

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Glue 리소스를 하이브리드 리소스로 변환
<a name="hybrid-access-mode-new"></a>

다음 단계에 따라 Amazon S3 위치를 하이브리드 액세스 모드로 등록하고 기존 데이터 카탈로그 사용자의 데이터 액세스를 중단하지 않고도 새로운 Lake Formation 사용자를 온보딩할 수 있습니다.

시나리오 설명 - 데이터 위치가 Lake Formation에 등록되지 않았으며 데이터 카탈로그 데이터베이스 및 테이블에 대한 사용자 액세스 권한이 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책에 따라 결정됩니다.   `IAMAllowedPrincipals` 그룹은 기본적으로 데이터베이스의 모든 테이블에 대한 `Super` 권한을 가집니다.

**Lake Formation에 등록되지 않은 데이터 위치에 대해 하이브리드 액세스 모드를 활성화하려면**

1. 

**Amazon S3 위치를 등록하여 하이브리드 액세스 모드를 활성화합니다.**

------
#### [ Console ]

   1. [Lake Formation 콘솔](https://console.aws.amazon.com/lakeformation/)에 데이터 레이크 관리자로 로그인합니다.

   1. 탐색 창의 **관리**에서 **데이터 레이크 위치**를 선택합니다.

   1. **위치 등록**을 선택합니다.  
![S3 경로, IAM 역할 및 권한 모드 옵션에 대한 필드가 있는 위치 페이지를 등록합니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-register-s3.png)

   1. **위치 등록** 창에서 Lake Formation에 등록하려는 **Amazon S3** 경로를 선택합니다.

   1. **IAM 역할**의 경우 `AWSServiceRoleForLakeFormationDataAccess` 서비스 연결 역할(기본값) 또는 [위치를 등록하는 데 사용되는 역할에 대한 요구 사항](registration-role.md)의 요구 사항을 충족하는 사용자 지정 IAM 역할을 선택합니다.

   1. **하이브리드 액세스 모드**를 선택하면 등록된 위치를 가리키는 옵트인 보안 주체와 데이터 카탈로그 데이터베이스 및 테이블에 세분화된 Lake Formation 액세스 제어 정책을 적용할 수 있습니다. 

      Lake Formation이 등록된 위치에 대한 액세스 요청을 승인하도록 허용하려면 Lake Formation을 선택합니다. 

   1. **위치 등록**을 선택합니다.

------
#### [ AWS CLI ]

   다음은 HybridAccessEnabled:true/false를 사용하여 Lake Formation에 데이터 위치를 등록하는 예제입니다. `HybridAccessEnabled` 파라미터의 기본값은 false입니다. Amazon S3 경로, 역할 이름 및 AWS 계정 ID를 유효한 값으로 바꿉니다.

   ```
   aws lakeformation register-resource --cli-input-json file:{{file path}}
   json:
       {
           "ResourceArn": "arn:aws:s3:::{{s3-path}}",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::{{<123456789012>}}:role/{{<role-name>}}",
           "HybridAccessEnabled": true
       }
   ```

------

1. 

**하이브리드 액세스 모드의 리소스에 대해 Lake Formation 권한을 사용하도록 권한을 부여하고 보안 주체를 옵트인합니다.**

   하이브리드 액세스 모드에서 보안 주체 및 리소스를 옵트인하기 전에 하이브리드 액세스 모드에서 Lake Formation에 위치가 등록된 데이터베이스 및 테이블에 대해 `IAMAllowedPrincipals` 그룹에 대한 `Super` 또는 `All` 권한이 있는지 확인합니다.
**참고**  
데이터베이스 내에서는 `IAMAllowedPrincipals` 그룹에 `All tables`에 대한 권한을 부여할 수 없습니다. 드롭다운 메뉴에서 각 테이블을 개별적으로 선택하고 권한을 부여해야 합니다. 또한 데이터베이스에 새 테이블을 생성할 때 **데이터 카탈로그 설정**에서 `Use only IAM access control for new tables in new databases`를 사용하도록 선택할 수 있습니다. 이 옵션은 데이터베이스 내에 새 테이블을 생성할 때 `IAMAllowedPrincipals` 그룹에 자동으로 `Super` 권한을 부여합니다.

------
#### [ Console ]

   1. Lake Formation 콘솔의 **Data Catalog**에서 **카탈로그**, **데이터베이스** 또는 **테이블**을 선택합니다.

   1. 목록에서 카탈로그, 데이터베이스 또는 테이블을 선택하고 **작업** 메뉴에서 **권한 부여**를 선택합니다.

