기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM Identity Center 통합
를 사용하면 ID 제공업체(IdPs)에 연결하고 AWS 분석 서비스 전반에서 사용자 및 그룹에 대한 액세스를 중앙에서 관리할 AWS IAM Identity Center수 있습니다. Okta, Ping 및 Microsoft Entra ID(이전 Azure Active Directory)와 같은 자격 증명 공급자를 IAM Identity Center와 통합하여 조직의 사용자가 Single Sign-On 환경을 사용하여 데이터에 액세스하도록 할 수 있습니다. 또한 IAM Identity Center는 추가 타사 자격 증명 공급자 연결을 지원합니다.
자세한 내용은 AWS IAM Identity Center 사용 설명서의 [지원되는 자격 증명 공급자](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)를 참조하세요.
IAM Identity Center에서를 활성화된 애플리케이션 AWS Lake Formation 으로 구성할 수 있으며, 데이터 레이크 관리자는 AWS Glue Data Catalog 리소스의 승인된 사용자 및 그룹에 세분화된 권한을 부여할 수 있습니다.
조직의 사용자는 조직의 자격 증명 공급자를 사용하여 모든 Identity Center 지원 애플리케이션에 로그인하고 Lake Formation 권한을 적용하여 데이터세트를 쿼리할 수 있습니다. 이 통합을 통해 여러 IAM 역할을 생성하지 않고도 AWS 서비스에 대한 액세스를 관리할 수 있습니다.
[신뢰할 수 있는 자격 증명 전파](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html)는 연결된의 관리자가 서비스 데이터에 대한 액세스 권한을 부여하고 감사하는 데 사용할 AWS 서비스 수 있는 AWS IAM Identity Center 기능입니다. 이 데이터에 대한 액세스는 그룹 연결과 같은 사용자 속성을 기반으로 합니다. 신뢰할 수 있는 자격 증명 전파를 설정하려면 연결된의 관리자와 AWS 서비스 IAM Identity Center 관리자 간의 협업이 필요합니다. 자세한 내용은 [사전 조건 및 고려 사항](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)을 참조하세요.
제한 사항은 [IAM Identity Center 통합 제한 사항](identity-center-lf-notes.md) 섹션을 참조하세요.
**Topics**
+ [IAM Identity Center를 Lake Formation과 통합하기 위한 사전 조건](prerequisites-identity-center.md)
+ [Lake Formation과 IAM Identity Center 연결](connect-lf-identity-center.md)
+ [IAM Identity Center 통합 업데이트](update-lf-identity-center-connection.md)
+ [IAM Identity Center와의 Lake Formation 연결 삭제](delete-lf-identity-center-connection.md)
+ [사용자 및 그룹에 권한 부여](grant-permissions-sso.md)
+ [CloudTrail 로그에 IAM Identity Center 사용자 컨텍스트 포함](identity-center-ct-logs.md)
# IAM Identity Center를 Lake Formation과 통합하기 위한 사전 조건
다음은 IAM Identity Center를 Lake Formation과 통합하기 위한 사전 조건입니다.
1. IAM Identity Center 활성화 - IAM Identity Center 활성화는 인증 및 자격 증명 전파를 지원하기 위한 사전 조건입니다.
1. 자격 증명 원본 선택 - IAM Identity Center를 활성화한 후에는 사용자와 그룹을 관리할 자격 증명 공급자가 있어야 합니다. 내장된 Identity Center 디렉터리를 ID 소스로 사용하거나 Microsoft Entra ID 또는 Okta와 같은 외부 IdP를 사용할 수 있습니다.
자세한 내용은 AWS IAM Identity Center 사용 설명서의 자격 [증명 소스 관리](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html) 및 [외부 자격 증명 공급자에 연결을](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) 참조하세요.
