기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 데이터 레이크의 기본 설정 변경
<a name="change-settings"></a>

와의 이전 버전과의 호환성을 유지하기 위해 AWS Glue AWS Lake Formation 에는 다음과 같은 초기 보안 설정이 있습니다.
+ 그룹 `IAMAllowedPrincipals`에 모든 기존 AWS Glue 데이터 카탈로그 리소스에 대한 `Super` 권한이 부여됩니다.
+ 새 데이터 카탈로그 리소스에 대해 'IAM 액세스 제어만 사용' 설정이 활성화됩니다.

이러한 설정을 사용하면 데이터 카탈로그 리소스 및 Amazon S3 위치에 대한 액세스가 AWS Identity and Access Management (IAM) 정책에 의해서만 제어됩니다. 개별 Lake Formation 권한은 유효하지 않습니다.

`IAMAllowedPrincipals` 그룹에는 IAM 정책에 따라 데이터 카탈로그 리소스에 대한 액세스가 허용된 모든 IAM 사용자 및 역할이 포함됩니다. `Super` 권한을 사용하면 보안 주체는 해당 권한이 부여된 데이터베이스 또는 테이블에서 지원되는 모든 Lake Formation 작업을 수행할 수 있습니다.

Lake Formation 권한으로 데이터 카탈로그 리소스(데이터베이스 및 테이블)에 대한 액세스가 관리되도록 보안 설정을 변경하려면 다음을 수행합니다.

1. 새 리소스의 기본 보안 설정을 변경합니다. 지침은 [기본 권한 모델 변경 또는 하이브리드 액세스 모드 사용](initial-lf-config.md#setup-change-cat-settings) 섹션을 참조하세요.

1. 기존 데이터 카탈로그 리소스의 설정을 변경합니다. 지침은 [AWS Lake Formation 모델로 AWS Glue 데이터 권한 업그레이드](upgrade-glue-lake-formation.md) 섹션을 참조하세요.

**Lake Formation `PutDataLakeSettings` API 작업을 사용하여 기본 보안 설정 변경**  
Lake Formation [PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) API 작업을 사용하여 기본 보안 설정을 변경할 수도 있습니다. 이 작업은 선택적 카탈로그 ID 및 [DataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DataLakeSettings.html) 구조를 인수로 사용합니다.

새 데이터베이스 및 테이블에서 Lake Formation을 통해 메타데이터 및 기본 데이터 액세스 제어를 적용하려면 `DataLakeSettings` 구조를 다음과 같이 코딩합니다.

**참고**  
*<AccountID>*를 유효한 AWS 계정 ID로 바꾸고 *<Username>*을 유효한 IAM 사용자 이름으로 바꿉니다. 둘 이상의 사용자를 데이터 레이크 관리자로 지정할 수 있습니다.

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [],
        "CreateTableDefaultPermissions": []
    }
}
```

다음과 같이 구조를 코딩할 수도 있습니다. `CreateDatabaseDefaultPermissions` 또는 `CreateTableDefaultPermissions` 파라미터를 생략하는 것은 빈 목록을 전달하는 것과 같습니다.

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ]
    }
}
```

이 작업은 새 데이터베이스 및 테이블에 대한 `IAMAllowedPrincipals` 그룹의 모든 Lake Formation 권한을 효과적으로 취소합니다. 데이터베이스를 생성할 때 이 설정을 재정의할 수 있습니다.

새 데이터베이스 및 테이블에서 IAM을 통해서만 메타데이터 및 기본 데이터 액세스 제어를 적용하려면 다음과 같이 `DataLakeSettings` 구조를 코딩합니다.

```
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "arn:aws:iam::<AccountId>:user/<Username>"
            }
        ],
        "CreateDatabaseDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ],
        "CreateTableDefaultPermissions": [
            {
                "Principal": {
                    "DataLakePrincipalIdentifier": "IAM_ALLOWED_PRINCIPALS"
                },
                "Permissions": [
                    "ALL"
                ]
            }
        ]
    }
}
```

이렇게 하면 새 데이터베이스 및 테이블에 대한 `Super` Lake Formation 권한이 `IAMAllowedPrincipals` 그룹에 부여됩니다. 데이터베이스를 생성할 때 이 설정을 재정의할 수 있습니다.

**참고**  
앞의 `DataLakeSettings` 구조에서 `DataLakePrincipalIdentifier`에 허용되는 유일한 값은 `IAM_ALLOWED_PRINCIPALS`이고, `Permissions`에 허용되는 유일한 값은 `ALL`입니다.