기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 하이브리드 액세스 모드
AWS Lake Formation *하이브리드 액세스 모드*는 동일한 AWS Glue Data Catalog 객체에 대한 두 개의 권한 경로를 지원합니다.
첫 번째 경로에서는 Lake Formation을 통해 특정 보안 주체를 선택하고 옵트인을 통해 해당 보안 주체에 카탈로그, 데이터베이스, 테이블, 보기에 액세스할 수 있는 Lake Formation 권한을 부여할 수 있습니다. 두 번째 경로는 다른 모든 보안 주체가 Amazon S3 및 AWS Glue 작업에 대한 기본 IAM 보안 주체 정책을 통해 이러한 리소스에 액세스할 수 있도록 허용합니다.
Amazon S3 위치를 Lake Formation에 등록하면 이 위치의 모든 리소스에 대해 Lake Formation 권한을 적용하거나 하이브리드 액세스 모드를 사용할 수 있습니다. 하이브리드 액세스 모드는 기본적으로 `CREATE_TABLE`, `CREATE_PARTITION`, `UPDATE_TABLE` 권한만 적용합니다. Amazon S3 위치가 하이브리드 모드인 경우 해당 위치 아래의 Data Catalog 객체에 대한 보안 주체를 옵트인하여 Lake Formation 권한을 활성화할 수 있습니다.
즉, Lake Formation 권한과 IAM 권한 모두 해당 데이터에 대한 액세스를 제어할 수 있습니다. 즉, 옵트인 보안 주체는 데이터에 액세스하려면 Lake Formation 권한과 IAM 권한이 모두 필요한 반면, 옵트인이 아닌 보안 주체는 IAM 권한만 사용하여 데이터에 계속 액세스합니다.
따라서 하이브리드 액세스 모드는 다른 기존 사용자 또는 워크로드에 대한 액세스를 중단하지 않고도 특정 사용자 집합의 Data Catalog의 카탈로그, 데이터베이스 및 테이블에 대해 Lake Formation을 선택적으로 활성화할 수 있는 유연성을 제공합니다.
![\[AWS 계정 architecture showing data flow between S3, Glue, Lake Formation, Athena, and IAM roles.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-mode-concept.png)
고려 사항 및 제한 사항은 [하이브리드 액세스 모드 고려 사항 및 제한 사항](notes-hybrid.md) 단원을 참조하세요.용어 및 정의
액세스 권한 설정 방법에 따른 데이터 카탈로그 리소스의 정의는 다음과 같습니다.
Lake Formation 리소스
Lake Formation에 등록된 리소스입니다. 사용자가 리소스에 액세스하려면 Lake Formation 권한이 필요합니다.
AWS Glue 리소스
Lake Formation에 등록되지 않은 리소스입니다. 리소스에는 `IAMAllowedPrincipals` 그룹 권한이 있으므로 사용자는 IAM 권한만 있으면 리소스에 액세스할 수 있습니다. Lake Formation 권한은 적용되지 않습니다.
`IAMAllowedPrincipals` 그룹 권한에 대한 자세한 내용은 [메타데이터 권한](metadata-permissions.md) 섹션을 참조하십시오.
하이브리드 리소스
하이브리드 액세스 모드에서 등록된 리소스입니다. 리소스에 액세스하는 사용자에 따라 리소스는 Lake Formation 리소스 또는 AWS Glue 리소스 간에 동적으로 전환됩니다.
## 일반적인 하이브리드 액세스 모드 사용 사례
하이브리드 액세스 모드를 사용하여 단일 계정 및 교차 계정 데이터 공유 시나리오에서 액세스를 제공할 수 있습니다.
**단일 계정 시나리오**
+ ** AWS Glue 리소스를 하이브리드 리소스로 변환 **-이 시나리오에서는 현재 Lake Formation을 사용하고 있지 않지만 데이터 카탈로그 객체에 대해 Lake Formation 권한을 채택하려고 합니다. 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하면 해당 위치를 가리키는 특정 데이터베이스 및 테이블을 옵트인하는 사용자에게 Lake Formation 권한을 부여할 수 있습니다.
+ **Lake Formation 리소스를 하이브리드 리소스로 전환** - 현재는 Lake Formation 권한을 사용하여 데이터 카탈로그 데이터베이스에 대한 액세스를 제어하고 있지만 기존 Lake Formation 권한을 중단하지 않으면서 Amazon S3 및 AWS Glue 에 대한 IAM 권한을 사용하여 새 보안 주체에 대한 액세스를 제공하려고 합니다.
데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하면 새 보안 주체가 기존 사용자의 Lake Formation 권한을 방해하지 않고 IAM 권한 정책을 사용하여 Amazon S3 위치를 가리키는 데이터 카탈로그 데이터베이스에 액세스할 수 있습니다.
하이브리드 액세스 모드를 활성화하도록 데이터 위치 등록을 업데이트하기 전에 먼저 현재 Lake Formation 권한으로 리소스에 액세스하고 있는 보안 주체를 옵트인해야 합니다.
이는 현재 워크플로에 대한 잠재적 중단을 방지하기 위한 것입니다.
또한 데이터베이스의 테이블에 대한 `Super` 권한을 `IAMAllowedPrincipal` 그룹에 부여해야 합니다.
**교차 계정 데이터 공유 시나리오**
+ **하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유** -이 시나리오에서 생산자 계정에는 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 현재 소비자 계정과 공유되는 데이터베이스의 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있지 않습니다.
하이브리드 액세스 모드에서 데이터 위치를 등록하기 전에 **교차 계정 버전 설정**을 버전 4로 업데이트해야 합니다. 버전 4는 `IAMAllowedPrincipal` 그룹에 리소스에 대한 AWS RAM 권한이 있을 때 교차 계정 공유에 필요한 새로운 `Super` 권한 정책을 제공합니다. `IAMAllowedPrincipal` 그룹 권한이 있는 리소스의 경우 외부 계정에 Lake Formation 권한을 부여하고 외부 계정에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 수신자 계정의 데이터 레이크 관리자는 계정의 보안 주체에 Lake Formation 권한을 부여하고 보안 주체가 Lake Formation 권한을 적용하도록 옵트인할 수 있습니다.