1. IAM 역할 생성 - IAM Identity Center 연결을 생성하는 역할에는 다음 인라인 정책에서와 같이 Lake Formation 및 IAM Identity Center에서 애플리케이션 구성을 생성하고 수정할 수 있는 권한이 필요합니다.
IAM 모범 사례에 따라 권한을 추가해야 합니다. 구체적인 권한은 다음 절차에 자세히 설명되어 있습니다. 자세한 내용은 [IAM Identity Center 시작하기](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)를 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:CreateLakeFormationIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
외부 AWS 계정 또는 조직과 데이터 카탈로그 리소스를 공유하는 경우 리소스 공유를 생성할 수 있는 AWS Resource Access Manager (AWS RAM) 권한이 있어야 합니다. 리소스 공유에 필요한 권한에 대한 자세한 내용은 [교차 계정 데이터 공유 필수 조건](cross-account-prereqs.md) 섹션을 참조하세요.
다음 인라인 정책에는 Lake Formation과 IAM Identity Center의 통합 속성을 확인, 업데이트 및 삭제하는 데 필요한 특정 권한이 포함되어 있습니다.
+ 다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 볼 수 있도록 허용하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 업데이트할 수 있도록 허용하십시오. 이 정책에는 외부 계정과 리소스를 공유하는 데 필요한 옵션 권한도 포함되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication",
"sso:UpdateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 다음 인라인 정책을 사용하여 IAM 역할이 IAM Identity Center와의 Lake Formation 통합을 삭제할 수 있도록 허용하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ IAM Identity Center 사용자 및 그룹에 데이터 레이크 권한을 부여하거나 취소하는 데 필요한 IAM 권한은 [Lake Formation 권한을 부여 또는 취소하는 데 필요한 IAM 권한](required-permissions-for-grant.md) 섹션을 참조하세요.
*권한 설명*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration` - Lake Formation IdC 구성을 생성합니다.
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration` - 기존 IdC 구성을 설명합니다.
+ `lakeformation:DeleteLakeFormationIdentityCenterConfiguration` - 기존 Lake Formation IdC 구성을 삭제할 수 있는 기능을 제공합니다.
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration` - 기존 Lake Formation 구성을 변경하는 데 사용됩니다.
+ `sso:CreateApplication` - IAM Identity Center 애플리케이션을 생성하는 데 사용됩니다.
+ `sso:DeleteApplication` - IAM Identity Center 애플리케이션을 삭제하는 데 사용됩니다.
+ `sso:UpdateApplication` - IAM Identity Center 애플리케이션을 업데이트하는 데 사용됩니다.
+ `sso:PutApplicationGrant` - 신뢰할 수 있는 토큰 발급자 정보를 변경하는 데 사용됩니다.
+ `sso:PutApplicationAuthenticationMethod` - Lake Formation 인증 액세스 권한을 부여합니다.
+ `sso:GetApplicationGrant` - 신뢰할 수 있는 토큰 발급자 정보를 나열하는 데 사용됩니다.
+ `sso:DeleteApplicationGrant` - 신뢰할 수 있는 토큰 발급자 정보를 삭제합니다.
+ `sso:PutApplicationAccessScope` - 애플리케이션의 IAM Identity Center 액세스 범위에 대한 승인된 대상 목록을 추가하거나 업데이트합니다.
+ `sso:PutApplicationAssignmentConfiguration` - 사용자가 애플리케이션에 액세스하는 방법을 구성하는 데 사용됩니다.
# Lake Formation과 IAM Identity Center 연결
IAM Identity Center를 통해 Lake Formation을 사용하여 데이터 카탈로그 리소스에 대한 액세스를 허용하도록 자격 증명을 관리하려면 먼저 다음 단계를 완료해야 합니다. Lake Formation 콘솔 또는 AWS CLI를 사용하여 IAM Identity Center 통합을 생성할 수 있습니다.
------
#### [ AWS Management Console ]
**Lake Formation을 IAM Identity Center와 연결**
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Lake Formation 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **IAM Identity Center 통합**을 선택합니다.
