기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 권한 부여
<a name="s3-tables-grant-permissions"></a>

 S3 테이블을와 통합 AWS Lake Formation한 후 S3 테이블 카탈로그 및 카탈로그 객체(테이블 버킷, 데이터베이스, 테이블)에 대한 권한을 계정의 다른 IAM 역할 및 사용자에게 부여할 수 있습니다. Lake Formation 권한을 사용하면 Amazon Redshift Spectrum 및 Athena와 같은 통합 분석 엔진 사용자의 테이블, 열 및 행 수준 세부 수준에서 액세스 제어를 정의할 수 있습니다.

 명명된 리소스 방법 또는 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 권한을 부여할 수 있습니다. LF 태그 및 LF 태그 표현식을 사용하여 권한을 부여하기 전에 먼저 해당 표현식을 정의하고 Data Catalog 객체에 할당해야 합니다.

자세한 내용은 [메타데이터 액세스 제어를 위한 LF 태그 관리](managing-tags.md) 단원을 참조하십시오.

외부 AWS 계정에 Lake Formation 권한을 부여하여 외부 계정과 데이터베이스 및 테이블을 공유할 수 있습니다. 그러면 사용자는 여러 계정의 테이블을 조인하고 쿼리하는 작업과 쿼리를 실행할 수 있습니다. 카탈로그 리소스를 다른 계정과 공유하면 해당 계정의 보안 주체는 해당 리소스가 자신의 Data Catalog에 있는 것처럼 해당 리소스에서 작업을 수행할 수 있습니다.

데이터베이스 및 테이블을 외부 계정과 공유하는 경우 **슈퍼 사용자** 권한을 사용할 수 없습니다.

 권한 부여에 대한 자세한 지침은 [Lake Formation 권한 관리](managing-permissions.md) 섹션을 참조하세요.

## AWS CLI Amazon S3 테이블에 대한 권한 부여 예제
<a name="w2aac13c27c29c15"></a>

```
aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'
```

 다음은 명령에 포함되어야 하는 파라미터입니다.
+ DataLakePrincipalIdentifier – 권한을 부여하는 IAM 사용자, 역할 또는 그룹 ARN
+ CatalogId – 데이터 카탈로그를 소유한 12자리 AWS 계정 ID
+ DatabaseName - Amazon S3 Tables 버킷 네임스페이스의 이름
+ Name - Amazon S3 Tables 버킷 테이블 이름
+ Permissions - 부여할 수 있는 권한 옵션에는 SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL, SUPER가 포함됩니다.

# 공유 Amazon S3 Tables 액세스
<a name="s3-tables-cross-account-sharing"></a>

 S3 Tables 카탈로그의 데이터베이스 또는 테이블에 교차 계정 권한을 부여한 후 리소스에 액세스하려면 공유 데이터베이스 및 테이블에 대한 리소스 링크를 생성해야 합니다.

1.  대상 계정(공유 리소스를 수신하는 계정)에서 데이터베이스 리소스 링크를 생성합니다. 자세한 지침은 [공유 데이터 카탈로그 데이터베이스에 대한 리소스 링크 만들기](create-resource-link-database.md) 섹션을 참조하세요.

   데이터베이스 리소스 링크 생성을 위한 CLI 예제

   ```
   aws glue create-database 
   --region us-east-1 
   --catalog-id "111122223333" 
   --database-input \
   '{
     "Name": "s3table_resourcelink",
     "TargetDatabase": {
       "CatalogId": "011426214932:s3tablescatalog/chmni-s3-table-bucket-011426214932",
       "DatabaseName": "s3_table_ns"
     },
     "CreateTableDefaultPermissions": []
   }'
   ```

1.  테이블에 대한 교차 계정 권한을 부여합니다.

   교차 계정 권한 부여에 대한 CLI 예제

   ```
   aws lakeformation grant-permissions \
   --region us-east-1 \
   --cli-input-json \
   '{
       "Principal": {
           "DataLakePrincipalIdentifier": "arn:aws:iam::111122223333:role/S3TablesTestExecRole"
       },
       "Resource": {
           "Table": {
               "CatalogId": "011426214932:s3tablescatalog/chmni-s3-table-bucket-011426214932",
               "DatabaseName": "s3_table_ns",
               "Name": "test_s3_iceberg_table"
           }
       },
       "Permissions": [
           "ALL"
       ]
   }'
   ```

1.  리소스 링크에서 Lake Formation `DESCRIBE` 권한을 부여합니다.

    리소스 링크에 대한 설명 권한을 부여하는 CLI 예제입니다.

   ```
   aws lakeformation grant-permissions \
       --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:role/S3TablesTestExecRole
       --resource Database='{CatalogId=111122223333;, Name=s3table_resourcelink}' \
       --permissions DESCRIBE
   ```