기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 태그 기반 액세스 제어를 사용한 데이터 공유 AWS Lake Formation 태그 기반 액세스 제어(LF-TBAC)는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. 다음 단계에서는 LF 태그를 사용하여 교차 계정 권한을 부여하는 방법을 설명합니다. **생산자/권한 부여자 계정에 필요한 설정** 1. LF 태그를 추가합니다. 1. Lake Formation 콘솔에 데이터 레이크 관리자 또는 LF 태그 생성자 계정으로 로그인합니다. 1. 왼쪽 탐색 창에서 **권한** 및 **LF 태그 및 권한**을 선택합니다. 1. **LF 태그 추가**를 선택합니다. LF 태그를 만드는 방법에 대한 상세 지침은 [LF 태그 생성](TBAC-creating-tags.md) 섹션을 참조하세요. 1. 계정 또는 외부 계정의 IAM 보안 주체에 **LF 태그 키-값** 페어에 대한 **설명** 및/또는 **연결** 권한을 부여합니다. **LF 태그 키-값** 페어에 대한 권한을 부여하면 해당 보안 주체가 LF 태그를 조회하고, 이를 Data Catalog 리소스(데이터베이스, 테이블, 열)에 할당할 수 있습니다. 1. 다음으로 데이터 레이크 관리자 또는 **연결** 권한이 있는 IAM 보안 주체는 데이터베이스, 테이블 또는 열에 LF 태그를 할당할 수 있습니다. 자세한 내용은 [데이터 카탈로그 리소스에 LF 태그 할당](TBAC-assigning-tags.md) 단원을 참조하십시오. 1. 그런 다음 LF 태그 표현식을 사용하여 외부 계정에 데이터 권한을 부여합니다. 이렇게 하면 권한의 피부여자 또는 수신자가 동일한 키 및 값으로 태그가 지정된 Data Catalog 리소스에 액세스할 수 있습니다. 1. 탐색 창에서 **권한**과 **데이터 권한**을 선택합니다. 1. **권한 부여**를 선택합니다. 1. **권한 부여** 페이지의 **보안 주체**에서 **외부 계정**을 선택하고 보안 주체의 피부여자 AWS 계정 ID나 IAM 역할 또는 외부 보안 주체에 직접 교차 계정 권한을 부여하는 경우 보안 주체의 Amazon 리소스 이름(ARN)(보안 주체 ARN)을 입력합니다. 계정 ID를 입력한 후 **Enter** 키를 눌러야 합니다. ![\[외부 계정 및 LF 태그 키-값 페어가 지정된 권한 부여 화면입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/cross-acct-grant-tags.png) 1. **LF 태그 또는 카탈로그 리소스**의 경우 **LF 태그와 일치하는 리소스**(권장)를 선택합니다. 1. **LF 태그 키-값 페어** 또는 **저장된 LF 태그 표현식** 옵션을 선택합니다. 1. ****LF 태그 키-값 페어**를 선택하는 경우 피부여자 계정과 공유되는 Data Catalog 리소스와 연결된 **LF 태그**의 키와 값을 입력합니다**. 피부여자에게는 LF 태그 표현식에서 일치하는 LF 태그가 할당된 Data Catalog 리소스에 대한 권한이 부여됩니다. LF 태그 표현식이 태그 키당 여러 값을 지정하는 경우 태그 값 중 하나가 일치할 수 있습니다. 1. LF 태그 표현식과 일치하는 리소스에 부여할 데이터베이스 수준 또는 테이블 수준 권한을 선택합니다. **중요** 데이터 레이크 관리자는 피부여자 계정의 보안 주체에게 공유 리소스에 대한 권한을 부여해야 하므로 항상 권한 부여 옵션을 사용하여 교차 계정 권한을 부여해야 합니다. 자세한 내용은 [콘솔을 사용하여 LF 태그 권한 부여](TBAC-granting-tags-console.md) 단원을 참조하십시오. **참고** 교차 계정 직접 승인을 받는 보안 주체에게는 **부여 가능한 권한** 옵션이 제공되지 않습니다. **수신자/피부여자 계정에서 필요한 설정** 1. 