![\[Identity Center ARN을 사용한 IAM Identity Center 통합 화면\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/identity-center-integ.png)
1. (선택 사항) 외부 계정이 데이터 카탈로그 리소스에 액세스할 수 있도록 하나 이상의 AWS 계정 IDs, 조직 IDs 및/또는 조직 단위 IDs를 입력합니다. IAM Identity Center 사용자 또는 그룹이 Lake Formation 관리형 데이터 카탈로그 리소스에 액세스하려고 하면 Lake Formation은 메타데이터 액세스를 승인하는 IAM 역할을 수임합니다. IAM 역할이 AWS Glue 리소스 정책 및 AWS RAM 리소스 공유가 없는 외부 계정에 속하는 경우 IAM Identity Center 사용자 및 그룹은 Lake Formation 권한이 있더라도 리소스에 액세스할 수 없습니다.
Lake Formation은 AWS Resource Access Manager (AWS RAM) 서비스를 사용하여 리소스를 외부 계정 및 조직과 공유합니다.는 피부여자 계정에 리소스 공유를 수락하거나 거부하라는 초대를 AWS RAM 보냅니다.
자세한 내용은 [에서 리소스 공유 초대 수락 AWS RAM](accepting-ram-invite.md) 단원을 참조하십시오.
**참고**
Lake Formation은 외부 계정의 IAM 역할이 데이터 카탈로그 리소스에 액세스하기 위한 IAM Identity Center 사용자 및 그룹을 대신하여 통신 사업자 역할을 수행하도록 허용하지만 소유 계정 내의 데이터 카탈로그 리소스에 대해서만 권한을 부여할 수 있습니다. 외부 계정의 데이터 카탈로그 리소스에 대한 IAM Identity Center 사용자 및 그룹에 권한을 부여하려고 할 경우 Lake Formation에서 “보안 주체에 대해 교차 계정 권한 부여가 지원되지 않습니다.” 오류가 발생합니다.
1. (선택 사항) **Lake Formation 통합 생성** 화면에서 Lake Formation에 등록된 Amazon S3 위치의 데이터에 액세스할 수 있는 타사 애플리케이션의 ARN을 지정합니다. Lake Formation은 권한 있는 애플리케이션이 사용자를 대신하여 데이터에 액세스할 수 있도록 유효 권한에 따라 등록된 Amazon S3 위치에 AWS STS 토큰 형태의 범위 축소된 임시 자격 증명을 제공합니다.
1. (선택 사항) **Lake Formation 통합 생성** 화면에서 신뢰할 수 있는 자격 증명 전파의 Amazon Redshift Connect 확인란을 선택하여 IDC를 통한 Amazon Redshift 페더레이션 권한 검색을 활성화합니다. Lake Formation은 유효 권한을 기반으로 자격 증명을 다운스트림에 전파하므로 권한이 부여된 애플리케이션이 사용자를 대신하여 데이터에 액세스할 수 있습니다.
1. **제출**을 선택합니다.
Lake Formation 관리자가 단계를 완료하고 통합을 생성하면 IAM Identity Center 속성이 Lake Formation 콘솔에 표시됩니다. 이러한 작업을 완료하면 Lake Formation이 IAM Identity Center를 지원하는 애플리케이션이 됩니다. 콘솔의 속성에는 통합 상태가 포함됩니다. 통합 상태는 완료 시 `Success`로 표시됩니다. 이 상태는 IAM Identity Center 구성이 완료되었는지 여부를 나타냅니다.
------
#### [ AWS CLI ]
+ 다음은 IAM Identity Center와의 Lake Formation 통합을 생성하는 방법을 나타낸 예제입니다. 애플리케이션의 `Status`(`ENABLED`, `DISABLED`)를 지정할 수도 있습니다.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--catalog-id <123456789012> \
--instance-arn \
--share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
{"DataLakePrincipalIdentifier": "<555555555555>"}]' \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'
```
+ 다음은 IAM Identity Center와의 Lake Formation 통합을 확인하는 방법을 나타낸 예제입니다.