   1. 명명된 리소스 방법 또는 LF 태그를 사용하여 데이터베이스, 테이블 및 열에 대한 권한을 부여할 보안 주체를 선택합니다.

      또는 **데이터 권한**을 선택하고 목록에서 권한을 부여할 보안 주체를 선택한 다음 **권한 부여**를 선택합니다.

      데이터 권한 부여에 대한 자세한 내용은 [데이터 카탈로그 리소스에 대한 권한 부여](granting-catalog-permissions.md) 섹션을 참조하세요.
**참고**  
보안 주체에게 테이블 생성 권한을 부여하는 경우 보안 주체에 데이터 위치 권한(`DATA_LOCATION_ACCESS`)도 부여해야 합니다. 테이블을 업데이트하는 데는 이 권한이 필요하지 않습니다.  
자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.

   1. **명명된 리소스 방법**을 사용하여 권한을 부여하는 경우 **데이터 권한** 부여 페이지의 하단 섹션에서 보안 주체 및 리소스를 옵트인하는 옵션을 사용할 수 있습니다.

      **Lake Formation 권한을 즉시 적용**을 선택하여 보안 주체 및 리소스에 대해 Lake Formation 권한을 활성합니다.  
![Data Catalog 리소스에 대한 하이브리드 액세스 모드를 선택하는 옵션입니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-grant-option.png)

   1. **권한 부여**를 선택합니다.

       데이터 위치를 가리키는 테이블 A에서 보안 주체 A를 옵트인하면 데이터 위치가 하이브리드 모드로 등록된 경우 보안 주체 A가 Lake Formation 권한을 사용하여 이 테이블의 위치에 액세스할 수 있습니다.

------
#### [ AWS CLI ]

   다음은 하이브리드 액세스 모드에서 보안 주체와 테이블을 옵트인하기 위한 예제입니다. 역할 이름, AWS 계정 ID, 데이터베이스 이름 및 테이블 이름을 유효한 값으로 바꾸세요.

   ```
   aws lakeformation create-lake-formation-opt-in --cli-input-json file://{{file path}}
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::{{<123456789012>}}:role/{{<hybrid-access-role>}}"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "{{<123456789012>}}",
                   "DatabaseName": "{{<hybrid_test>}}",
                   "Name": "{{<hybrid_test_table>}}"
               }
           }
       }
   ```

------

   1. 권한을 부여하기 위해 LF 태그를 선택하는 경우, 보안 주체가 별도의 단계에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 왼쪽 탐색 표시줄의 **권한** 아래에서 **하이브리드 액세스 모드**를 선택하여 이 작업을 수행할 수 있습니다.

   1.  **하이브리드 액세스 모드** 페이지의 하단에서 **추가**를 선택하여 하이브리드 액세스 모드에 리소스와 보안 주체를 추가합니다.

   1.  **리소스 및 보안 주체 추가** 페이지에서 하이브리드 액세스 모드로 등록된 카탈로그, 데이터베이스와 테이블을 선택합니다.

      데이터베이스에서 `All tables`를 선택하여 액세스 권한을 부여할 수 있습니다.  
![하이브리드 액세스 모드에서 카탈로그, 데이터베이스 및 테이블을 추가하는 인터페이스입니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-opt-in.png)

   1. 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하도록 옵트인할 보안 주체를 선택합니다.
      +  **보안 주체** - 동일한 계정 또는 다른 계정에서 IAM 사용자 및 역할을 선택할 수 있습니다. SAML 사용자 및 그룹을 선택할 수도 있습니다.
      + **속성** - 속성을 선택하여 속성을 기반으로 권한을 부여합니다.  
![속성 표현식을 사용하여 보안 주체와 리소스를 추가하는 인터페이스입니다.](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/abac-hybrid-access.png)
      + 키-값 페어를 입력하여 속성을 기반으로 권한 부여를 생성합니다. 콘솔에서 Cedar 정책 표현식을 검토합니다. Cedar에 대한 자세한 내용은 [What is Cedar?를 참조하세요. \| Cedar 정책 언어 참조 가이드 링크](https://docs.cedarpolicy.com/)
      + **추가**를 선택합니다.

        일치하는 속성을 가진 모든 IAM 역할/사용자에게 액세스 권한이 부여됩니다.

   1. **추가**를 선택합니다.