기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Lake Formation 문제 해결
AWS Lake Formation 작업 시 문제가 발생하면이 섹션의 주제를 참조하세요.
**Topics**
+ [일반 문제 해결](#trouble-general)
+ [교차 계정 액세스 문제 해결](#trouble-cross-account)
+ [청사진 및 워크플로 문제 해결](#trouble-workflows)
+ [에 대해 알려진 문제 AWS Lake Formation](limitations.md)
+ [업데이트된 오류 메시지](error-message-update.md)
## 일반 문제 해결
여기에 설명된 정보를 사용하여 다양한 Lake Formation 문제를 진단하고 해결하세요.
### 오류: 에 대한 Lake Formation 권한이 부족함
리소스가 가리키는 Amazon S3 위치에서 데이터 위치 권한 없이 데이터 카탈로그 리소스를 생성 또는 변경하려고 했습니다.
데이터 카탈로그 데이터베이스 또는 테이블이 Amazon S3 위치를 가리키는 경우 Lake Formation 권한 `CREATE_TABLE` 또는 `ALTER`를 부여할 때 해당 위치에 대한 `DATA_LOCATION_ACCESS` 권한도 부여해야 합니다. 외부 계정이나 조직에 이러한 권한을 부여할 때는 권한 부여 옵션을 포함해야 합니다.
외부 계정에 이러한 권한을 부여한 후에는 해당 계정의 데이터 레이크 관리자가 계정의 보안 주체(사용자 또는 역할)에 권한을 부여해야 합니다. 다른 계정에서 받은 `DATA_LOCATION_ACCESS` 권한을 부여할 때는 소유자 계정의 카탈로그 ID(AWS 계정 ID)를 지정해야 합니다. 소유자 계정은 위치를 등록한 계정입니다.
자세한 내용은 [기본 데이터 액세스 제어](access-control-underlying-data.md) 및 [데이터 위치 권한 부여](granting-location-permissions.md) 섹션을 참조하세요.
### 오류: 'Glue API에 대한 암호화 키 권한이 부족함'
암호화된 데이터 카탈로그의 AWS KMS 암호화 키에 대한 권한 없이 AWS Identity and Access Management (IAM) Lake Formation 권한을 부여하려는 시도가 이루어졌습니다.
### 매니페스트를 사용하는 내 Amazon Athena 또는 Amazon Redshift 쿼리가 실패함
Lake Formation은 매니페스트를 사용하는 쿼리를 지원하지 않습니다.
### 오류: 'Lake Formation 권한 부족: 카탈로그에서 태그 생성 필요'
사용자/역할은 데이터 레이크 관리자여야 합니다.
### 잘못된 데이터 레이크 관리자를 삭제하는 중에 오류 발생
모든 잘못된 데이터 레이크 관리자(데이터 레이크 관리자로 정의된 삭제된 IAM 역할)를 동시에 삭제해야 합니다. 잘못된 데이터 레이크 관리자를 개별적으로 삭제하려고 하면 Lake Formation에서 잘못된 보안 주체 오류가 발생합니다.
## 교차 계정 액세스 문제 해결
여기에 설명된 정보를 사용하여 교차 계정 액세스 문제를 진단하고 해결하세요.
**Topics**
+ [교차 계정 Lake Formation 권한을 부여했지만 수신자가 리소스를 볼 수 없음](#troubleshooting-problem1)
+ [수신자 계정의 보안 주체가 데이터 카탈로그 리소스는 볼 수 있지만 기본 데이터에는 액세스할 수 없음](#troubleshooting-problem11)
+ [오류: AWS RAM 리소스 공유 초대를 수락할 때 "발신자가 승인되지 않아 연결에 실패했습니다"](#troubleshooting-cross-acct-accepting)
+ [오류: '리소스에 대한 권한을 부여할 권한이 없음'](#troubleshooting-problem2)
+ [오류: " AWS 조직 정보를 검색하기 위한 액세스가 거부됨"](#troubleshooting-problem3)
+ [오류: '조직()을 찾을 수 없음'](#troubleshooting-problem4)
+ [오류: 'Lake Formation 권한 부족: 잘못된 조합"](#troubleshooting-problem5)
+ [외부 계정 관련 권한 부여/취소 요청에 대한 ConcurrentModificationException](#troubleshooting-problem6)
+ [Amazon EMR을 사용하여 교차 계정을 통해 공유된 데이터에 액세스할 때 오류 발생](#toubleshooting-problem7)
### 교차 계정 Lake Formation 권한을 부여했지만 수신자가 리소스를 볼 수 없음
+ 수신자 계정의 사용자가 데이터 레이크 관리자인가요? 공유 시점의 리소스는 데이터 레이크 관리자만 볼 수 있습니다.
