기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여
<a name="granting-catalog-perms-TBAC"></a>

LF 태그에 대한 `DESCRIBE` 및 `ASSOCIATE` Lake Formation 권한을 보안 주체에 부여하여 보안 주체가 LF 태그를 보고 데이터 카탈로그 리소스(데이터베이스, 테이블, 뷰 및 열)에 할당할 수 있도록 할 수 있습니다. LF 태그가 데이터 카탈로그 리소스에 할당되면 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 해당 리소스를 보호할 수 있습니다. 자세한 내용은 [Lake Formation 태그 기반 액세스 제어](tag-based-access-control.md) 단원을 참조하십시오.

처음에는 데이터 레이크 관리자만 이러한 권한을 부여할 수 있습니다. 데이터 레이크 관리자가 부여 옵션을 통해 이러한 권한을 부여하면 다른 보안 주체가 권한을 부여할 수 있습니다. `DESCRIBE` 및 `ASSOCIATE` 권한에 대해서는 [Lake Formation 태그 기반 액세스 제어 모범 사례 및 고려 사항](lf-tag-considerations.md)에 설명되어 있습니다.

외부 AWS 계정에 LF 태그에 대한 `DESCRIBE` 및 `ASSOCIATE` 권한을 부여할 수 있습니다. 그러면 해당 계정의 데이터 레이크 관리자가 계정의 다른 보안 주체에 그러한 권한을 부여할 수 있습니다. 외부 계정의 데이터 레이크 관리자가 `ASSOCIATE` 권한을 부여한 보안 주체는 해당 계정과 공유한 데이터 카탈로그 리소스에 LF 태그를 할당할 수 있습니다.

외부 계정에 권한을 부여하는 경우 권한 부여 옵션을 포함해야 합니다.

 AWS Lake Formation 콘솔, API 또는 AWS Command Line Interface ()를 사용하여 LF 태그에 대한 권한을 부여할 수 있습니다AWS CLI.

**참고**  
S3 Tables 카탈로그에는 다음 단계가 필요하지 않습니다. LF 태그를 사용하여 기존 S3 Tables 카탈로그를 삭제하고 다시 생성하지 않고도 기존 S3 Tables 카탈로그에 대한 권한을 부여할 수 있습니다.

**Lake Formation 권한을 사용하는 기존 페더레이션 카탈로그에 대한 LF 태그 지원 활성화**

Amazon Redshift 또는 페더레이션 카탈로그에 LF 태그 지원을 사용할 수 있기 전에 생성된 Amazon DynamoDB 카탈로그와 같이 Lake Formation 권한을 사용하는 기존 페더레이션 카탈로그가 있는 경우 다음 단계를 따르세요.

1. 기존 카탈로그 삭제 - `deleteCatalog` API 작업을 직접 호출하여 Lake Formation 권한을 사용하는 기존 페더레이션 카탈로그를 제거합니다.

1.  새 페더레이션 카탈로그 생성 - 새 카탈로그를 생성하고 새 카탈로그가 기존 네임스페이스/데이터 공유를 가리키도록 합니다.

   카탈로그의 새 이름 사용 - 이 프로세스는 LF 태그 기능을 지원하도록 기존 페더레이션 카탈로그를 업데이트합니다. 동일한 카탈로그 이름을 사용하려면 AWS 지원 팀에 문의하여 도움을 받으세요.

**Topics**
+ [데이터 카탈로그 권한 부여](#granting-cat-perms-TBAC-console)

**다음 사항도 참조하세요.**  
[LF 태그 값 권한 관리](TBAC-granting-tags.md)
[메타데이터 액세스 제어를 위한 LF 태그 관리](managing-tags.md)
[Lake Formation 태그 기반 액세스 제어](tag-based-access-control.md)

## 데이터 카탈로그 권한 부여
<a name="granting-cat-perms-TBAC-console"></a>

Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 Lake Formation 콘솔 또는 AWS CLI 를 사용하여 데이터 카탈로그 데이터베이스, 테이블, 뷰 및 열에 대한 Lake Formation 권한을 부여합니다.

------
#### [ Console ]

다음 단계에서는 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법과 Lake Formation 콘솔의 **데이터 레이크 권한 부여** 페이지를 사용하여 권한을 부여하는 방법에 대해 설명합니다. 이 페이지는 다음과 같은 섹션으로 구성되어 있습니다.
+  **보안 주체** - 권한을 부여 AWS 계정 할 사용자, 역할 및 입니다.
+  **LF 태그 또는 카탈로그 리소스** - 권한을 부여할 데이터베이스, 테이블 또는 리소스 링크.
+  **권한** - 부여할 Lake Formation 권한.

1. 

