기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 사전 조건
<a name="cross-account-prereqs"></a>

 AWS 계정이 다른 계정 또는 다른 계정의 보안 주체와 데이터 카탈로그 리소스(카탈로그, 데이터베이스 및 테이블)를 공유하려면 먼저 다음 사전 조건을 충족해야 합니다.

**일반 교차 계정 데이터 공유 요구 사항**
+ 하이브리드 액세스 모드에서 Data Catalog 데이터베이스 및 테이블을 공유하고 페더레이션 카탈로그에서 객체를 공유하려면 **교차 계정 버전 설정**을 **버전 4**로 업데이트해야 합니다.
+ 데이터 카탈로그 리소스에 교차 계정 권한을 부여하려면 먼저 해당 리소스에 대한 `IAMAllowedPrincipals` 그룹에서 모든 Lake Formation 권한을 취소해야 합니다. 호출 보안 주체가 리소스에 액세스할 수 있는 교차 계정 권한을 가지고 있고 리소스에 `IAMAllowedPrincipals` 권한이 있는 경우, Lake Formation은 `AccessDeniedException`을 발생시킵니다.

  이 요구 사항은 Lake Formation 모드에서 기본 데이터 위치를 등록하는 경우에만 적용됩니다. 하이브리드 모드에서 데이터 위치를 등록하는 경우 `IAMAllowedPrincipals` 그룹 권한이 공유 데이터베이스 또는 테이블에 존재할 수 있습니다.
+  공유하려는 테이블이 포함된 데이터베이스의 경우 새 테이블의 기본 부여 권한이 `Super`에서 `IAMAllowedPrincipals`로 변경되지 않도록 해야 합니다. Lake Formation 콘솔에서 데이터베이스를 편집하고 **이 데이터베이스의 새 테이블에 대한 IAM 액세스 제어만 사용을** 끄거나 다음 AWS CLI 명령을 입력하여 `database`를 데이터베이스 이름으로 바꿉니다. 기본 데이터 위치가 하이브리드 액세스 모드로 등록된 경우 이 기본 설정을 변경할 필요가 없습니다. 하이브리드 액세스 모드에서 Lake Formation을 사용하면 동일한 리소스에서 Amazon S3 및 AWS Glue 에 대한 Lake Formation 권한 및 IAM 권한 정책을 선택적으로 적용할 수 있습니다.

  ```
  aws glue update-database --name database --database-input '{"Name":"database","CreateTableDefaultPermissions":[]}'
  ```
+ 교차 계정 권한을 부여하려면 권한 부여자에게 AWS Glue 및 AWS RAM 서비스에 대한 필수 AWS Identity and Access Management (IAM) 권한이 있어야 합니다. AWS 관리형 정책은 필요한 권한을 `AWSLakeFormationCrossAccountManager` 부여합니다.

  를 사용하여 리소스 공유를 수신하는 계정의 데이터 레이크 관리자에게는 다음과 같은 추가 정책이 AWS RAM 있어야 합니다. 이를 통해 관리자는 AWS RAM 리소스 공유 초대를 수락할 수 있습니다. 또한 관리자는 이를 통해 조직과 리소스를 공유할 수 있습니다.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ram:AcceptResourceShareInvitation",
                  "ram:RejectResourceShareInvitation",
                  "ec2:DescribeAvailabilityZones",
                  "ram:EnableSharingWithAwsOrganization"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ 데이터 카탈로그 리소스를 AWS Organizations 또는 조직 단위와 공유하려면 조직과의 공유를 활성화해야 합니다 AWS RAM.

  조직과의 공유를 활성화하는 방법에 대한 자세한 내용은 *AWS RAM 사용 설명서*의 [AWS 조직과의 공유 활성화](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)를 참조하세요.

  조직과 공유할 수 있는 `ram:EnableSharingWithAwsOrganization` 권한이 있어야 합니다.
+ 다른 계정의 IAM 보안 주체와 직접 리소스를 공유하려면 **교차 계정 버전 설정**을 **버전 3**으로 업데이트해야 합니다. 이 설정은 **데이터 카탈로그 설정** 페이지에서 사용할 수 있습니다. **버전 1**을 사용하는 경우 설정 [교차 계정 데이터 공유 버전 설정 업데이트](optimize-ram.md) 업데이트 지침을 참조하세요.
+  AWS Glue 서비스 관리형 키로 암호화된 데이터 카탈로그 리소스를 다른 계정과 공유할 수 없습니다. 고객의 암호화 키로 암호화된 데이터 카탈로그 리소스만 공유할 수 있으며, 리소스 공유를 받는 계정에는 데이터 카탈로그 암호화 키에 대한 객체 암호 해독 권한이 있어야 합니다.

