기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Glue Data Catalog 및와 Amazon S3 Tables 통합 AWS Lake Formation
Amazon S3 Tables는 분석 워크로드에 특별히 최적화된 S3 스토리지를 제공하여 쿼리 성능을 개선하는 동시에 비용을 절감합니다. S3 Tables의 데이터는 테이블을 하위 리소스로 저장하는 테이블 버킷이라는 새 버킷 유형에 저장됩니다. S3 Tables에는 Apache Iceberg 표준이 기본적으로 지원되므로 Apache Spark와 같이 널리 사용되는 쿼리 엔진으로 Amazon S3 Tables 버킷의 테이블 형식 데이터를 쉽게 쿼리할 수 있습니다.
IAM 액세스 제어를 AWS Glue Data Catalog 사용하거나 IAM 및 Lake Formation 권한 부여를 사용하여 Amazon S3 테이블을와 통합할 수 있습니다.
-
IAM 액세스 제어: IAM 정책을 사용하여 S3 테이블 및 데이터 카탈로그에 대한 액세스를 제어합니다. 이 액세스 제어 접근 방식에서는 리소스에 액세스하려면 S3 Tables 리소스와 Data Catalog 객체 모두에 대한 IAM 권한이 필요합니다.
-
Lake Formation 액세스 제어: 데이터 카탈로그를 통해 S3 테이블에 대한 액세스를 제어하는 AWS Glue IAM 권한 외에도 AWS Lake Formation 권한 부여를 사용합니다. 이 모드에서 보안 주체는 데이터 카탈로그와 상호 작용하기 위해 IAM 권한이 필요하며 Lake Formation 권한 부여는 보안 주체가 액세스할 수 있는 카탈로그 리소스(데이터베이스, 테이블, 열, 행)를 결정합니다. 이 모드는 대략적인 액세스 제어(데이터베이스 수준 및 테이블 수준 권한 부여)와 세밀한 액세스 제어(열 수준 및 행 수준 보안) 모두 지원합니다. 등록된 역할이 구성되고 자격 증명 벤딩이 활성화된 경우 Lake Formation은 등록된 역할을 사용하여 보안 주체를 대신하여 자격 증명을 제공하므로 보안 주체에 대해 S3 Tables IAM 권한이 필요하지 않습니다. Lake Formation 액세스 제어는 타사 분석 엔진의 자격 증명 벤딩도 지원합니다.
이 섹션에서는 다음 시나리오에 AWS Lake Formation 대해 와의 통합을 구성하는 지침을 제공합니다.
-
시나리오 A: IAM 액세스 제어를 사용하여 S3 테이블과 데이터 카탈로그를 통합했으며 이제 사용할 계획입니다 AWS Lake Formation. 자세한 내용은 S3 Tables 통합에 대한 액세스 제어 변경 섹션을 참조하세요.
-
시나리오 B:를 사용하여 S3 테이블과 데이터 카탈로그를 통합할 계획 AWS Lake Formation 이며 오늘은 계정과 리전에 통합하지 않습니다. Amazon S3 Tables 카탈로그를 Data Catalog 및 Lake Formation과 통합하기 위한 사전 조건 섹션부터 시작하여를 따릅니다Amazon S3 Tables 통합 활성화.
-
시나리오 C:를 사용하여 S3 테이블과 데이터 카탈로그를 통합 AWS Lake Formation 했으며 이제 IAM을 사용할 계획입니다. 자세한 내용은 S3 Tables 통합에 대한 액세스 제어 변경 섹션을 참조하세요.
AWS Glue Data Catalog 및 테이블 리소스에 액세스하고 AWS 분석 서비스를 사용할 수 있는 적절한 권한이 있도록 S3 테이블을 분석 서비스와 통합의 단계를 따라야 합니다. AWS
주제
Data Catalog와 Lake Formation 통합의 작동 방식
S3 Tables 카탈로그를 Data Catalog 및 Lake Formation과 통합하면 AWS Glue 서비스가 AWS 리전에 대한 계정의 기본 Data Catalog에 s3tablescatalog라는 단일 페더레이션 카탈로그를 생성합니다. 통합은 계정 및 페더레이션 카탈로그 AWS 리전 의 모든 Amazon S3 테이블 버킷 리소스를 다음과 같은 방식으로 매핑합니다.
Amazon S3 Tables 버킷은 Data Catalog에서 다단계 카탈로그가 됩니다.
-
연결된 Amazon S3 네임스페이스는 Data Catalog에 데이터베이스로 등록됩니다.
-
테이블 버킷의 Amazon S3 Tables는 Data Catalog의 테이블이 됩니다.
Lake Formation과 통합한 후 테이블 버킷 카탈로그에서 Apache Iceberg 테이블을 생성하고 Amazon Athena Amazon EMR 및 타사 AWS 분석 엔진과 같은 통합 분석 엔진을 통해 액세스할 수 있습니다.
통합을 통해 Lake Formation을 활성화하면를 통해 세분화된 액세스 제어가 가능합니다 AWS Lake Formation. 이 보안 접근 방식은 (IAM) 권한 외에도 AWS Identity and Access Management 테이블에 대한 Lake Formation 권한을 IAM 보안 주체에 부여해야 작업할 수 있습니다.
AWS Lake Formation에는 다음과 같은 두 가지 주요 권한 유형이 있습니다.
-
메타데이터 액세스 권한은 Data Catalog에서 메타데이터 데이터베이스 및 테이블을 생성하고, 읽고, 업데이트하고, 삭제할 수 있는 기능을 제어합니다.
-
기본 데이터 액세스 권한은 Data Catalog 리소스가 가리키는 기본 Amazon S3 위치에 데이터를 읽고 쓰는 기능을 제어합니다.
Lake Formation은 자체 권한 모델과 IAM 권한 모델의 조합을 사용하여 Data Catalog 리소스 및 기본 데이터에 대한 액세스를 제어합니다.
-
Data Catalog 리소스 또는 기본 데이터에 대한 액세스 요청이 성공하려면 요청이 IAM과 Lake Formation의 권한 검사를 모두 통과해야 합니다.
-
IAM 권한은 Lake Formation 및 AWS Glue APIs 및 리소스에 대한 액세스를 제어하는 반면, Lake Formation 권한은 데이터 카탈로그 리소스, Amazon S3 위치 및 기본 데이터에 대한 액세스를 제어합니다.
Lake Formation 권한은 권한이 부여된 리전에서만 적용되며, 위탁자는 Lake Formation 권한을 부여받으려면 필요한 권한이 있는 데이터 레이크 관리자 또는 다른 위탁자의 승인을 받아야 합니다.