```
aws lakeformation describe-lake-formation-identity-center-configuration
--catalog-id <123456789012>
```
+ 다음 예제에서는 `Redshift:Connect` 권한 부여를 활성화하는 방법을 보여줍니다. 권한 부여는 활성화 또는 비활성화될 수 있습니다.
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
+ `describe-lake-formation-identity-center-configuration` 명령을 사용하여 레이크 형성 ID 센터 애플리케이션을 설명합니다. `Redshift:Connect` 서비스 통합은 교차 서비스 및 교차 클러스터 IdC ID 전파에 필수적입니다.
```
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
```
응답:
```
{
"CatalogId": "CATALOG ID",
"InstanceArn": "INSTANCE ARN",
"ApplicationArn": "APPLICATION ARN",
"ShareRecipients": [],
"ServiceIntegrations": [
{
"Redshift": [
{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}
]
}
]
}
```
------
## 여러에서 IAM Identity Center 사용 AWS 리전
Lake Formation은 여러에서 IAM Identity Center를 지원합니다 AWS 리전. IAM Identity Center를 기본 리전에서 추가 리전 AWS 리전 으로 확장하여 사용자와의 근접성과 신뢰성을 통해 성능을 개선할 수 있습니다. IAM Identity Center에 새 리전이 추가되면 기본 리전에서 자격 증명을 복제하지 않고도 새 리전에서 Lake Formation Identity Center 애플리케이션을 생성할 수 있습니다. 여러 리전에서 IAM Identity Center를 시작하는 방법에 대한 자세한 내용은 [IAM Identity Center 사용 설명서의 다중 리전](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *IAM Identity Center*를 참조하세요.
# IAM Identity Center 통합 업데이트
연결을 생성한 후, IAM Identity Center 통합을 위한 타사 애플리케이션을 추가하여 Lake Formation과 통합하고, 사용자를 대신하여 Amazon S3 데이터에 액세스할 수 있습니다. IAM Identity Center 통합에서 기존 애플리케이션을 제거할 수도 있습니다. Lake Formation 콘솔 AWS CLI과 [UpdateLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_UpdateLakeFormationIdentityCenterConfiguration.html) 작업을 사용하여 애플리케이션을 추가하거나 제거할 수 있습니다.
**참고**
IAM Identity Center 통합을 생성한 후에는 인스턴스 `ARN`을 업데이트할 수 없습니다.
------
#### [ AWS Management Console ]
**Lake Formation으로 기존 IAM Identity Center 연결을 업데이트하려면**
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Lake Formation 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **IAM Identity Center 통합**을 선택합니다.
1. **IAM Identity Center 통합** 페이지에서 **추가**를 선택합니다.
1. 외부 계정이 데이터 카탈로그 리소스에 액세스할 수 있도록 하나 이상의 AWS 계정 IDs, 조직 IDs 및/또는 조직 단위 IDs를 입력합니다.
1. **애플리케이션 추가** 화면에서 Lake Formation과 통합하려는 타사 애플리케이션의 애플리케이션 ID를 입력합니다.
1. **추가**를 선택합니다.
1. (최적) **IAM Identity Center 통합** 페이지에서 Amazon Redshift 연결 또는 비활성화에 대해 신뢰할 수 있는 자격 증명 전파를 활성화할 수 있습니다. Lake Formation은 유효 권한을 기반으로 자격 증명을 다운스트림에 전파하므로 권한이 부여된 애플리케이션이 사용자를 대신하여 데이터에 액세스할 수 있습니다.