**LF-TBAC 요구 사항을 사용한 교차 계정 데이터 공유**
+  데이터 카탈로그 리소스를 AWS Organizations 및 조직 단위(OUs)와 공유하려면 **교차 계정 버전 설정을** **버전 3** 이상으로 업데이트해야 합니다.
+ **교차 계정 버전 설정**의 버전 3과 데이터 카탈로그 리소스를 공유하려면 권한 부여자에게 계정의 AWS 관리형 정책 `AWSLakeFormationCrossAccountManager`에 정의된 IAM 권한이 있어야 합니다.
+ **교차 계정 버전 설정**의 버전 1 또는 버전 2를 사용하는 경우 LF-TBAC을 활성화하는 데이터 카탈로그 리소스 정책(`glue:PutResourcePolicy`)이 있어야 합니다. 자세한 내용은 [AWS Glue 및 Lake Formation을 모두 사용하여 교차 계정 권한 관리하기](hybrid-cross-account.md) 단원을 참조하십시오.
+ 현재 AWS Glue 데이터 카탈로그 리소스 정책을 사용하여 리소스를 공유하고 있고 **교차 계정 버전 설정** 버전 3을 사용하여 교차 계정 권한을 부여하려는 경우, [AWS Glue 및 Lake Formation을 모두 사용하여 교차 계정 권한 관리하기](hybrid-cross-account.md) 섹션에 표시된 대로 `glue:PutResourcePolicy` API 작업을 사용하여 데이터 카탈로그 설정에서 `glue:ShareResource` 권한을 추가해야 합니다. 계정에서 AWS Glue 데이터 카탈로그 리소스 정책(버전 1 및 버전 2는 `glue:PutResourcePolicy` 권한 사용)을 사용하여 교차 계정 액세스 권한을 부여하지 않은 경우에는 이 정책이 필요하지 않습니다.

  ```
  {
        "Effect": "Allow",
        "Action": [
          "glue:ShareResource"
        ],
        "Principal": {"Service": [
          "ram.amazonaws.com"
        ]},
        "Resource": [
          "arn:aws:glue:<region>:<account-id>:table/*/*",
          "arn:aws:glue:<region>:<account-id>:database/*",
          "arn:aws:glue:<region>:<account-id>:catalog"
        ]
      }
  ```
+ 계정이 AWS Glue Data Catalog 리소스 정책을 사용하여 교차 계정 공유를 설정했고, 현재 리소스 공유를 위해 명명된 리소스 메서드 또는 리소스 공유에 AWS RAM 를 사용하는 **교차 계정 설정** 버전 3의 LF-TBAC을 사용하고 있는 경우, `glue:PutResourcePolicy` API 작업을 간접 호출할 때 `EnableHybrid` 인수를 `'true'`로 설정해야 합니다. 자세한 내용은 [AWS Glue 및 Lake Formation을 모두 사용하여 교차 계정 권한 관리하기](hybrid-cross-account.md) 단원을 참조하십시오.

**공유 리소스에 액세스하는 각 계정에 설정이 필요합니다.**
+ 리소스를 공유하는 경우 공유 리소스를 보려면 소비자 계정의 한 명 AWS 계정이상의 사용자가 데이터 레이크 관리자여야 합니다. 데이터 레이크 관리자 생성 방법에 대한 자세한 내용은 [데이터 레이크 관리자 생성](initial-lf-config.md#create-data-lake-admin) 섹션을 참조하세요.

  데이터 레이크 관리자는 계정의 다른 보안 주체에게 공유 리소스에 대한 Lake Formation 권한을 부여할 수 있습니다. 다른 보안 주체는 데이터 레이크 관리자가 리소스에 대한 권한을 부여할 때까지 공유 리소스에 액세스할 수 없습니다.
+ Athena 및 Redshift Spectrum과 같은 통합 서비스를 사용하려면 쿼리에 공유 리소스를 포함할 수 있는 리소스 링크가 필요합니다. 보안 주체는 데이터 카탈로그에 다른 AWS 계정의 공유 리소스로 연결되는 리소스 링크를 생성해야 합니다. 리소스 링크에 대한 자세한 내용은 [Lake Formation에서 리소스 링크가 작동하는 방식](resource-links-about.md) 섹션을 참조하세요.
+ 리소스가 IAM 보안 주체와 직접 공유되는 경우, Athena를 사용하여 테이블을 쿼리하려면 보안 주체가 리소스 링크를 만들어야 합니다. 리소스 링크를 만들려면 계정 소유자는 Lake Formation `CREATE_TABLE` 또는 `CREATE_DATABASE` 권한과 `glue:CreateTable` 또는 `glue:CreateDatabase` IAM 권한이 필요합니다.

  생산자 계정이 동일 또는 다른 보안 주체와 동일한 데이터베이스 아래의 다른 테이블을 공유하는 경우 해당 보안 주체는 즉시 테이블을 쿼리할 수 있습니다.

**참고**  
데이터 레이크 관리자와 데이터 레이크 관리자가 권한을 부여한 보안 주체의 경우 공유 리소스가 로컬(소유) 리소스인 것처럼 데이터 카탈로그에 표시됩니다. 추출, 전환, 적재(ETL) 작업 시 공유 리소스의 기본 데이터에 액세스할 수 있습니다.  
공유 리소스의 경우 Lake Formation 콘솔의 **테이블** 및 **데이터베이스** 페이지에 소유자의 계정 ID가 표시됩니다.  
공유 리소스의 기본 데이터에 액세스하면 공유 리소스 수신자 계정과 리소스 소유자 계정 모두에서 CloudTrail 로그 이벤트가 생성됩니다. CloudTrail 이벤트는 데이터에 액세스한 보안 주체의 ARN을 포함할 수 있지만, 이는 수신자 계정이 로그에 보안 주체 ARN을 포함하도록 선택한 경우에만 해당됩니다. 자세한 내용은 [계정 간 CloudTrail 로깅](cross-account-logging.md) 단원을 참조하십시오.