Lake Formation과 IAM Identity Center 연결

Lake Formation을 IAM Identity Center와 연결

1. 에 로그인 AWS Management Console하고 https://console.aws.amazon.com/lakeformation/ Lake Formation 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 IAM Identity Center 통합을 선택합니다.

   

3. (선택 사항) 외부 계정이 데이터 카탈로그 리소스에 액세스할 수 있도록 하나 이상의 AWS 계정 IDs, 조직 IDs 및/또는 조직 단위 IDs를 입력합니다. IAM Identity Center 사용자 또는 그룹이 Lake Formation 관리형 데이터 카탈로그 리소스에 액세스하려고 하면 Lake Formation은 메타데이터 액세스를 승인하는 IAM 역할을 수임합니다. IAM 역할이 AWS Glue 리소스 정책 및 AWS RAM 리소스 공유가 없는 외부 계정에 속하는 경우 IAM Identity Center 사용자 및 그룹은 Lake Formation 권한이 있더라도 리소스에 액세스할 수 없습니다.

   Lake Formation은 AWS Resource Access Manager (AWS RAM) 서비스를 사용하여 리소스를 외부 계정 및 조직과 공유합니다.는 피부여자 계정에 리소스 공유를 수락하거나 거부하라는 초대를 AWS RAM 보냅니다.

   자세한 내용은 에서 리소스 공유 초대 수락 AWS RAM 단원을 참조하십시오.

   참고

   Lake Formation은 외부 계정의 IAM 역할이 데이터 카탈로그 리소스에 액세스하기 위한 IAM Identity Center 사용자 및 그룹을 대신하여 통신 사업자 역할을 수행하도록 허용하지만 소유 계정 내의 데이터 카탈로그 리소스에 대해서만 권한을 부여할 수 있습니다. 외부 계정의 데이터 카탈로그 리소스에 대한 IAM Identity Center 사용자 및 그룹에 권한을 부여하려고 할 경우 Lake Formation에서 “보안 주체에 대해 교차 계정 권한 부여가 지원되지 않습니다.” 오류가 발생합니다.

4. (선택 사항) Lake Formation 통합 생성 화면에서 Lake Formation에 등록된 Amazon S3 위치의 데이터에 액세스할 수 있는 타사 애플리케이션의 ARN을 지정합니다. Lake Formation은 권한 있는 애플리케이션이 사용자를 대신하여 데이터에 액세스할 수 있도록 유효 권한에 따라 등록된 Amazon S3 위치에 AWS STS 토큰 형태의 범위 축소된 임시 자격 증명을 제공합니다.

5. (선택 사항) Lake Formation 통합 생성 화면에서 신뢰할 수 있는 자격 증명 전파의 Amazon Redshift Connect 확인란을 선택하여 IDC를 통한 Amazon Redshift 페더레이션 권한 검색을 활성화합니다. Lake Formation은 유효 권한을 기반으로 자격 증명을 다운스트림에 전파하므로 권한이 부여된 애플리케이션이 사용자를 대신하여 데이터에 액세스할 수 있습니다.

6. 제출을 선택합니다.

   Lake Formation 관리자가 단계를 완료하고 통합을 생성하면 IAM Identity Center 속성이 Lake Formation 콘솔에 표시됩니다. 이러한 작업을 완료하면 Lake Formation이 IAM Identity Center를 지원하는 애플리케이션이 됩니다. 콘솔의 속성에는 통합 상태가 포함됩니다. 통합 상태는 완료 시 Success로 표시됩니다. 이 상태는 IAM Identity Center 구성이 완료되었는지 여부를 나타냅니다.