소비자 계정의 데이터 레이크 관리자 권한으로 Lake Formation 콘솔에 로그인합니다. 1. 그런 다음 소비자 계정에서 리소스 공유를 수신합니다. 1. AWS RAM 콘솔을 엽니다. 1. 탐색 창의 **나와 공유됨**에서 **리소스 공유**를 선택합니다. 1. 리소스 공유를 선택하고 **리소스 공유 수락**을 선택합니다. 1. 다른 계정과 리소스를 공유해도 해당 리소스는 여전히 생산자 계정에 속하며 Athena 콘솔에 표시되지 않습니다. Athena 콘솔에서 리소스를 표시하려면 공유 리소스를 가리키는 리소스 링크를 만들어야 합니다. 리소스 링크 생성에 대한 지침은 [공유 데이터 카탈로그 테이블에 대한 리소스 링크 만들기](create-resource-link-table.md) 및 [공유 데이터 카탈로그 데이터베이스에 대한 리소스 링크 만들기](create-resource-link-database.md) 섹션을 참조하세요. 1. Data Catalog에서 **데이터베이스** 또는 **테이블**을 선택합니다. 1. 데이터베이스/테이블 페이지에서 **생성**, **리소스 링크**를 선택합니다. 1. 데이터베이스 리소스 링크에 다음 정보를 입력합니다. + **리소스 링크 이름** - 리소스 링크의 고유한 이름입니다. + **대상 카탈로그** - 리소스 링크를 생성하는 카탈로그입니다. + **공유 데이터베이스 리전** - 다른 리전에서 리소스 링크를 생성할 경우, 데이터베이스의 해당 리전이 공유됩니다. + **공유 데이터베이스** - 공유 데이터베이스를 선택합니다. + **공유 데이터베이스의 카탈로그 ID** - 공유 데이터베이스의 카탈로그 ID를 입력합니다. 1. **생성(Create)**을 선택합니다. 데이터베이스 목록에서 새로 생성된 리소스 링크를 볼 수 있습니다. 마찬가지로 공유 테이블에 대한 리소스 링크를 생성할 수 있습니다. 1. 이제 리소스를 공유하는 IAM 보안 주체에게 리소스 링크에 대한 **설명** 권한을 부여합니다. 1. **데이터베이스/테이블** 페이지에서 리소스 링크를 선택하고, **작업** 메뉴에서 **권한 부여**를 선택합니다. 1. **권한 부여** 섹션에서 **IAM 사용자 및 역할**을 선택합니다. 1. 리소스 링크에 대한 액세스 권한을 부여할 IAM 역할을 선택합니다. 1. **리소스 링크** 권한 섹션에서 **설명**을 선택합니다. 1. **권한 부여**를 선택합니다. 1. 그런 다음 소비자 계정의 보안 주체에게 **LF 태그 키-값 권한**을 부여합니다. Lake Formation 콘솔의 **권한**, **LF 태그 및 권한**에서 소비자 계정에서 공유된 LF 태그를 찾을 수 있어야 합니다. 데이터베이스, 테이블 및 열을 포함하여 권한 부여자 계정에서 공유된 리소스에서 권한 부여자에서 공유된 태그를 연결할 수 있습니다. 리소스에 대한 권한을 다른 보안 주체에게 추가로 부여할 수 있습니다. ![\[화면에는 계정의 LF 태그에 대한 권한이 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/lf-tag-permissions.png) 1. 탐색 창의 **권한**, **데이터 권한**에서 **권한 부여**를 선택합니다. 1. **권한 부여** 페이지에서 **IAM 사용자 및 역할**을 선택합니다. 1. 그런 다음 계정의 IAM 사용자 및 역할을 선택하여 공유 데이터베이스/테이블에 대한 액세스 권한을 부여합니다. 1. 다음으로 **LF 태그 또는 카탈로그 리소스**의 경우 **LF 태그와 일치하는 리소스**를 선택합니다. 1. 그런 다음 공유되는 LF 태그의 키와 값을 선택합니다. 1. 그런 다음 IAM 사용자 및 역할에 부여하려는 데이터베이스 및 테이블 권한을 선택합니다. IAM 사용자 및 역할이 다른 사용자/역할에 권한을 부여할 수 있도록 **부여 가능한 권한**을 선택할 수도 있습니다. 1. **권한 부여**를 선택합니다. 1. Lake Formation 콘솔의 **데이터 권한**에서 권한 부여를 볼 수 있습니다.