+ **하이브리드 액세스 모드를 사용하여 Lake Formation 리소스 공유** - 현재 생산자 계정에는 Lake Formation 권한을 적용하는 소비자 계정과 공유되는 데이터베이스 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다.
이 경우 Amazon S3 위치 등록을 하이브리드 액세스 모드로 업데이트하고, Amazon S3 버킷 정책 및 데이터 카탈로그 리소스 정책을 사용하여 Amazon S3의 데이터와 데이터 카탈로그의 메타데이터를 소비자 계정의 보안 주체와 공유할 수 있습니다. Amazon S3 위치 등록을 업데이트하기 전에 기존 Lake Formation 권한을 다시 부여하고 보안 주체를 옵트인해야 합니다. 또한 데이터베이스의 테이블에 대한 `Super` 권한을 `IAMAllowedPrincipals` 그룹에 부여해야 합니다.
**Topics**
+ [일반적인 하이브리드 액세스 모드 사용 사례](#hybrid-access-mode-use-cases)
+ [하이브리드 액세스 모드의 작동 방식](hybrid-access-workflow.md)
+ [하이브리드 액세스 모드 설정 - 일반 시나리오](hybrid-access-setup.md)
+ [하이브리드 액세스 모드에서 보안 주체 및 리소스 제거](delete-hybrid-access.md)
+ [하이브리드 액세스 모드에서 보안 주체 및 리소스 보기](view-hybrid-access.md)
+ [추가 리소스](additional-resources-hybrid.md)
# 하이브리드 액세스 모드의 작동 방식
다음 다이어그램은 데이터 카탈로그 리소스를 쿼리할 때 하이브리드 액세스 모드에서 Lake Formation 권한 부여가 작동하는 방식을 보여줍니다.
![\[AWS Lake Formation authorization process flowchart for hybrid access mode queries.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-workflow.png)
데이터 레이크 관리자 또는 관리 권한이 있는 사용자는 데이터 레이크의 데이터에 액세스하기 전에 개별 데이터 카탈로그 테이블 사용자 정책을 설정하여 데이터 카탈로그의 테이블에 대한 액세스를 허용하거나 거부합니다. 그러면 `RegisterResource` 작업을 수행할 권한이 있는 보안 주체가 하이브리드 액세스 모드에서 테이블의 Amazon S3 위치를 Lake Formation에 등록합니다. 데이터 위치가 Lake Formation에 등록되어 있지 않은 경우, 관리자는 Data Catalog 데이터베이스 및 테이블의 특정 사용자에게 Lake Formation 권한을 부여하고 하이브리드 액세스 모드에서 해당 데이터베이스 및 테이블에 대해 Lake Formation 권한을 사용하도록 옵트인합니다.
1. **쿼리 제출** - 보안 주체는 Amazon Athena, Amazon EMR 또는 Amazon Redshift Spectrum과 같은 통합 서비스를 사용하여 쿼리 또는 AWS Glue ETL 스크립트를 제출합니다.
1. **데이터 요청** - 통합 분석 엔진이 요청 중인 테이블을 식별하고 데이터 카탈로그(`GetTable`, `GetDatabase`)에 메타데이터 요청을 보냅니다.
1. **권한 확인** - 데이터 카탈로그가 Lake Formation을 사용하여 쿼리 보안 주체의 액세스 권한을 확인합니다.
1. 테이블에 `IAMAllowedPrincipals` 그룹 권한이 연결되어 있지 않은 경우 Lake Formation 권한이 적용됩니다.
1. 보안 주체가 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하도록 선택하고 테이블에 `IAMAllowedPrincipals` 그룹 권한이 연결되어 있는 경우 Lake Formation 권한이 적용됩니다. 쿼리 엔진은 Lake Formation에서 수신한 필터를 적용하고 사용자에게 데이터를 반환합니다.
1. 테이블 위치가 Lake Formation에 등록되어 있지 않고 보안 주체가 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하도록 선택하지 않은 경우 데이터 카탈로그는 테이블에 `IAMAllowedPrincipals` 그룹 권한이 연결되어 있는지 확인합니다. 테이블에 이 권한이 있는 경우 계정의 모든 보안 주체가 테이블에 대해 `Super` 또는 `All` 권한을 갖게 됩니다.
Lake Formation 자격 증명 제공은 데이터 위치가 Lake Formation에 등록되어 있지 않은 한 옵트인한 경우에도 사용할 수 없습니다.
1. **자격 증명 가져오기** — 데이터 카탈로그는 테이블 위치가 Lake Formation에 등록되었는지 여부를 확인하여 엔진에 알려줍니다. 기본 데이터가 Lake Formation에 등록된 경우 분석 엔진은 Lake Formation에 Amazon S3 버킷의 데이터에 액세스할 수 있는 임시 자격 증명을 요청합니다.
1. **데이터 가져오기** - 보안 주체가 테이블 데이터에 액세스할 수 있는 경우 Lake Formation이 통합 분석 엔진에 대한 임시 액세스를 제공합니다. 분석 엔진은 임시 액세스를 사용하여 Amazon S3에서 데이터를 가져오고 열, 행 또는 셀 필터링과 같은 필요한 필터링을 수행합니다. 엔진에서 작업 실행을 마치면 결과가 사용자에게 반환됩니다. 이 프로세스를 자격 증명 벤딩이라고 합니다. 자세한 정보는 [Lake Formation과 서드 파티 서비스 통합](Integrating-with-LakeFormation.md) 섹션을 참조하십시오.
1.
테이블의 데이터 위치가 Lake Formation에 등록되지 않은 경우 분석 엔진에서 두 번째 호출이 Amazon S3로 직접 전송됩니다. 관련 Amazon S3 버킷 정책 및 IAM 사용자 정책은 데이터 액세스에 대해 평가됩니다. IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 [IAM 사용 설명서의 IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
# 하이브리드 액세스 모드 설정 - 일반 시나리오
Lake Formation 권한과 마찬가지로 일반적으로 하이브리드 액세스 모드를 사용하여 데이터 액세스를 관리할 수 있는 두 가지 유형의 시나리오가 있습니다. 하나는 보안 주체에 대한 액세스를 제공하고 다른 하나는 외부 AWS 계정 또는 보안 주체에 대한 액세스를 AWS 계정 제공합니다.