**데이터 레이크 권한 부여 페이지를 엽니다.**

   [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) AWS Lake Formation 콘솔을 열고 데이터 레이크 관리자 또는 권한 부여 옵션을 사용하여 LF-TBAC를 통해 데이터 카탈로그 리소스에 대한 Lake Formation 권한을 부여받은 사용자로 로그인합니다.

   탐색 창의 **권한**에서 **데이터 레이크 권한**을 선택합니다. 그런 다음 **권한 부여**를 선택합니다.

1. 

**보안 주체를 지정합니다.**

    **보안 주체** 섹션에서 보안 주체 유형을 선택한 다음 권한을 부여할 보안 주체를 지정합니다.  
![보안 주체 섹션에는 다음 텍스트에 이름이 지정된 네 개의 타일이 있습니다. 각 타일에는 옵션 버튼과 텍스트가 있습니다. IAM Identity Center 타일이 선택되고 사용자 및 그룹 드롭다운 목록이 타일 아래에 표시됩니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/identity-center-grant-perm.png)  
**IAM 사용자 및 역할**  
**IAM 사용자 및 역할** 목록에서 하나 이상의 사용자 또는 역할을 선택합니다.  
**IAM Identity Center **  
**사용자 및 그룹** 목록에서 하나 이상의 사용자를 선택합니다.  
**SAML 사용자 및 그룹**  
**SAML 및 빠른 사용자 및 그룹의** 경우 SAML을 통해 페더레이션된 사용자 또는 그룹의 경우 하나 이상의 Amazon 리소스 이름(ARNs)을 입력하고 빠른 사용자 또는 그룹의 경우 ARNs 입력합니다. 각 ARN을 입력한 후에 Enter 키를 누릅니다.  
ARN을 구성하는 방법에 대한 자세한 내용은 [Lake Formation 권한 부여 및 취소 AWS CLI 명령](lf-permissions-reference.md#perm-command-format) 섹션을 참조하세요.  
Quick과의 Lake Formation 통합은 Quick Enterprise Edition에서만 지원됩니다.  
**외부 계정**  
**AWS 계정, AWS organization** 또는 **IAM 보안 주체**에 IAM 사용자 또는 역할에 유효한 AWS 계정 IDs, 조직 IDs, 조직 단위 IDs 또는 ARN을 하나 이상 입력합니다. 각 ID를 입력한 후에 **Enter** 키를 누릅니다.  
조직 ID는 'o-'와 10\~32개의 소문자 또는 숫자로 구성됩니다.  
조직 단위 ID는 'ou-'로 시작하고 뒤에 4\~32개의 소문자 또는 숫자가 옵니다(OU가 포함된 루트의 ID). 이 문자열 뒤에는 두 번째 '-' 대시와 8\~32개의 추가 소문자 또는 숫자가 옵니다.

1. 

**LF 태그를 지정합니다.**

   **LF 태그와 일치하는 리소스** 옵션이 선택되었는지 확인합니다. **LF 태그 키-값 페어** 또는 **저장된 LF 태그 표현식**을 선택합니다.

   1. **LF 태그 키-값 페어** 옵션을 선택하는 경우 키와 값을 선택합니다.

      값을 두 개 이상 선택하면 `OR` 연산자가 포함된 LF 태그 표현식이 생성됩니다. 즉, LF 태그 값 중 하나라도 데이터 카탈로그 리소스에 할당된 LF 태그와 일치하면 해당 리소스에 대한 권한이 부여됩니다.  
![LF 태그 또는 카탈로그 리소스 섹션에는 가로로 배열된 두 개의 타일이 있으며, 각 타일에는 옵션 버튼과 설명 텍스트가 있습니다. 옵션은 LF 태그와 일치하는 리소스(권장) 및 명명된 데이터 카탈로그 리소스입니다. LF 태그와 일치하는 리소스가 선택되어 있습니다. 타일 아래에는 가로로 배열된 키 필드와 값 필드가 있습니다. 키 필드에는 'module'이 포함되어 있고 값 필드는 드롭다운 목록으로 Orders, Sales 및 Customers라는 세 가지 항목이 포함되어 있습니다. 각 항목에는 관련 확인란이 있습니다. Customers 확인란이 선택되어 있습니다. 이 두 필드의 오른쪽에는 제거 버튼이 있습니다. 맨 아래에는 LF 태그 추가 버튼이 있는데 이것은 키 필드, 값 필드 그리고 제거 버튼이 포함된 다른 행을 추가할 수 있음을 나타냅니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-data-permissions-tags-2.png)

   1. (선택 사항) 다른 LF 태그를 지정하려면 **LF 태그 키-값 페어 추가**를 다시 선택합니다.

