View a markdown version of this page

데이터 카탈로그와 S3 Tables 통합을 통해 Lake Formation 활성화 - AWS Lake Formation
사전 조건사용 AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

데이터 카탈로그와 S3 Tables 통합을 통해 Lake Formation 활성화

이 섹션에서는와 통합된 Amazon S3 Tables에 대한 AWS Lake Formation 권한 부여를 사용하여 IAM 권한에서 IAM으로 액세스 제어를 마이그레이션하는 워크플로를 설명합니다 AWS Glue Data Catalog.

중요

AWS Lake Formation 액세스 제어를 활성화하면 S3 Tables 리소스에 대한 기존 IAM 기반 액세스가 모두 취소됩니다. 1단계를 완료한 후 이전에 IAM 권한을 통해 데이터에 액세스한 사용자 및 역할은 즉시 액세스 권한을 잃게 됩니다. 사용자가 데이터를 다시 쿼리하려면 먼저 2단계에서 Lake Formation 권한을 부여해야 합니다. 유지 관리 기간 동안이 마이그레이션을 계획하고 데이터 팀과 조정하세요.

사전 조건

S3 테이블에 대한 읽기/쓰기 액세스의 경우 Lake Formation 권한 외에도 보안 주체에게 lakeformation:GetDataAccess IAM 권한도 필요합니다. 이 권한을 통해 Lake Formation은 데이터에 액세스하기 위한 임시 보안 인증 요청을 승인합니다.

사용 AWS CLI

  1. 1단계: IAM 역할을 사용하여 Lake Formation에 버킷 등록

    Lake Formation에 S3 Tables 리소스를 등록합니다.

    참고

    기존 역할이 있는 경우 하이브리드 액세스가 false인지 확인합니다.

    aws lakeformation register-resource \
  --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
  --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
  --with-federation

  2. 2단계: AWS Glue 카탈로그를 업데이트하여 Lake Formation 액세스 제어 활성화

    카탈로그를 빈 CreateDatabaseDefaultPermissionsCreateTableDefaultPermissions (로 설정[])로 업데이트하고를 OverwriteChildResourcePermissionsWithDefault로 설정합니다Accept. 이렇게 하면 기존의 모든 하위 리소스에서 IAM 기반 액세스가 제거되고 카탈로그와 해당 객체를 Lake Formation 권한 부여를 사용하여 관리할 수 있습니다.

    aws glue update-catalog \
  --catalog-id "s3tablescatalog" \
  --catalog-input '{
    "FederatedCatalog": {
        "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
        "ConnectionName": "aws:s3tables"
    },
    "CreateDatabaseDefaultPermissions": [],
    "CreateTableDefaultPermissions": [],
    "OverwriteChildResourcePermissionsWithDefault": "Accept",
    "AllowFullTableExternalDataAccess": "True"
  }'

  3. 3단계: 데이터 팀에 Lake Formation 권한 부여

    액세스 권한이 필요한 보안 주체(역할, 사용자 또는 그룹)에게 Lake Formation 권한을 부여합니다. 예를 들어 역할에 전체 테이블 읽기 액세스 권한을 부여하려면:

    aws lakeformation grant-permissions \
  --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
  --resource '{
    "Table": {
        "CatalogId": "AWSAccountID",
        "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
        "TableWildcard": {}
    }
  }' \
  --permissions "SELECT" "DESCRIBE"

    필요에 따라 각 보안 주체 및 리소스 조합에 대해 반복합니다.