이 섹션에서는 다음과 같은 시나리오에서 하이브리드 액세스 모드를 설정하는 방법에 대한 지침을 제공합니다.
**내에서 하이브리드 액세스 모드에서 권한 관리 AWS 계정**
+ [AWS Glue 리소스를 하이브리드 리소스로 변환](hybrid-access-mode-new.md) - 현재 Amazon S3에 대한 IAM 권한을 사용하여 계정의 모든 보안 주체에 대해 데이터베이스의 테이블에 대한 액세스를 제공하고 AWS Glue 있지만 Lake Formation을 채택하여 권한을 점진적으로 관리하려고 합니다.
+ [Lake Formation 리소스를 하이브리드 리소스로 변환](hybrid-access-mode-update.md) - 현재 Lake Formation을 사용하여 계정의 모든 보안 주체에 대해 데이터베이스의 테이블 액세스를 관리하고 있지만 특정 보안 주체에 대해서만 Lake Formation을 사용하려고 합니다. 동일한 데이터베이스 및 테이블에서 AWS Glue 및 Amazon S3에 대한 IAM 권한을 사용하여 새 보안 주체에 대한 액세스를 제공하려고 합니다.
**에서 하이브리드 액세스 모드 AWS 계정의 권한 관리**
+ [하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유](hybrid-access-mode-cross-account.md) - 현재 Lake Formation을 사용하여 테이블에 대한 권한을 관리하고 있지 않지만 Lake Formation 권한을 적용하여 다른 계정의 보안 주체에 대한 액세스 권한을 제공하려고 합니다.
+ [하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유](hybrid-access-mode-cross-account-IAM.md) - Lake Formation을 사용하여 테이블에 대한 액세스를 관리하지만 동일한 데이터베이스 AWS Glue 및 테이블에서 및 Amazon S3에 대한 IAM 권한을 사용하여 다른 계정의 보안 주체에 대한 액세스를 제공하려고 합니다.
**하이브리드 액세스 모드 설정 - 주요 단계**
1. **하이브리드 액세스 모드**를 선택하여 Lake Formation에 Amazon S3 데이터 위치를 등록합니다.
1. 보안 주체에 데이터 레이크 위치에 대한 `DATA_LOCATION` 권한이 있어야 해당 위치를 가리키는 데이터 카탈로그 테이블 또는 데이터베이스를 생성할 수 있습니다.
1. **교차 계정 버전 설정**을 버전 4로 설정합니다.
1. 데이터베이스 및 테이블에 대한 특정 IAM 사용자 또는 역할에 세분화된 권한을 부여합니다. 동시에 데이터베이스 및 데이터베이스의 전체 테이블 또는 선택한 테이블에 대해 `IAMAllowedPrincipals` 그룹에 `Super` 또는 `All` 권한을 설정해야 합니다.
1. 보안 주체와 리소스를 옵트인합니다. 계정의 다른 보안 주체는 및 Amazon S3 작업에 대한 IAM 권한 정책을 사용하여 데이터베이스 AWS Glue 및 테이블에 계속 액세스할 수 있습니다.
1. Lake Formation 권한을 사용하도록 선택한 보안 주체에 대한 Amazon S3의 IAM 권한 정책을 선택적으로 정리할 수 있습니다.
# 하이브리드 액세스 모드 설정을 위한 필수 조건
다음은 하이브리드 액세스 모드를 설정하기 위한 필수 조건입니다.
**참고**
Lake Formation 관리자는 하이브리드 액세스 모드에서 Amazon S3 위치를 등록하고 보안 주체와 리소스를 옵트인하는 것이 좋습니다.
1. Amazon S3 위치를 가리키는 데이터 카탈로그 리소스를 생성할 수 있는 데이터 위치 권한(`DATA_LOCATION_ACCESS`)을 부여합니다. 데이터 위치 권한은 특정 Amazon S3 위치를 가리키는 Data Catalog 카탈로그, 데이터베이스 및 테이블을 생성하는 기능을 제어합니다.
1. 하이브리드 액세스 모드에서 다른 계정과 데이터 카탈로그 리소스를 공유하려면(리소스에서 `IAMAllowedPrincipals` 그룹 권한을 제거하지 않고) **교차 계정 버전 설정을** 버전 4 이상으로 업데이트해야 합니다. Lake Formation 콘솔을 사용하여 버전을 업데이트하려면 **데이터 카탈로그** **설정 페이지의 교차 계정 버전 설정**에서 버전 **4** 또는 버전 5를 선택합니다. ****
`put-data-lake-settings` AWS CLI 명령을 사용하여 `CROSS_ACCOUNT_VERSION` 파라미터를 버전 4 또는 5로 설정할 수도 있습니다.
```
aws lakeformation put-data-lake-settings --region us-east-1 --data-lake-settings file://settings
{
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "arn:aws:iam::<111122223333>:user/"
}
],
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"Parameters": {
"CROSS_ACCOUNT_VERSION": "5"
}
}
```
1.
하이브리드 액세스 모드에서 교차 계정 권한을 부여하려면 부여자에게 AWS Glue 및 AWS RAM 서비스에 필요한 IAM 권한이 있어야 합니다. AWS 관리형 정책은 필요한 권한을 `AWSLakeFormationCrossAccountManager` 부여합니다.
하이브리드 액세스 모드에서 교차 계정 데이터 공유를 활성화하기 위해 다음 두 개의 새 IAM 권한을 추가하여 `AWSLakeFormationCrossAccountManager` 관리형 정책을 업데이트했습니다.
+ ram:ListResourceSharePermissions
+ ram:AssociateResourceSharePermission
**참고**
권한 부여자 역할에 관리 AWS 형 정책을 사용하지 않는 경우 위의 정책을 사용자 지정 정책에 추가합니다.
## Amazon S3 버킷 위치 및 사용자 액세스
에서 카탈로그, 데이터베이스 또는 테이블을 생성할 때 기본 데이터의 Amazon S3 버킷 위치를 지정하고 Lake Formation에 등록할 AWS Glue Data Catalog수 있습니다. 아래 표에서는 테이블 또는 데이터베이스의 Amazon S3 데이터 위치를 기반으로 AWS Glue 및 Lake Formation 사용자(보안 주체)에 대한 권한이 작동하는 방식을 설명합니다.