+ 명명된 리소스 방법을 사용하여 조직 외부 계정과 공유 중인가요? 그렇다면 수신자 계정의 데이터 레이크 관리자는 AWS Resource Access Manager ()에서 리소스 공유 초대를 수락해야 합니다AWS RAM.
자세한 내용은 [에서 리소스 공유 초대 수락 AWS RAM](accepting-ram-invite.md) 단원을 참조하십시오.
+ AWS Glue에서 계정 수준(데이터 카탈로그) 리소스 정책을 사용 중인가요? 그렇다면 명명된 리소스 방법을 사용하는 경우 AWS RAM 이 사용자를 대신하여 정책을 공유하도록 특수 문을 정책에 포함해야 합니다.
자세한 내용은 [AWS Glue 및 Lake Formation을 모두 사용하여 교차 계정 권한 관리하기](hybrid-cross-account.md) 단원을 참조하십시오.
+ 교차 계정 액세스 권한을 부여하는 데 필요한 AWS Identity and Access Management (IAM) 권한이 있습니까?
자세한 내용은 [사전 조건](cross-account-prereqs.md) 단원을 참조하십시오.
+ 권한을 부여한 리소스에는 `IAMAllowedPrincipals` 그룹에 부여된 Lake Formation 권한이 없어야 합니다.
+ 계정 수준 정책에 리소스에 대한 `deny` 문이 있나요?
### 수신자 계정의 보안 주체가 데이터 카탈로그 리소스는 볼 수 있지만 기본 데이터에는 액세스할 수 없음
수신자 계정의 보안 주체는 필수 AWS Identity and Access Management (IAM) 권한이 있어야 합니다. 자세한 내용은 [공유 테이블의 기본 데이터에 액세스](cross-account-read-data.md)을 참조하세요.
### 오류: AWS RAM 리소스 공유 초대를 수락할 때 "발신자가 승인되지 않아 연결에 실패했습니다"
다른 계정에 리소스에 대한 액세스 권한을 부여한 후 수신 계정이 리소스 공유 초대를 수락하려고 시도하면 작업이 실패합니다.
```
$ aws ram get-resource-share-associations --association-type PRINCIPAL --resource-share-arns arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
{
"resourceShareAssociations": [
{
"resourceShareArn": "arn:aws:ram:aws-region:444444444444:resource-share/e1d1f4ba-xxxx-xxxx-xxxx-xxxxxxxx5d8d
",
"resourceShareName": "LakeFormation-MMCC0XQBH3Y",
"associatedEntity": "5815803XXXXX",
"associationType": "PRINCIPAL",
"status": "FAILED",
"statusMessage": "Association failed because the caller was not authorized.",
"creationTime": "2021-07-12T02:20:10.267000+00:00",
"lastUpdatedTime": "2021-07-12T02:20:51.830000+00:00",
"external": true
}
]
}
```
이 오류는 수신 계정이 리소스 공유 초대를 수락할 때 AWS Glue에서 `glue:PutResourcePolicy`를 호출하기 때문에 발생합니다. 이 문제를 해결하려면 생산자/권한 부여자 계정에서 사용하는 위임된 역할에 따라 `glue:PutResourcePolicy` 작업을 허용하세요.
