기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Lake Formation: 작동 방식
<a name="how-it-works"></a>

 AWS Lake Formation 는 Amazon S3의 기본 데이터가 있는 데이터베이스, 테이블 및 열과 같은 데이터 카탈로그 리소스에 대한 액세스 권한을 부여하거나 취소할 수 있는 관계형 데이터베이스 관리 시스템(RDBMS) 권한 모델을 제공합니다. 관리하기 쉬운 Lake Formation 권한은 복잡한 Amazon S3 버킷 정책 및 해당 IAM 정책을 대체합니다.

Lake Formation에서는 다음과 같은 두 가지 수준에서 권한을 구현할 수 있습니다.
+ 데이터베이스 및 테이블과 같은 데이터 카탈로그 리소스에 메타데이터 수준 권한 적용
+ 통합 엔진을 대신하여 Amazon S3에 저장된 기본 데이터에 대한 스토리지 액세스 권한 관리 

## Lake Formation 권한 관리 워크플로
<a name="lf-workflow"></a>

Lake Formation은 Lake Formation에 등록된 Amazon S3 데이터 스토어와 메타데이터 객체를 쿼리할 수 있도록 분석 엔진과 통합됩니다. 다음 다이어그램은 Lake Formation의 권한 관리 방식을 보여 줍니다.

![Lake Formation 권한은 사용자에서 Data Catalog 및 S3 스토리지 Athena 로 흐릅니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/lf-workflow.png)


**Lake Formation 권한 관리의 주요 단계**

Lake Formation이 데이터 레이크의 데이터에 대한 액세스 제어를 제공하려면 먼저 [데이터 레이크 관리자](initial-lf-config.md#create-data-lake-admin) 또는 관리 권한이 있는 사용자가 Lake Formation 권한을 사용하여 데이터 카탈로그 테이블에 대한 액세스를 허용하거나 거부하도록 개별 데이터 카탈로그 테이블 사용자 정책을 설정합니다.**

그러면 데이터 레이크 관리자 또는 관리자가 위임한 사용자가 데이터 카탈로그 데이터베이스 및 테이블에 대한 Lake Formation 권한을 사용자에게 부여하고 테이블의 Amazon S3 위치를 Lake Formation에 등록합니다.

1. **메타데이터 가져오기** - 보안 주체(사용자)가 Amazon Athena, Amazon EMR 또는 Amazon Redshift Spectrum과 같은 [ 통합 분석 엔진](working-with-services.md)에 쿼리 또는 AWS Glue ETL 스크립트를 제출합니다. 통합 분석 엔진은 요청된 테이블을 식별하고 데이터 카탈로그에 메타데이터 요청을 보냅니다.

1. **권한 확인** - 데이터 카탈로그는 Lake Formation으로 사용자의 권한을 확인하고, 사용자가 테이블에 액세스할 수 있는 경우 사용자가 볼 수 있는 메타데이터를 엔진에 반환합니다.

1. **자격 증명 가져오기** - 데이터 카탈로그를 통해 엔진은 테이블이 Lake Formation에서 관리되는지 여부를 알 수 있습니다. 기본 데이터가 Lake Formation에 등록된 경우 분석 엔진은 Lake Formation에 임시 액세스 권한을 부여하여 데이터 액세스를 제공하도록 요청합니다.

1. **데이터 가져오기** - 사용자가 테이블에 액세스할 수 있는 경우 Lake Formation이 통합 분석 엔진에 대한 임시 액세스를 제공합니다. 분석 엔진은 임시 액세스를 사용하여 Amazon S3에서 데이터를 가져오고 열, 행 또는 셀 필터링과 같은 필요한 필터링을 수행합니다. 엔진에서 작업 실행을 마치면 결과가 사용자에게 반환됩니다. 이 프로세스를 [자격 증명 벤딩](using-cred-vending.md)이라고 합니다.

   Lake Formation에서 테이블을 관리하지 않는 경우 분석 엔진에서 두 번째 호출이 Amazon S3로 직접 전송됩니다. 관련 Amazon S3 버킷 정책 및 IAM 사용자 정책은 데이터 액세스에 대해 평가됩니다.

   IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.

**Topics**
+ [Lake Formation 권한 관리 워크플로](#lf-workflow)
+ [메타데이터 권한](metadata-permissions.md)
+ [스토리지 액세스 관리](storage-permissions.md)
+ [Lake Formation에서의 교차 계정 데이터 공유](cross-data-sharing-lf.md)