**Lake Formation에 Amazon S3 위치 등록**
| 데이터베이스의 Amazon S3 위치 | AWS Glue 사용자 | Lake Formation 사용자 |
| --- | --- | --- |
| Lake Formation에 등록(하이브리드 액세스 모드 또는 Lake Formation 모드) | IAMAllowedPrincipals 그룹(슈퍼 액세스) 권한에서 권한을 상속하여 Amazon S3 데이터 위치에 대한 읽기 및 쓰기 액세스 권한을 갖습니다. | 부여된 CREATE TABLE 권한에서 테이블을 생성할 수 있는 권한을 상속합니다. |
| 연결된 Amazon S3 위치 없음 | CREATE TABLE 및 INSERT TABLE 문을 실행하려면 명시적 DATA LOCATION 권한이 필요합니다. | CREATE TABLE 및 INSERT TABLE 문을 실행하려면 명시적 DATA LOCATION 권한이 필요합니다. |
****IsRegisteredWithLakeFormation** 테이블 속성**
테이블의 `IsRegisteredWithLakeFormation` 속성은 테이블의 데이터 위치가 요청자의 Lake Formation에 등록되어 있는지 여부를 나타냅니다. 위치의 권한 모드가 Lake Formation으로 등록될 경우 모든 사용자가 해당 테이블에 옵트인된 것으로 간주되므로 `IsRegisteredWithLakeFormation` 속성은 데이터 위치에 액세스하는 모든 사용자에 대해 `true`입니다. 위치가 하이브리드 액세스 모드로 등록될 경우 해당 테이블에 대해 옵트인한 사용자에 대해서만 값이 `true`로 설정됩니다.
**`IsRegisteredWithLakeFormation` 작동 방식**
| 권한 모드 | 사용자 및 역할 | `IsRegisteredWithLakeFormation` | 설명 |
| --- | --- | --- | --- |
| Lake Formation | 모두 | True | 위치가 Lake Formation에 등록되면 모든 사용자에 대해 `IsRegisteredWithLakeFormation` 속성이 true로 설정됩니다. 다시 말해 Lake Formation에 정의된 권한이 등록된 위치에 적용됩니다. 자격 증명 벤딩은 Lake Formation에서 수행합니다. |
| 하이브리드 액세스 모드 | 옵트인됨 | True | 테이블에 대한 데이터 액세스 및 거버넌스에 Lake Formation을 사용하도록 선택한 사용자의 경우 해당 테이블에 대한 `IsRegisteredWithLakeFormation` 속성이 `true`로 설정됩니다. 등록된 위치에서 Lake Formation에 정의된 권한 정책이 적용됩니다. |
| 하이브리드 액세스 모드 | 옵트인되지 않음 | False | Lake Formation 권한을 사용하도록 옵트인하지 않은 사용자의 경우 `IsRegisteredWithLakeFormation` 속성이 `false`로 설정됩니다. 등록된 위치에서 Lake Formation에 정의된 권한 정책이 적용되지 않습니다. 대신 사용자는 Amazon S3 권한 정책을 따릅니다. |
# AWS Glue 리소스를 하이브리드 리소스로 변환
다음 단계에 따라 Amazon S3 위치를 하이브리드 액세스 모드로 등록하고 기존 데이터 카탈로그 사용자의 데이터 액세스를 중단하지 않고도 새로운 Lake Formation 사용자를 온보딩할 수 있습니다.
시나리오 설명 - 데이터 위치가 Lake Formation에 등록되지 않았으며 데이터 카탈로그 데이터베이스 및 테이블에 대한 사용자 액세스 권한이 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책에 따라 결정됩니다.
`IAMAllowedPrincipals` 그룹은 기본적으로 데이터베이스의 모든 테이블에 대한 `Super` 권한을 가집니다.
**Lake Formation에 등록되지 않은 데이터 위치에 대해 하이브리드 액세스 모드를 활성화하려면**
1.
**Amazon S3 위치를 등록하여 하이브리드 액세스 모드를 활성화합니다.**
------
#### [ Console ]
1. [Lake Formation 콘솔](https://console.aws.amazon.com/lakeformation/)에 데이터 레이크 관리자로 로그인합니다.
1. 탐색 창의 **관리**에서 **데이터 레이크 위치**를 선택합니다.
1. **위치 등록**을 선택합니다.
![\[Register location form for Amazon S3 data lake with path input, IAM role selection, and permission mode options.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-register-s3.png)
1. **위치 등록** 창에서 Lake Formation에 등록하려는 **Amazon S3** 경로를 선택합니다.
1. **IAM 역할**의 경우 `AWSServiceRoleForLakeFormationDataAccess` 서비스 연결 역할(기본값) 또는 [위치를 등록하는 데 사용되는 역할에 대한 요구 사항](registration-role.md)의 요구 사항을 충족하는 사용자 지정 IAM 역할을 선택합니다.
1. **하이브리드 액세스 모드**를 선택하면 등록된 위치를 가리키는 옵트인 보안 주체와 데이터 카탈로그 데이터베이스 및 테이블에 세분화된 Lake Formation 액세스 제어 정책을 적용할 수 있습니다.
Lake Formation이 등록된 위치에 대한 액세스 요청을 승인하도록 허용하려면 Lake Formation을 선택합니다.
1. **위치 등록**을 선택합니다.
------
#### [ AWS CLI ]
다음은 HybridAccessEnabled:true/false를 사용하여 Lake Formation에 데이터 위치를 등록하는 예제입니다. `HybridAccessEnabled` 파라미터의 기본값은 false입니다. Amazon S3 경로, 역할 이름 및 AWS 계정 ID를 유효한 값으로 바꿉니다.
```
aws lakeformation register-resource --cli-input-json file:file path
json:
{
"ResourceArn": "arn:aws:s3:::s3-path",
"UseServiceLinkedRole": false,
"RoleArn": "arn:aws:iam::<123456789012>:role/",
"HybridAccessEnabled": true
}
```
------
1.