### 오류: '리소스에 대한 권한을 부여할 권한이 없음'
다른 계정이 소유한 데이터베이스 또는 테이블에 대한 교차 계정 권한을 부여하려고 했습니다. 계정에서 데이터베이스 또는 테이블을 공유하는 경우 데이터 레이크 관리자는 계정 내 사용자에게만 데이터베이스 또는 테이블에 대한 권한을 부여할 수 있습니다.
### 오류: " AWS 조직 정보를 검색하기 위한 액세스가 거부됨"
계정은 AWS Organizations 관리 계정이며 계정의 조직 단위와 같은 조직 정보를 검색하는 데 필요한 권한이 없습니다.
자세한 내용은 [Required permissions for cross-account grants](cross-account-prereqs.md#cross-account-permissions-needed) 단원을 참조하십시오.
### 오류: '조직()을 찾을 수 없음'
조직과 리소스를 공유하려고 시도했지만 조직과의 공유가 활성화되지 않았습니다. 조직과의 리소스 공유를 활성화하세요.
자세한 내용은 *AWS RAM 사용 설명서*의 [AWS 조직과의 공유 활성화를 참조하세요](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs).
### 오류: 'Lake Formation 권한 부족: 잘못된 조합"
Lake Formation 권한이 해당 리소스에 대한 `IAMAllowedPrincipals` 그룹에 부여된 동안 사용자가 Data Catalog 리소스를 공유했습니다. 사용자는 리소스를 공유하기 전에 `IAMAllowedPrincipals`에서 모든 Lake Formation 권한을 취소해야 합니다.
### 외부 계정 관련 권한 부여/취소 요청에 대한 ConcurrentModificationException
사용자가 LF 태그 정책의 보안 주체에 대해 권한 부여 및/또는 취소 권한을 여러 번 동시에 요청하면 Lake Formation에서 ConcurrentModificationException이 발생합니다. 사용자는 예외를 포착하고 실패한 권한 부여/취소 요청을 다시 시도해야 합니다. `GrantPermissions`/`RevokePermissions` API 작업의 배치 버전 사용 - [BatchGrantPermissions](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_BatchGrantPermissions.html) 및 [BatchRevokePermissions](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_BatchRevokePermissions.html)는 동시 권한 부여/취소 요청 수를 줄여 이 문제를 어느 정도 완화할 수 있습니다.
### Amazon EMR을 사용하여 교차 계정을 통해 공유된 데이터에 액세스할 때 오류 발생
Amazon EMR을 사용하여 다른 계정에서 공유된 데이터에 액세스하는 경우 일부 Spark 라이브러리는 `Glue:GetUserDefinedFunctions` API 작업을 직접 호출하려고 시도합니다. AWS RAM 관리형 권한 버전 1 및 2는이 작업을 지원하지 않으므로 다음과 같은 오류 메시지가 표시됩니다.
`"ERROR: User: arn:aws:sts::012345678901:assumed-role/my-spark-role/i-06ab8c2b59299508a is not authorized to perform: glue:GetUserDefinedFunctions on resource: arn:exampleCatalogResource because no resource-based policy allows the glue:GetUserDefinedFunctions action"`
이 오류를 해결하려면 리소스 공유를 생성한 데이터 레이크 관리자가 리소스 공유에 연결된 AWS RAM 관리형 권한을 업데이트해야 합니다. AWS RAM 관리형 권한의 버전 3에서는 보안 주체의 `glue:GetUserDefinedFunctions` 작업 수행을 허용합니다.
새 리소스 공유를 생성하는 경우 Lake Formation은 기본적으로 AWS RAM 관리형 권한의 최신 버전을 적용하므로 별도의 조치가 필요하지 않습니다. 기존 리소스 공유에 대한 교차 계정 데이터 액세스를 활성화하려면 AWS RAM 관리형 권한을 버전 3으로 업데이트해야 합니다.
에서 공유된 리소스에 할당된 AWS RAM 권한을 볼 수 있습니다 AWS RAM. 버전 3에는 다음과 같은 권한이 포함됩니다.
