3tables:region:account-id:bucket/*",
        "arn:aws:s3tables:region:account-id:bucket/*/table/*"
      ]
    }
  ]
}