**하이브리드 액세스 모드의 리소스에 대해 Lake Formation 권한을 사용하도록 권한을 부여하고 보안 주체를 옵트인합니다.**
하이브리드 액세스 모드에서 보안 주체 및 리소스를 옵트인하기 전에 하이브리드 액세스 모드에서 Lake Formation에 위치가 등록된 데이터베이스 및 테이블에 대해 `IAMAllowedPrincipals` 그룹에 대한 `Super` 또는 `All` 권한이 있는지 확인합니다.
**참고**
데이터베이스 내에서는 `IAMAllowedPrincipals` 그룹에 `All tables`에 대한 권한을 부여할 수 없습니다. 드롭다운 메뉴에서 각 테이블을 개별적으로 선택하고 권한을 부여해야 합니다. 또한 데이터베이스에 새 테이블을 생성할 때 **데이터 카탈로그 설정**에서 `Use only IAM access control for new tables in new databases`를 사용하도록 선택할 수 있습니다. 이 옵션은 데이터베이스 내에 새 테이블을 생성할 때 `IAMAllowedPrincipals` 그룹에 자동으로 `Super` 권한을 부여합니다.
------
#### [ Console ]
1. Lake Formation 콘솔의 **Data Catalog**에서 **카탈로그**, **데이터베이스** 또는 **테이블**을 선택합니다.
1. 목록에서 카탈로그, 데이터베이스 또는 테이블을 선택하고 **작업** 메뉴에서 **권한 부여**를 선택합니다.
1. 명명된 리소스 방법 또는 LF 태그를 사용하여 데이터베이스, 테이블 및 열에 대한 권한을 부여할 보안 주체를 선택합니다.
또는 **데이터 권한**을 선택하고 목록에서 권한을 부여할 보안 주체를 선택한 다음 **권한 부여**를 선택합니다.
데이터 권한 부여에 대한 자세한 내용은 [데이터 카탈로그 리소스에 대한 권한 부여](granting-catalog-permissions.md) 섹션을 참조하세요.
**참고**
보안 주체에게 테이블 생성 권한을 부여하는 경우 보안 주체에 데이터 위치 권한(`DATA_LOCATION_ACCESS`)도 부여해야 합니다. 테이블을 업데이트하는 데는 이 권한이 필요하지 않습니다.
자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 단원을 참조하십시오.
1. **명명된 리소스 방법**을 사용하여 권한을 부여하는 경우 **데이터 권한** 부여 페이지의 하단 섹션에서 보안 주체 및 리소스를 옵트인하는 옵션을 사용할 수 있습니다.
**Lake Formation 권한을 즉시 적용**을 선택하여 보안 주체 및 리소스에 대해 Lake Formation 권한을 활성합니다.
![\[Data Catalog 리소스에 대한 하이브리드 액세스 모드를 선택하는 옵션입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-grant-option.png)
1. **권한 부여**를 선택합니다.
데이터 위치를 가리키는 테이블 A에서 보안 주체 A를 옵트인하면 데이터 위치가 하이브리드 모드로 등록된 경우 보안 주체 A가 Lake Formation 권한을 사용하여 이 테이블의 위치에 액세스할 수 있습니다.
------
#### [ AWS CLI ]
다음은 하이브리드 액세스 모드에서 보안 주체와 테이블을 옵트인하기 위한 예제입니다. 역할 이름, AWS 계정 ID, 데이터베이스 이름 및 테이블 이름을 유효한 값으로 바꾸세요.
```
aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>",
"DatabaseName": "",
"Name": ""
}
}
}
```
------
1. 권한을 부여하기 위해 LF 태그를 선택하는 경우, 보안 주체가 별도의 단계에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 왼쪽 탐색 표시줄의 **권한** 아래에서 **하이브리드 액세스 모드**를 선택하여 이 작업을 수행할 수 있습니다.
1. **하이브리드 액세스 모드** 페이지의 하단에서 **추가**를 선택하여 하이브리드 액세스 모드에 리소스와 보안 주체를 추가합니다.
1. **리소스 및 보안 주체 추가** 페이지에서 하이브리드 액세스 모드로 등록된 카탈로그, 데이터베이스와 테이블을 선택합니다.
데이터베이스에서 `All tables`를 선택하여 액세스 권한을 부여할 수 있습니다.
![\[하이브리드 액세스 모드에서 카탈로그, 데이터베이스 및 테이블을 추가하는 인터페이스입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/hybrid-access-opt-in.png)
1. 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하도록 옵트인할 보안 주체를 선택합니다.
+ **보안 주체** - 동일한 계정 또는 다른 계정에서 IAM 사용자 및 역할을 선택할 수 있습니다. SAML 사용자 및 그룹을 선택할 수도 있습니다.
+ **속성** - 속성을 선택하여 속성을 기반으로 권한을 부여합니다.
![\[속성 표현식을 사용하여 보안 주체와 리소스를 추가하는 인터페이스입니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/abac-hybrid-access.png)
+ 키-값 페어를 입력하여 속성을 기반으로 권한 부여를 생성합니다. 콘솔에서 Cedar 정책 표현식을 검토합니다. Cedar에 대한 자세한 내용은 [What is Cedar?를 참조하세요. \$1 Cedar 정책 언어 참조 가이드 링크](https://docs.cedarpolicy.com/)
+ **추가**를 선택합니다.
일치하는 속성을 가진 모든 IAM 역할/사용자에게 액세스 권한이 부여됩니다.
1. **추가**를 선택합니다.
# Lake Formation 리소스를 하이브리드 리소스로 변환
현재 데이터 카탈로그 데이터베이스 및 테이블에 대해 Lake Formation 권한을 사용하고 있는 경우 위치 등록 속성을 편집하여 하이브리드 액세스 모드를 활성화할 수 있습니다. 이렇게 하면 기존 Lake Formation 권한을 중단하지 않고 Amazon S3 및 AWS Glue 작업에 대한 IAM 권한 정책을 사용하여 새 보안 주체에게 동일한 리소스에 대한 액세스 권한을 제공할 수 있습니다.