------
#### [ AWS CLI ]
다음 AWS CLI 명령을 실행하여 IAM Identity Center 통합을 위한 타사 애플리케이션을 추가하거나 제거할 수 있습니다. 외부 필터링 상태를 `ENABLED`로 설정하면 IAM Identity Center에서 타사 애플리케이션이 Lake Formation에서 관리하는 데이터에 액세스할 수 있도록 자격 증명 관리를 제공할 수 있습니다. 또한 애플리케이션 상태를 설정하여 IAM Identity Center 통합을 활성화하거나 비활성화할 수 있습니다.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'\
--share-recipients '[{"DataLakePrincipalIdentifier": "<444455556666>"}
{"DataLakePrincipalIdentifier": "<777788889999>"}]' \
--application-status ENABLED
```
기존 LF IDC 애플리케이션이 있지만 `Redshift:Connect` 권한 부여를 추가하려는 경우 다음을 사용하여 Lake Formation IDC 애플리케이션을 업데이트할 수 있습니다. 권한 부여는 활성화 또는 비활성화될 수 있습니다.
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
# IAM Identity Center와의 Lake Formation 연결 삭제
기존 IAM Identity Center 통합을 삭제하려면 Lake Formation 콘솔 AWS CLI또는 [DeleteLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DeleteLakeFormationIdentityCenterConfiguration.html) 작업을 사용하여 삭제할 수 있습니다.
------
#### [ AWS Management Console ]
**Lake Formation과의 기존 IAM Identity Center 연결을 삭제하려면**
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Lake Formation 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **IAM Identity Center 통합**을 선택합니다.
1. **IAM Identity Center 통합** 페이지에서 **삭제**를 선택합니다.
1. **통합 확인** 화면에서 작업을 확인하고 **삭제**를 선택합니다.
------
#### [ AWS CLI ]
다음 AWS CLI 명령을 실행하여 IAM Identity Center 통합을 삭제할 수 있습니다.
```
aws lakeformation delete-lake-formation-identity-center-configuration \
--catalog-id <123456789012>
```
------
# 사용자 및 그룹에 권한 부여
데이터 레이크 관리자는 IAM Identity Center 사용자 및 그룹에 데이터 카탈로그 리소스(데이터베이스, 테이블, 뷰)에 대한 권한을 부여하여 데이터에 쉽게 액세스하도록 할 수 있습니다. 데이터 레이크 권한을 부여하거나 취소하려면 부여자에게 다음과 같은 IAM Identity Center 작업에 대한 권한이 필요합니다.
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)
Lake Formation 콘솔, API 또는 AWS CLI를 사용하여 권한을 부여할 수 있습니다.
권한 부여에 대한 자세한 내용은 [데이터 카탈로그 리소스에 대한 권한 부여](granting-catalog-permissions.md) 섹션을 참조하세요.
**참고**
계정의 리소스에 대한 권한만 부여할 수 있습니다. 공유된 리소스의 사용자 및 그룹에 권한을 캐스케이드하려면 AWS RAM 리소스 공유를 사용해야 합니다.
------
#### [ AWS Management Console ]
**사용자 및 그룹에 권한을 부여하려면**
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Lake Formation 콘솔을 엽니다.
1. Lake Formation 콘솔 탐색 창의 **권한**에서 **데이터 레이크 권한**을 선택합니다.
1. **허용**을 선택합니다.
1. **데이터 레이크 권한 부여** 페이지에서 **IAM Identity Center** 사용자 및 그룹을 선택합니다.
1. **추가**를 선택하여 권한을 부여할 사용자와 그룹을 선택합니다.
![\[IAM Identity Center 사용자 및 그룹을 선택한 상태에서 데이터 레이크 권한 부여 화면을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/identity-center-grant-perm.png)
1. **사용자 및 그룹 할당** 화면에서 권한을 부여할 사용자 및/또는 그룹을 선택합니다.
**할당**을 선택합니다.
![\[IAM Identity Center 사용자 및 그룹을 선택한 상태에서 데이터 레이크 권한 부여 화면을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)
1. 다음으로, 권한을 부여할 방법을 선택합니다.