      LF 태그를 두 개 이상 지정하면 `AND` 연산자가 포함된 LF 태그 표현식이 생성됩니다. LF 태그 표현식의 각 LF 태그에 대해 일치하는 LF 태그가 리소스에 할당된 경우에만 보안 주체에게 데이터 카탈로그 리소스에 대한 권한이 부여됩니다.

   1. 표현식을 다시 사용하려면 **새 표현식으로 저장** 옵션을 선택합니다.

      표현식을 저장하려면 `Create LF-Tag expression`해야 합니다.

      LF 태그 표현식에 대한 자세한 내용은 [메타데이터 액세스 제어를 위한 LF 태그 표현식 관리](managing-tag-expressions.md) 섹션을 참조하세요.

1. 

**권한을 지정합니다.**

   일치하는 데이터 카탈로그 리소스에 대해 보안 주체에 부여되는 권한을 지정합니다. 일치하는 리소스란 보안 주체에 부여된 LF 태그 표현식 중 하나와 일치하는 LF 태그가 할당된 리소스입니다.

   일치하는 데이터베이스, 일치하는 테이블 또는 일치하는 뷰에 대해 부여할 권한을 지정할 수 있습니다.  
![페이지의 두 섹션이 표시되어 있습니다. 데이터베이스 권한 섹션에는 데이터베이스 권한 및 부여 가능한 권한에 대한 확인란이 있습니다. 데이터베이스 섹션 아래의 테이블 권한 섹션에는 테이블 권한 및 부여 가능한 권한에 대한 확인란이 있습니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/grant-TBAC-DB-table-permissions.png)

   **데이터베이스 권한**에서 일치하는 데이터베이스에 대해 보안 주체에 부여할 데이터베이스 권한을 선택합니다.

   **테이블 권한**에서 일치하는 테이블 및 뷰에 대해 보안 주체에 부여할 테이블 또는 뷰 권한을 선택합니다.

   **테이블 권한**에서 `Select`, `Describe` 및 `Drop` 권한을 선택하여 뷰에 적용할 수도 있습니다.

1. **권한 부여**를 선택합니다.

------
#### [ AWS CLI ]

 AWS Command Line Interface (AWS CLI) 및 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 메서드를 사용하여 데이터 카탈로그 데이터베이스, 테이블 및 열에 대한 Lake Formation 권한을 부여할 수 있습니다.

**AWS CLI 및 LF-TBAC 메서드를 사용하여 데이터 레이크 권한 부여**
+ `grant-permissions` 명령을 사용합니다.  
**Example**  

  다음 예제는 LF 태그 표현식 '`module=*`'(LF 태그 키 `module`의 모든 값)를 사용자 `datalake_user1`에게 부여합니다. 해당 사용자는 일치하는 모든 데이터베이스(모든 값의 키 `module`과 함께 LF 태그가 할당된 데이터베이스)에 대해 `CREATE_TABLE` 권한을 갖게 됩니다.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["*"]}]}}' 
  ```  
**Example**  

  다음 예제는 LF 태그 표현식 '`(level=director) AND (region=west OR region=south)`'를 사용자 `datalake_user1`에게 부여합니다. 해당 사용자는 일치하는 테이블(`level=director` 및 `region=west` 또는 `region=south`가 모두 할당된 테이블)에 대해 권한 부여 옵션을 사용하여 `SELECT`, `ALTER` 및 `DROP` 권한을 갖게 됩니다.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "SELECT" "ALTER" "DROP" --permissions-with-grant-option "SELECT" "ALTER" "DROP" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"TABLE","Expression": [{"TagKey": "level","TagValues": ["director"]},{"TagKey": "region","TagValues": ["west", "south"]}]}}'
  ```  
**Example**  

  다음 예제에서는 LF 태그 표현식 "`module=orders`"를 AWS 계정 1234-5678-9012에 부여합니다. 그러면 해당 계정의 데이터 레이크 관리자가 해당 계정의 보안 주체에 '`module=orders`' 표현식을 부여할 수 있습니다. 해당 보안 주체는 명명된 리소스 방법 또는 LF-TBAC 방법을 사용하여 계정 1111-2222-3333이 소유하고 계정 1234-5678-9012와 공유한 데이터베이스를 일치시킬 수 있는 `CREATE_TABLE` 권한을 갖게 됩니다.

  ```
  aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=123456789012 --permissions "CREATE_TABLE" --permissions-with-grant-option "CREATE_TABLE" --resource '{ "LFTagPolicy": {"CatalogId":"111122223333","ResourceType":"DATABASE","Expression":[{"TagKey":"module","TagValues":["orders"]}]}}'
  ```

------