시나리오 설명 - 다음 단계에서는 Lake Formation에 데이터 위치가 등록되어 있고 해당 위치를 가리키는 데이터베이스, 테이블 또는 열에 대한 권한을 보안 주체에 설정했다고 가정합니다. 위치가 서비스 연결 역할로 등록된 경우 위치 파라미터를 업데이트하고 하이브리드 액세스 모드를 활성화할 수 없습니다. `IAMAllowedPrincipals` 그룹은 기본적으로 데이터베이스와 데이터베이스의 모든 테이블에 대한 Super 권한을 가집니다.
**중요**
이 위치의 데이터에 액세스하는 보안 주체를 옵트인하지 않고 위치 등록을 하이브리드 액세스 모드로 업데이트하지 마세요.
**Lake Formation에 등록된 데이터 위치에 대해 하이브리드 액세스 모드 활성화**
1.
**주의**
다른 기존 사용자 또는 워크로드의 권한 정책이 중단되지 않도록 Lake Formation 관리 데이터 위치를 하이브리드 액세스 모드로 변환하지 않는 것이 좋습니다.
Lake Formation 권한이 있는 보안 주체를 옵트인합니다.
1. 카탈로그, 데이터베이스 및 테이블에 대해 보안 주체에 부여한 권한을 나열하고 검토합니다. 자세한 내용은 [Lake Formation의 데이터베이스 및 테이블 권한 보기](viewing-permissions.md) 단원을 참조하십시오.
1. 왼쪽 탐색 표시줄의 **권한**에서 **하이브리드 액세스 모드**를 선택하고 **추가**를 선택합니다.
1. **보안 주체 및 리소스 추가** 페이지에서 하이브리드 액세스 모드에서 사용하려는 Amazon S3 데이터 위치의 카탈로그, 데이터베이스 및 테이블을 선택합니다. 이미 Lake Formation 권한이 있는 보안 주체를 선택합니다.
1. 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하도록 보안 주체를 옵트인하려면 **추가**를 선택합니다.
1. **하이브리드 액세스 모드** 옵션을 선택하여 Amazon S3 버킷/접두사 등록을 업데이트합니다.
------
#### [ Console ]
1. Lake Formation 콘솔에 데이터 레이크 관리자로 로그인합니다.
1. 탐색 창의 **등록 및 수집**에서 **데이터 레이크 위치**를 선택합니다.
1. 위치를 선택하고 **작업** 메뉴에서 **편집**을 선택합니다.
1. **하이브리드 액세스 모드**를 선택합니다.
1. **저장**을 선택합니다.
1. 데이터 카탈로그에서 데이터베이스 또는 테이블을 선택하고 `Super` 또는 `All` 권한을 `IAMAllowedPrincipals`라는 가상 그룹에 부여합니다.
1. 위치 등록 속성을 업데이트했을 때 기존 Lake Formation 사용자의 액세스가 중단되지 않았는지 확인합니다. Athena 콘솔에 Lake Formation 보안 주체로 로그인하고 업데이트된 위치를 가리키는 테이블에서 샘플 쿼리를 실행합니다.
마찬가지로 IAM 권한 정책을 사용하여 데이터베이스 및 테이블에 액세스하는 AWS Glue 사용자의 액세스를 확인합니다.
------
#### [ AWS CLI ]
다음은 HybridAccessEnabled:true/false를 사용하여 Lake Formation에 데이터 위치를 등록하는 예제입니다. `HybridAccessEnabled` 파라미터의 기본값은 false입니다. Amazon S3 경로, 역할 이름 및 AWS 계정 ID를 유효한 값으로 바꿉니다.
```
aws lakeformation update-resource --cli-input-json file://file path
json:
{
"ResourceArn": "arn:aws:s3:::",
"RoleArn": "arn:aws:iam::<123456789012>:role/",
"HybridAccessEnabled": true
}
```
------
# 하이브리드 액세스 모드를 사용하여 AWS Glue 리소스 공유
기존 Data Catalog 사용자의 IAM 기반 액세스를 중단하지 않고 Lake Formation 권한을 AWS 계정 적용하는 다른의 다른 AWS 계정 또는 보안 주체와 데이터를 공유합니다.
시나리오 설명 - 생산자 계정에는 Amazon S3 및 AWS Glue 작업에 대한 IAM 보안 주체 정책을 사용하여 액세스를 제어하는 데이터 카탈로그 데이터베이스가 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있지 않습니다. `IAMAllowedPrincipals` 그룹은 기본적으로 데이터베이스와 데이터베이스의 모든 테이블에 대한 `Super` 권한을 가집니다.
**하이브리드 액세스 모드에서 교차 계정 Lake Formation 권한 부여**
1.
**생산자 계정 설정**
1. `lakeformation:PutDataLakeSettings` IAM 권한이 있는 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.
1. **데이터 카탈로그 설정**으로 이동하고 **교차 계정 버전 설정**에 대해 `Version 4`를 선택합니다.
현재 버전 1 또는 2를 사용 중인 경우 [교차 계정 데이터 공유 버전 설정 업데이트](optimize-ram.md) 섹션에서 버전 3으로의 업데이트에 대한 지침을 참조할 수 있습니다.
버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.
1. 하이브리드 액세스 모드에서 공유하려는 데이터베이스 또는 테이블의 Amazon S3 위치를 등록합니다.
1. 위 단계에서 하이브리드 액세스 모드에서 데이터 위치를 등록한 데이터베이스와 테이블에 대한 `Super` 권한이 `IAMAllowedPrincipals` 그룹에 있는지 확인합니다.
1. AWS 조직, 조직 단위(OUs) 또는 다른 계정의 IAM 보안 주체와 직접 Lake Formation 권한을 부여합니다.
1. IAM 보안 주체에 직접 권한을 부여하는 경우 **Lake Formation 권한을 즉시 적용** 옵션을 활성화하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 소비자 계정의 보안 주체를 옵트인합니다.
다른 AWS 계정에 교차 계정 권한을 부여하는 경우 계정을 옵트인하면 Lake Formation 권한이 해당 계정의 관리자에 대해서만 적용됩니다. 수신자 계정 데이터 레이크 관리자는 하이브리드 액세스 모드에 있는 공유 리소스에 대해 Lake Formation 권한을 적용하도록 권한을 하향 조정하고 계정의 보안 주체를 옵트인해야 합니다.