명명된 리소스 방법을 사용하여 권한을 부여하는 방법에 대한 지침은 [명명된 리소스 메서드를 사용하여 데이터 권한 부여](granting-cat-perms-named-resource.md) 섹션을 참조하십시오.
LF 태그를 사용하여 권한을 부여하는 방법에 대한 지침은 [LF-TBAC 방법을 사용하여 데이터 레이크 권한 부여](granting-catalog-perms-TBAC.md) 섹션을 참조하십시오.
1. 권한을 부여할 데이터 카탈로그 리소스를 선택합니다.
1. 부여할 데이터 카탈로그 권한을 선택합니다.
1. **허용**을 선택합니다.
------
#### [ AWS CLI ]
다음은 IAM Identity Center 사용자에게 테이블에 대한 `SELECT` 권한을 부여하는 방법을 나타낸 예제입니다.
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
IAM Identity Center에서 `UserId`를 검색하려면 IAM Identity Center API 참조의 [GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html) 작업을 참조하십시오.
------
# CloudTrail 로그에 IAM Identity Center 사용자 컨텍스트 포함
Lake Formation은 [자격 증명 벤딩](using-cred-vending.md) 기능을 사용하여 Amazon S3 데이터에 대한 임시 액세스를 제공합니다. 기본적으로 IAM Identity Center 사용자가 통합 분석 서비스에 쿼리를 제출하면 CloudTrail 로그에는 서비스가 단기 액세스를 제공하기 위해 수임하는 IAM 역할만 포함됩니다. 사용자 정의 역할을 사용하여 Lake Formation에 Amazon S3 데이터 위치를 등록할 경우 CloudTrail 이벤트에 IAM Identity Center 사용자의 컨텍스트를 포함하도록 선택한 다음, 리소스에 액세스하는 사용자를 추적할 수 있습니다.
**중요**
CloudTrail에 객체 수준 Amazon S3 API 요청을 포함하려면 Amazon S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅을 활성화해야 합니다. 자세한 내용은 Amazon S3 사용 설명서의 [S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 활성화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) 섹션을 참조하세요.
**사용자 정의 역할로 등록된 데이터 레이크 위치에서 자격 증명 벤딩 감사 활성화**
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 로그인합니다.
1. 왼쪽 탐색에서 **관리**를 펼치고 **데이터 카탈로그 설정**을 선택합니다.
1. **향상된 감사**에서 **제공된 컨텍스트 전파**를 선택합니다.
1. **저장**을 선택합니다.
[PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html) 작업에서 `Parameters` 특성을 설정하여 향상된 감사 옵션을 활성화할 수도 있습니다. 기본적으로 `SET_CONTEXT"` 파라미터 값은 “true”로 설정됩니다.
```
{
"DataLakeSettings": {
"Parameters": {"SET_CONTEXT": "true"},
}
}
```
다음은 향상된 감사 옵션이 포함된 CloudTrail 이벤트의 발췌문입니다. 이 로그에는 IAM Identity Center 사용자의 세션 컨텍스트와 Amazon S3 데이터 위치에 액세스하기 위해 Lake Formation이 수임하는 사용자 정의 IAM 역할이 모두 포함됩니다. 다음 발췌문에서 `onBehalfOf` 파라미터를 참조하세요.
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"accountId":"123456789012",
"accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAW7F7MOX4OYE6FLIFN",
"arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
"accountId":"123456789012",
"userName":"accessGrantsTestRole"
},
"attributes":{
"creationDate":"2023-08-09T17:24:02Z",
"mfaAuthenticated":"false"
}
},
"onBehalfOf":{
"userId": "",
"identityStoreArn": "arn:aws:identitystore::"
}
},
"eventTime":"2023-08-09T17:25:43Z",
"eventSource":"s3.amazonaws.com",
"eventName":"GetObject",
....
```