기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# LF 태그 생성자 추가
기본적으로 데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, Data Catalog 객체에 태그를 할당하고, 보안 주체에 태그 권한을 부여할 수 있습니다. 태그 생성 및 관리 작업을 관리자가 아닌 보안 주체에 위임하려는 경우 데이터 레이크 관리자는 LF 태그 생성자 역할을 생성하고 해당 역할에 Lake Formation `Create LF-Tag` 권한을 부여할 수 있습니다. LF 태그 생성자는 부여 가능한 `Create LF-Tag` 권한을 통해 태그 생성 및 유지 관리 작업을 다른 비관리 보안 주체에 위임할 수 있습니다.
데이터 레이크 관리자가 데이터 카탈로그 리소스에 LF 태그를 할당하려면 직접 생성하지 않은 스스로 LF 태그에 대한 연결 권한을 부여해야 합니다.
**참고**
교차 계정 권한 부여에는 `Describe` 및 `Associate` 권한만 포함될 수 있습니다. 다른 계정의 보안 주체에는 `Create LF-Tag`, `Drop`, `Alter` 및 `Grant with LFTag expressions` 권한을 부여할 수 없습니다.
**Topics**
+ [LF 태그 생성에 필요한 IAM 권한](#tag-creator-permissions)
+ [LF 태그 생성자 추가](#add-lf-tag-creator)
**다음 사항도 참조하세요.**
[LF 태그 값 권한 관리](TBAC-granting-tags.md)
[LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여](granting-catalog-perms-TBAC.md)
[Lake Formation 태그 기반 액세스 제어](tag-based-access-control.md)
## LF 태그 생성에 필요한 IAM 권한
Lake Formation 보안 주체가 LF 태그를 생성하도록 권한을 구성해야 합니다. LF 태그 생성자가 되어야 하는 보안 주체에 대한 권한 정책에 다음 문을 추가합니다.
**참고**
데이터 레이크 관리자는 LF 태그를 생성, 업데이트 및 삭제하고, 리소스에 LF 태그를 할당하고, 보안 주체에 LF 태그를 부여할 수 있는 암시적인 Lake Formation 권한을 가지고 있지만 다음과 같은 IAM 권한도 필요합니다.
자세한 내용은 [Lake Formation 페르소나 및 IAM 권한 참조](permissions-reference.md) 단원을 참조하십시오.
```
{
"Sid": "Transformational",
"Effect": "Allow",
"Action": [
"lakeformation:AddLFTagsToResource",
"lakeformation:RemoveLFTagsFromResource",
"lakeformation:GetResourceLFTags",
"lakeformation:ListLFTags",
"lakeformation:CreateLFTag",
"lakeformation:GetLFTag",
"lakeformation:UpdateLFTag",
"lakeformation:DeleteLFTag",
"lakeformation:SearchTablesByLFTags",
"lakeformation:SearchDatabasesByLFTags"
]
}
```
리소스에 LF 태그를 할당하고 보안 주체에 LF 태그를 부여하는 보안 주체는 `CreateLFTag`, `UpdateLFTag` 및 `DeleteLFTag` 권한을 제외하고 동일한 권한을 보유해야 합니다.
## LF 태그 생성자 추가
LF 태그 생성자는 LF 태그를 생성하고, 태그 키와 값을 업데이트하고, 태그를 삭제하고, 태그를 데이터 카탈로그 리소스에 연결하고, LF-TBAC 방법을 사용하여 데이터 카탈로그 리소스에 대한 권한을 보안 주체에 부여할 수 있습니다. LF 태그 생성자는 이러한 권한을 보안 주체에 부여할 수도 있습니다.
AWS Lake Formation 콘솔, API 또는 AWS Command Line Interface ()를 사용하여 LF 태그 생성자 역할을 생성할 수 있습니다AWS CLI.
------
#### [ console ]
**LF 태그 생성자를 추가하려면**
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))을 엽니다.
데이터 레이크 관리자로 로그인합니다.
1. 탐색 창의 **권한**에서 **LF 태그 및 권한**을 선택합니다.
**LF 태그 및 권한** 페이지에서 **LF 태그 생성자** 섹션을 선택하고 **LF 태그 생성자 추가**를 선택합니다.
1. **LF 태그 생성자 추가** 페이지에서 LF 태그를 생성하는 데 필요한 권한을 가진 IAM 역할 또는 사용자를 선택합니다.
1. `Create LF-Tag` 권한 확인란을 활성화합니다.
1. (선택 사항) 선택한 보안 주체가 보안 주체에 `Create LF-Tag` 권한을 부여할 수 있도록 하려면 부여 가능한 `Create LF-Tag` 권한을 선택합니다.
1. **추가**를 선택합니다.
------
#### [ AWS CLI ]
```
aws lakeformation grant-permissions --cli-input-json file://grantCreate
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::123456789012:user/tag-manager"
},
"Resource": {
"Catalog": {}
},
"Permissions": [
"CreateLFTag"
],
"PermissionsWithGrantOption": [
"CreateLFTag"
]
}
```
------
LF 태그 생성자 역할에 사용할 수 있는 권한은 다음과 같습니다.
| 권한 | 설명 |
| --- | --- |
| Drop | LF 태그에 대한 이 권한이 있는 보안 주체는 데이터 레이크에서 LF 태그를 삭제할 수 있습니다. 보안 주체는 LF 태그 리소스의 모든 태그 값에 대한 암시적 Describe 권한을 얻습니다. |
| Alter | LF 태그에 대한 이 권한이 있는 보안 주체는 LF 태그에 태그 값을 추가하거나 LF 태그에서 태그 값을 제거할 수 있습니다. 보안 주체는 LF 태그의 모든 태그 값에 대한 암시적 Alter 권한을 얻습니다. |
| Describe | LF 태그에 대한 이 권한을 가진 보안 주체는 LF 태그를 리소스에 할당하거나 LF 태그에 대한 권한을 부여할 때 LF 태그와 그 값을 볼 수 있습니다. 모든 키 값 또는 특정 값에 대해 Describe 권한을 부여할 수 있습니다. |
| Associate | LF 태그에 대해 이 권한이 있는 보안 주체는 LF 태그를 데이터 카탈로그 리소스에 할당할 수 있습니다. Associate 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다. |
| Grant with LF-Tag expression | LF 태그에 대해 이 권한이 있는 보안 주체는 LF 태그 키 및 값을 사용하여 데이터 카탈로그 리소스에 대한 권한을 부여할 수 있습니다. Grant with LF-Tag expression 권한을 부여하면 암시적으로 Describe 권한이 부여됩니다. |
이러한 권한은 부여가 가능합니다. 권한 부여 옵션을 통해 이러한 권한을 부여받은 보안 주체는 다른 보안 주체에 해당 권한을 부여할 수 있습니다.