**LF 태그와 일치하는 리소스** 옵션을 선택하여 교차 계정 권한을 부여하는 경우 먼저 권한 부여 단계를 완료해야 합니다. Lake Formation 콘솔의 왼쪽 탐색 표시줄에 있는 권한에서 **하이브리드 액세스 모드**를 선택하여 보안 주체와 리소스를 별도의 단계로 하이브리드 액세스 모드로 옵트인할 수 있습니다. 그런 다음 **추가**를 선택하여 Lake Formation 권한을 적용하려는 리소스와 보안 주체를 추가합니다.
1.
**소비자 계정 설정**
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 데이터 레이크 관리자로 로그인합니다.
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) 이동하여 리소스 공유 초대를 수락합니다. AWS RAM 콘솔의 **나와 공유** 탭에는 계정과 공유된 데이터베이스 및 테이블이 표시됩니다.
1. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.
1. (소비자) 계정의 IAM 보안 주체에 리소스 링크에 대한 `Describe` 권한과 `Grant on target` 권한(원래 공유 리소스에 대한)을 부여합니다.
1. 공유된 데이터베이스 또는 테이블에 대한 Lake Formation 권한을 계정의 보안 주체에 부여합니다. **Lake Formation 권한을 즉시 적용** 옵션을 활성화하여 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체 및 리소스를 옵트인합니다.
1. 샘플 Athena 쿼리를 실행하여 보안 주체의 Lake Formation 권한을 테스트합니다. Amazon S3 및 AWS Glue 작업에 대한 IAM 보안 주체 정책을 사용하여 AWS Glue 사용자의 기존 액세스를 테스트합니다.
(선택 사항) 데이터 액세스를 위한 Amazon S3 버킷 정책과 Lake Formation 권한을 사용하도록 구성한 보안 주체에 대한 AWS Glue 및 Amazon S3 데이터 액세스를 위한 IAM 보안 주체 정책을 제거합니다.
# 하이브리드 액세스 모드를 사용한 Lake Formation 리소스 공유
외부 계정의 새 데이터 카탈로그 사용자가 기존 Lake Formation 교차 계정 공유 권한을 중단하지 않고 IAM 기반 정책을 사용하여 데이터 카탈로그 데이터베이스 및 테이블에 액세스할 수 있도록 허용합니다.
시나리오 설명 - 생산자 계정에는 계정 수준 또는 IAM 보안 수준에서 외부(소비자) 계정과 공유되는 Lake Formation 관리 데이터베이스 및 테이블이 있습니다. 데이터베이스의 데이터 위치는 Lake Formation에 등록되어 있습니다. `IAMAllowedPrincipals` 그룹에는 데이터베이스 및 데이터베이스의 테이블에 대한 `Super` 권한이 없습니다.
**기존 Lake Formation 권한을 중단하지 않고 IAM 기반 정책을 통해 새 데이터 카탈로그 사용자에게 교차 계정 액세스 권한 부여**
1.
**생산자 계정 설정**
1. `lakeformation:PutDataLakeSettings` 역할을 사용하여 Lake Formation 콘솔에 로그인합니다.
1. **데이터 카탈로그 설정**에서 **교차 계정 버전 설정**에 대해 `Version 4`를 선택합니다.
현재 버전 1 또는 2를 사용 중인 경우 [교차 계정 데이터 공유 버전 설정 업데이트](optimize-ram.md) 섹션에서 버전 3으로의 업데이트에 대한 지침을 참조할 수 있습니다.
버전 3에서 4로 업그레이드할 때는 권한 정책을 변경할 필요가 없습니다.
1. 데이터베이스 및 테이블에 대해 보안 주체에 부여한 권한을 나열합니다. 자세한 내용은 [Lake Formation의 데이터베이스 및 테이블 권한 보기](viewing-permissions.md) 단원을 참조하십시오.
1. 보안 주체 및 리소스를 옵트인하여 기존 Lake Formation 교차 계정 권한을 다시 부여합니다.
**참고**
데이터 위치 등록을 하이브리드 액세스 모드로 업데이트하여 교차 계정 권한을 부여하기 전에 계정당 하나 이상의 교차 계정 데이터 공유를 다시 부여해야 합니다. 이 단계는 AWS RAM 리소스 공유에 연결된 AWS RAM 관리형 권한을 업데이트하는 데 필요합니다.
2023년 7월에 Lake Formation은 데이터베이스 및 테이블 공유에 사용되는 AWS RAM 관리형 권한을 업데이트했습니다.
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueAllTablesReadWriteForDatabase`(데이터베이스 수준 공유 정책)
`arn:aws:ram::aws:permission/AWSRAMLFEnabledGlueTableReadWrite`(테이블 수준 공유 정책)
2023년 7월 이전에 수행된 교차 계정 권한 부여에는 이러한 업데이트된 AWS RAM 권한이 없습니다.
교차 계정 권한을 보안 주체에 직접 부여한 경우 해당 권한을 보안 주체에 개별적으로 다시 부여해야 합니다. 이 단계를 건너뛰면 공유 리소스에 액세스하는 보안 주체에 잘못된 조합 오류가 발생할 수 있습니다.
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) 이동합니다.
1. AWS RAM 콘솔의 **내 공유** 탭에는 외부 계정 또는 보안 주체와 공유한 데이터베이스 및 테이블 이름이 표시됩니다.
공유 리소스에 연결된 권한에 올바른 ARN이 있는지 확인합니다.
1. AWS RAM 공유의 리소스가 `Associated` 상태인지 확인합니다. 상태가 `Associating`으로 표시되면 `Associated` 상태가 될 때까지 기다립니다. 상태가 `Failed`가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.
1. 왼쪽 탐색 표시줄의 **권한**에서 **하이브리드 액세스 모드**를 선택하고 **추가**를 선택합니다.
1. **보안 주체 및 리소스 추가** 페이지에는 데이터베이스 및/또는 테이블 그리고 액세스 권한이 있는 보안 주체가 표시됩니다. 보안 주체 및 리소스를 추가하거나 제거하여 필요한 업데이트를 수행할 수 있습니다.
