기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 위치를 등록하는 데 사용되는 역할에 대한 요구 사항
Amazon Simple Storage Service AWS Identity and Access Management (Amazon S3) 위치를 등록할 때 (IAM) 역할을 지정해야 합니다.는 해당 위치의 데이터에 액세스할 때 해당 역할을 AWS Lake Formation 수임합니다.
다음 역할 유형 중 하나를 사용하여 위치를 등록할 수 있습니다.
+ Lake Formation 서비스 연결 역할. 이 역할은 위치에 대해 필요한 권한을 부여합니다. 이 역할을 사용하는 것이 위치를 등록하는 가장 간단한 방법입니다. 자세한 내용은 [Lake Formation에 서비스 연결 역할 사용](service-linked-roles.md) 및 [서비스 연결 역할 제한 사항](service-linked-role-limitations.md) 섹션을 참조하세요.
+ 사용자 정의 역할. 서비스 연결 역할이 제공하는 것보다 더 많은 권한을 부여해야 하는 경우 사용자 정의 역할을 사용하세요.
다음과 같은 상황에서는 사용자 정의 역할을 사용해야 합니다.
+ 다른 계정에 위치를 등록하는 경우
자세한 내용은 [다른 AWS 계정에 Amazon S3 위치 등록](register-cross-account.md) 및 [AWS 계정 간에 암호화된 Amazon S3 위치 등록](register-cross-encrypted.md) 섹션을 참조하세요.
+ AWS 관리형 CMK(`aws/s3`)를 사용하여 Amazon S3 위치를 암호화하는 경우.
자세한 내용은 [암호화된 Amazon S3 위치 등록](register-encrypted.md) 단원을 참조하십시오.
+ Amazon EMR을 사용하여 위치에 액세스하려는 경우
서비스 연결 역할로 위치를 이미 등록한 상태에서 Amazon EMR로 위치에 액세스하려면 위치를 등록 취소하고 사용자 정의 역할로 다시 등록해야 합니다. 자세한 내용은 [Amazon S3 위치 등록 취소](unregister-location.md) 단원을 참조하십시오.
사용자 정의 역할의 요구 사항은 다음과 같습니다.
+ 새 역할을 생성할 때 IAM 콘솔의 **역할 생성** 페이지에서 **AWS 서비스**를 선택한 다음 **사용 사례 선택**에서 **Lake Formation**을 선택합니다.
다른 경로를 사용하여 역할을 생성하는 경우 해당 역할이 `lakeformation.amazonaws.com`과 신뢰 관계가 있는지 확인합니다. 자세한 내용은 [역할 신뢰 정책 수정(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html)을 참조하세요.
+ 역할에는 위치에 대한 Amazon S3 읽기/쓰기 권한을 부여하는 인라인 정책이 있어야 합니다. 다음은 일반적인 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::awsexamplebucket"
]
}
]
}
```
------
+ Lake Formation 서비스가 역할을 수임하고 통합 분석 엔진에 임시 자격 증명을 제공할 수 있도록 IAM 역할에 다음 신뢰 정책을 추가합니다.
CloudTrail 로그에 IAM Identity Center 사용자 컨텍스트를 포함하려면 신뢰 정책에 `sts:SetContext` 작업에 대한 권한이 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DataCatalogViewDefinerAssumeRole1",
"Effect": "Allow",
"Principal": {
"Service": [
"lakeformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
+ 위치를 등록하는 데이터 레이크 관리자에게는 역할에 대한 `iam:PassRole` 권한이 있어야 합니다.
다음은 이 권한을 부여하는 인라인 정책입니다. {{}}를 유효한 AWS 계정 번호로 바꾸고 {{}}을 역할 이름으로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PassRolePermissions",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::{{111122223333}}:role/{{}}"
]
}
]
}
```
------
+ Lake Formation이 CloudWatch Logs에 로그를 추가하고 지표를 게시하도록 허용하려면 다음 인라인 정책을 추가합니다.
**참고**
CloudWatch Logs에 기록하면 요금이 발생합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Sid1",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws-lakeformation-acceleration/*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:/aws-lakeformation-acceleration/*:log-stream:*"
]
}
]
}
```
------