```
Databases
AWSRAMPermissionGlueDatabaseReadWriteForCatalog
AWSRAMPermissionGlueDatabaseReadWrite
Tables
AWSRAMPermissionGlueTableReadWriteForCatalog
AWSRAMPermissionGlueTableReadWriteForDatabase
AllTables
AWSRAMPermissionGlueAllTablesReadWriteForCatalog
AWSRAMPermissionGlueAllTablesReadWriteForDatabase
```
**기존 리소스 공유의 AWS RAM 관리형 권한 버전을 업데이트하려면**
사용자(데이터 레이크 관리자)는 *AWS RAM 사용 설명서*의 지침에 따라 [AWS RAM 관리형 권한을 최신 버전으로 업데이트](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update-permissions.html)하거나 리소스 유형에 대한 모든 기존 권한을 취소하고 다시 부여할 수 있습니다. 권한을 취소하면가 AWS RAM 리소스 유형과 연결된 리소스 공유를 AWS RAM 삭제합니다. 권한을 AWS RAM 다시 부여하면는 AWS RAM 관리형 권한의 최신 버전을 연결하는 새 리소스 공유를 생성합니다.
## 청사진 및 워크플로 문제 해결
여기에 설명된 정보를 사용하여 청사진 및 워크플로 문제를 진단하고 해결하세요.
**Topics**
+ ['사용자 이(가) 리소스 iam:PassRole 을(를) 수행할 권한이 없음' 메시지와 함께 청사진이 실패함](#problem-bp-1)
+ ['사용자 이(가) 리소스 iam:PassRole 을(를) 수행할 권한이 없음' 메시지와 함께 워크플로가 실패함](#problem-bp-2)
+ ['리소스가 존재하지 않거나 요청자가 요청된 권한에 액세스할 권한이 없음'이라는 메시지와 함께 워크플로의 크롤러가 실패함](#problem-bp-3)
+ ['CreateTable 작업을 호출할 때 오류 발생(AccessDenieException)...'이라는 메시지와 함께 워크플로의 크롤러가 실패함](#problem-bp-4)
### '사용자 이(가) 리소스 iam:PassRole 을(를) 수행할 권한이 없음' 메시지와 함께 청사진이 실패함
선택한 역할을 전달할 수 있는 권한이 없는 사용자가 청사진을 생성하려고 했습니다.
역할을 전달할 수 있도록 사용자의 IAM 정책을 업데이트하거나 사용자에게 필요한 passrole 권한이 있는 다른 역할을 선택하도록 요청하세요.
자세한 내용은 [Lake Formation 페르소나 및 IAM 권한 참조](permissions-reference.md) 단원을 참조하십시오.
### '사용자 이(가) 리소스 iam:PassRole 을(를) 수행할 권한이 없음' 메시지와 함께 워크플로가 실패함
워크플로에 지정한 역할에 역할 자체의 전달을 허용하는 인라인 정책이 없습니다.
자세한 내용은 [(선택 사항) 워크플로에 대한 IAM 역할 생성](initial-lf-config.md#iam-create-blueprint-role) 단원을 참조하십시오.
### '리소스가 존재하지 않거나 요청자가 요청된 권한에 액세스할 권한이 없음'이라는 메시지와 함께 워크플로의 크롤러가 실패함
한 가지 가능한 원인으로, 전달된 역할에 대상 데이터베이스에 테이블을 생성할 수 있는 충분한 권한이 없었기 때문일 수 있습니다. 역할에 데이터베이스에 대한 `CREATE_TABLE` 권한을 부여하세요.
### 'CreateTable 작업을 호출할 때 오류 발생(AccessDenieException)...'이라는 메시지와 함께 워크플로의 크롤러가 실패함
한 가지 가능한 원인으로, 워크플로 역할에 대상 스토리지 위치에 대한 데이터 위치 권한이 없었기 때문일 수 있습니다. 해당 역할에 데이터 위치 권한을 부여합니다.
자세한 내용은 [`DATA_LOCATION_ACCESS`](lf-permissions-reference.md#perm-location) 단원을 참조하십시오.
# 에 대해 알려진 문제 AWS Lake Formation
이러한 알려진 문제를 검토합니다 AWS Lake Formation.
