기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 데이터 카탈로그와 S3 Tables 통합을 통해 Lake Formation 활성화
<a name="change-access-iam-to-lf"></a>

이 섹션에서는와 통합된 Amazon S3 Tables에 대한 AWS Lake Formation 권한 부여를 사용하여 IAM 권한에서 IAM으로 액세스 제어를 마이그레이션하는 워크플로를 설명합니다 AWS Glue Data Catalog.

**중요**  
 AWS Lake Formation 액세스 제어를 활성화하면 S3 Tables 리소스에 대한 기존 IAM 기반 액세스가 모두 취소됩니다. 1단계를 완료한 후 이전에 IAM 권한을 통해 데이터에 액세스한 사용자 및 역할은 즉시 액세스 권한을 잃게 됩니다. 사용자가 데이터를 다시 쿼리하려면 먼저 2단계에서 Lake Formation 권한을 부여해야 합니다. 유지 관리 기간 동안이 마이그레이션을 계획하고 데이터 팀과 조정하세요.

## 사전 조건
<a name="w2aac13c29b7b7"></a>

S3 테이블에 대한 읽기/쓰기 액세스의 경우 Lake Formation 권한 외에도 보안 주체에게 `lakeformation:GetDataAccess` IAM 권한도 필요합니다. 이 권한을 통해 Lake Formation은 데이터에 액세스하기 위한 임시 보안 인증 요청을 승인합니다.

## 사용 AWS CLI
<a name="w2aac13c29b7b9"></a>

1. **1단계: IAM 역할을 사용하여 Lake Formation에 버킷 등록**

   Lake Formation에 S3 Tables 리소스를 등록합니다.
**참고**  
기존 역할이 있는 경우 하이브리드 액세스가 false인지 확인합니다.

   ```
   aws lakeformation register-resource \
     --resource-arn "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*" \
     --role-arn "arn:aws:iam::AWSAccountID:role/service-role/LFAccessRole" \
     --with-federation
   ```

1. **2단계: AWS Glue 카탈로그를 업데이트하여 Lake Formation 액세스 제어 활성화**

   카탈로그를 빈 `CreateDatabaseDefaultPermissions` 및 `CreateTableDefaultPermissions` (로 설정`[]`)로 업데이트하고를 `OverwriteChildResourcePermissionsWithDefault`로 설정합니다`Accept`. 이렇게 하면 기존의 모든 하위 리소스에서 IAM 기반 액세스가 제거되고 카탈로그와 해당 객체를 Lake Formation 권한 부여를 사용하여 관리할 수 있습니다.

   ```
   aws glue update-catalog \
     --catalog-id "s3tablescatalog" \
     --catalog-input '{
       "FederatedCatalog": {
           "Identifier": "arn:aws:s3tables:us-east-1:AWSAccountID:bucket/*",
           "ConnectionName": "aws:s3tables"
       },
       "CreateDatabaseDefaultPermissions": [],
       "CreateTableDefaultPermissions": [],
       "OverwriteChildResourcePermissionsWithDefault": "Accept",
       "AllowFullTableExternalDataAccess": "True"
     }'
   ```

1. **3단계: 데이터 팀에 Lake Formation 권한 부여**

   액세스 권한이 필요한 보안 주체(역할, 사용자 또는 그룹)에게 Lake Formation 권한을 부여합니다. 예를 들어 역할에 전체 테이블 읽기 액세스 권한을 부여하려면:

   ```
   aws lakeformation grant-permissions \
     --principal DataLakePrincipalIdentifier=arn:aws:iam::AWSAccountID:role/DataTeamRole \
     --resource '{
       "Table": {
           "CatalogId": "AWSAccountID",
           "DatabaseName": "s3tablescatalog/table-bucket-name/namespace",
           "TableWildcard": {}
       }
     }' \
     --permissions "SELECT" "DESCRIBE"
   ```

   필요에 따라 각 보안 주체 및 리소스 조합에 대해 반복합니다.