1. 하이브리드 액세스 모드로 변경하려는 데이터베이스 및 테이블에 대한 Lake Formation 권한이 있는 보안 주체를 선택합니다. 데이터베이스 및 테이블을 선택합니다.
1. 하이브리드 액세스 모드에서 Lake Formation 권한을 적용하도록 보안 주체를 옵트인하려면 **추가**를 선택합니다.
1. 가상 그룹 `IAMAllowedPrincipals`에 데이터베이스 및 선택한 테이블에 대한 `Super` 권한을 부여합니다.
1. Amazon S3 위치 Lake Formation 등록을 하이브리드 액세스 모드로 편집합니다.
1. Amazon S3 AWS Glue actions에 대한 IAM 권한 정책을 사용하여 외부(소비자) 계정의 AWS Glue 사용자에게 권한을 부여합니다.
1.
**소비자 계정 설정**
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 데이터 레이크 관리자로 로그인합니다.
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) 이동하여 리소스 공유 초대를 수락합니다. AWS RAM 페이지의 **나와 공유된 리소스** 탭에는 계정과 공유된 데이터베이스 및 테이블 이름이 표시됩니다.
AWS RAM 공유의 경우 연결된 권한에 공유 AWS RAM 초대의 올바른 ARN이 있는지 확인합니다. AWS RAM 공유의 리소스가 `Associated` 상태인지 확인합니다. 상태가 `Associating`으로 표시되면 `Associated` 상태가 될 때까지 기다립니다. 상태가 `Failed`가 되면 작업을 중지하고 Lake Formation 서비스 팀에 문의합니다.
1. Lake Formation의 공유 데이터베이스 및/또는 테이블에 대한 리소스 링크를 생성합니다.
1. (소비자) 계정의 IAM 보안 주체에 리소스 링크에 대한 `Describe` 권한과 `Grant on target` 권한(원래 공유 리소스에 대한)을 부여합니다.
1. 다음으로, 공유된 데이터베이스 또는 테이블에서 계정의 보안 주체에 대한 Lake Formation 권한을 설정합니다.
왼쪽 탐색 표시줄의 **권한**에서 **하이브리드 액세스 모드**를 선택합니다.
1. **하이브리드 액세스 모드** 페이지 하단에서 **추가**를 선택하여 생산자 계정에서 공유되는 데이터베이스 또는 테이블과 보안 주체를 옵트인합니다.
1. Amazon S3 AWS Glue actions에 대한 IAM 권한 정책을 사용하여 계정의 AWS Glue 사용자에게 권한을 부여합니다.
1. Athena를 사용하여 테이블에서 별도의 샘플 쿼리를 실행하여 사용자의 Lake Formation 권한 및 AWS Glue 권한 테스트
(선택 사항) 하이브리드 액세스 모드에 있는 보안 주체에 대한 Amazon S3의 IAM 권한 정책을 정리합니다.
# 하이브리드 액세스 모드에서 보안 주체 및 리소스 제거
하이브리드 액세스 모드에서 데이터베이스, 테이블 및 보안 주체를 제거하려면 다음 단계를 따릅니다.
------
#### [ Console ]
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 로그인합니다.
1. **권한**에서 **하이브리드 액세스** 모드를 선택합니다.
1. **하이브리드 액세스 모드** 페이지에서 데이터베이스 또는 테이블 이름 옆의 확인란을 선택하고 `Remove`를 선택합니다.
1. 작업을 확인하라는 경고 메시지가 나타납니다. **** 제거를 선택합니다.
Lake Formation은 더 이상 이러한 리소스에 대한 권한을 적용하지 않으며,이 리소스에 대한 액세스는 IAM 및 AWS Glue 권한을 사용하여 제어됩니다. 따라서 적절한 IAM 권한이 없는 사용자는 더 이상 이 리소스에 액세스하지 못할 수 있습니다.
------
#### [ AWS CLI ]
다음 예제는 하이브리드 액세스 모드에서 리소스를 제거하는 방법을 보여줍니다.
```
aws lakeformation delete-lake-formation-opt-in --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/role name"
},
"Resource": {
"Table": {
"CatalogId": "<123456789012>",
"DatabaseName": "",
"Name": ""
}
}
}
```
------
# 하이브리드 액세스 모드에서 보안 주체 및 리소스 보기
하이브리드 액세스 모드에서 데이터베이스, 테이블 및 보안 주체를 보려면 다음 단계를 따릅니다.
------
#### [ Console ]
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 로그인합니다.
1. **권한**에서 **하이브리드 액세스** 모드를 선택합니다.
1. **하이브리드 액세스 모드** 페이지에는 현재 하이브리드 액세스 모드에 있는 리소스와 보안 주체가 표시됩니다.
------
#### [ AWS CLI ]
다음 예제는 하이브리드 액세스 모드에 있는 모든 옵트인 보안 주체와 리소스를 나열하는 방법을 보여줍니다.
```
aws lakeformation list-lake-formation-opt-ins
```
다음 예제는 특정 보안 주체-리소스 페어에 대한 옵트인을 나열하는 방법을 보여줍니다.
```
aws lakeformation list-lake-formation-opt-ins --cli-input-json file://file path
json:
{
"Principal": {
"DataLakePrincipalIdentifier": "arn:aws:iam:::role/"
},
"Resource": {
"Table": {
"CatalogId": "",
"DatabaseName": "",
"Name": ""
}
}
}
```
------
# 추가 리소스
다음 블로그 게시물에서는 IAM 및 Amazon S3 권한을 통해 다른 사용자가 데이터베이스에 이미 액세스할 수 있는 상태에서 선택된 사용자에 대해 하이브리드 액세스 모드에서 Lake Formation 권한을 온보딩하는 방법을 안내합니다. 계정 내에서 그리고 두 AWS 계정 간에 하이브리드 액세스 모드를 설정하는 지침을 검토하겠습니다.
+ [ Lake Formation 및 IAM 및 Amazon S3 정책을 사용하여 액세스를 보호하기 AWS Glue Data Catalog 위한 하이브리드 액세스 모드를 소개합니다. ](https://aws.amazon.com/blogs/big-data/introducing-hybrid-access-mode-for-aws-glue-data-catalog-to-secure-access-using-aws-lake-formation-and-iam-and-amazon-s3-policies/)