**Topics**
+ [테이블 메타데이터 필터링 제한](#issue-table-metadata-avro)
+ [제외된 열의 이름 바꾸기 관련 문제](#issue-rename-column)
+ [CSV 테이블의 열 삭제 관련 문제](#issue-csv-schema)
+ [테이블 파티션을 공통 경로 아래에 추가해야 함](#issue-table-partitions)
+ [워크플로 생성 중 데이터베이스 생성 관련 문제](#issue-create-table-permission)
+ [사용자를 삭제하고 다시 생성할 때 발생하는 문제](#issue-recreate-user)
+ [데이터 카탈로그 API 작업은 `IsRegisteredWithLakeFormation` 파라미터 값을 업데이트하지 않습니다.](#issue-get-tables-parameter)
+ [Lake Formation 작업은 AWS Glue 스키마 레지스트리를 지원하지 않습니다.](#not-support-GlueSchemaRegistry.title)
## 테이블 메타데이터 필터링 제한
AWS Lake Formation 열 수준 권한을 사용하여 테이블의 특정 열에 대한 액세스를 제한할 수 있습니다. 사용자가 콘솔이나 `glue:GetTable`과 같은 API를 사용하여 테이블에 대한 메타데이터를 검색하면 테이블 객체의 열 목록에는 액세스 권한이 있는 필드만 포함됩니다. 이 메타데이터 필터링의 제한을 이해해야 합니다.
Lake Formation은 통합 서비스에 열 권한에 대한 메타데이터를 제공하지만 쿼리 응답의 실제 열 필터링은 통합 서비스의 책임입니다. Amazon Athena, Amazon Redshift Spectrum 및 Amazon EMR을 포함하여 열 수준 필터링을 지원하는 Lake Formation 클라이언트는 Lake Formation에 등록된 열 권한을 기반으로 데이터를 필터링합니다. 사용자는 액세스 권한이 없는 데이터를 읽을 수 없습니다. 현재 AWS Glue ETL은 열 필터링을 지원하지 않습니다.
**참고**
EMR 클러스터는 AWS에서 완전히 관리되지 않습니다. 따라서 EMR 관리자는 데이터에 대한 무단 액세스를 방지하기 위해 클러스터를 적절하게 보호해야 합니다.
특정 애플리케이션이나 형식은 열 이름 및 유형을 비롯한 추가 메타데이터를 `Parameters` 맵에 테이블 속성으로 저장할 수 있습니다. 이러한 속성은 수정되지 않은 상태로 반환되며 모든 열에 대해 `SELECT` 권한이 있는 사용자라면 누구나 액세스할 수 있습니다.
예를 들어 [Avro SerDe](https://docs.aws.amazon.com/athena/latest/ug/supported-serdes.html)는 테이블 스키마의 JSON 표현을 `avro.schema.literal`이라는 테이블 속성에 저장합니다. 이 속성은 테이블에 액세스할 수 있는 모든 사용자가 사용할 수 있습니다. 테이블 속성에 민감한 정보를 저장하지 않는 것이 좋으며, 사용자가 Avro 형식 테이블의 전체 스키마를 학습할 수 있다는 점에 유의해야 합니다. 이 제한은 테이블 관련 메타데이터에만 적용됩니다.
AWS Lake Formation 호출자가 테이블의 모든 열에 대한 `SELECT` 권한이 없는 경우 `glue:GetTable` 또는 유사한 요청에 응답할 `spark.sql.sources.schema` 때 로 시작하는 테이블 속성을 제거합니다. 이렇게 하면 사용자가 Apache Spark로 생성된 테이블에 대한 추가 메타데이터에 액세스할 수 없게 됩니다. Amazon EMR에서 실행할 때 Apache Spark 애플리케이션은 여전히 이러한 테이블을 읽을 수 있지만 특정 최적화가 적용되지 않을 수 있으며 대/소문자를 구분하는 열 이름은 지원되지 않습니다. 사용자가 테이블의 모든 열에 액세스할 수 있는 경우 Lake Formation은 모든 테이블 속성이 포함된 수정되지 않은 테이블을 반환합니다.
## 제외된 열의 이름 바꾸기 관련 문제
열 수준 권한을 사용하여 열을 제외한 다음 열 이름을 바꾸면 해당 열이 더 이상 쿼리에서 제외되지 않습니다(예: `SELECT *`).
## CSV 테이블의 열 삭제 관련 문제
CSV 형식으로 데이터 카탈로그 테이블을 생성한 다음 스키마에서 열을 삭제하면 쿼리에서 잘못된 데이터가 반환되고 열 수준 권한이 준수되지 않을 수 있습니다.
해결 방법: 새 테이블을 대신 생성합니다.
## 테이블 파티션을 공통 경로 아래에 추가해야 함
Lake Formation은 테이블의 모든 파티션이 테이블의 위치 필드에 설정된 공통 경로 아래에 있을 것으로 예상합니다. 크롤러를 사용하여 카탈로그에 파티션을 추가하면 원활하게 작동합니다. 그러나 파티션을 수동으로 추가할 때 이러한 파티션이 상위 테이블에 설정된 위치에 있지 않으면 데이터 액세스가 작동하지 않습니다.
## 워크플로 생성 중 데이터베이스 생성 관련 문제
Lake Formation 콘솔을 사용하여 청사진에서 워크플로를 생성할 때 대상 데이터베이스를 생성할 수 있습니다(대상 데이터베이스가 없는 경우). 이렇게 하면 로그인한 사용자에게 생성된 데이터베이스에 대한 `CREATE_TABLE` 권한이 부여됩니다. 워크플로가 생성하는 크롤러는 워크플로 역할로 테이블을 생성하려고 시도합니다. 하지만 이 역할에는 데이터베이스에 대한 `CREATE_TABLE` 권한이 없기 때문에 실패합니다.
해결 방법: 워크플로를 설정하는 동안 콘솔을 통해 데이터베이스를 생성하는 경우 워크플로를 실행하기 전에 워크플로와 관련된 역할에 방금 생성한 데이터베이스에 대한 `CREATE_TABLE` 권한을 부여해야 합니다.
## 사용자를 삭제하고 다시 생성할 때 발생하는 문제
다음 시나리오에서는 `lakeformation:ListPermissions`에서 반환된 잘못된 Lake Formation 권한이 발생합니다.
1. 사용자를 생성하고 Lake Formation 권한을 부여합니다.
1. 사용자를 삭제합니다.
1. 같은 이름으로 사용자를 다시 생성합니다.
`ListPermissions`은 두 개의 항목을 반환합니다. 하나는 이전 사용자용이고 다른 하나는 새 사용자용입니다. 이전 사용자에게 부여된 권한을 취소하려고 하면 새 사용자의 권한이 취소됩니다.
## 데이터 카탈로그 API 작업은 `IsRegisteredWithLakeFormation` 파라미터 값을 업데이트하지 않습니다.
`GetTables` 및 `SearchTables`와 같은 데이터 카탈로그 API 작업은 `IsRegisteredWithLakeFormation` 파리미터 값을 업데이트하지 않고 기본값인 false를 반환한다는 알려진 제한 사항이 있습니다. `IsRegisteredWithLakeFormation` 파라미터의 올바른 값을 보려면 `GetTable` API를 사용하는 것이 좋습니다.
## Lake Formation 작업은 AWS Glue 스키마 레지스트리를 지원하지 않습니다.
Lake Formation 작업은 [스키마 레지스터](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)에서 `StorageDescriptor` 사용할 `SchemaReference`에가 포함된 AWS Glue 테이블을 지원하지 않습니다.
# 업데이트된 오류 메시지
AWS Lake Formation은 보안 및 규정 준수 목표를 충족하기 위해 다음 API 작업에 대한 리소스별 예외를 일반 `EntityNotFound` 오류 메시지로 업데이트했습니다.
+ RevokePermissions
+ GrantPermissions
+ GetResourceLFTags
+ GetTable
+ GetDatabase