기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Lake Formation 애플리케이션 통합 사용
Lake Formation을 사용하면 서드 파티 서비스가 Lake Formation과 통합되고 [GetTemporaryGlueTableCredentials](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_GetTemporaryGlueTableCredentials.html) 및 [GetTemporaryGluePartitionCredentials](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_GetTemporaryGluePartitionCredentials.html) 작업을 사용하여 사용자를 대신하여 Amazon S3 데이터에 임시 액세스할 수 있습니다. 이를 통해 타사 서비스는 나머지 AWS 분석 서비스에서 사용하는 것과 동일한 권한 부여 및 자격 증명 벤딩 기능을 사용할 수 있습니다. 이 섹션에서는 이러한 API 작업을 사용하여 서드 파티 쿼리 엔진을 Lake Formation과 통합하는 방법에 대해 설명합니다.
이러한 API 작업은 기본적으로 비활성화되어 있습니다. Lake Formation이 애플리케이션을 통합할 수 있도록 승인하는 두 가지 옵션이 있습니다.
+ 애플리케이션 통합 API 작업이 호출될 때마다 검증되는 IAM 세션 태그를 구성합니다.
자세한 내용은 [서드 파티 쿼리 엔진이 애플리케이션 통합 API 작업을 호출할 수 있는 권한을 활성화합니다.](permitting-third-party-call.md) 단원을 참조하십시오.
+ **외부 엔진이 전체 테이블 액세스 권한으로 Amazon S3 위치의 데이터에 액세스할 수 있도록 허용** 옵션을 활성화합니다.
이 옵션을 사용하면 사용자에게 전체 테이블 액세스 권한이 있는 경우 쿼리 엔진과 애플리케이션에서 IAM 세션 태그 없이 자격 증명을 얻을 수 있습니다. 쿼리 엔진 및 애플리케이션 성능상의 이점을 제공할 뿐만 아니라 데이터 액세스를 간소화합니다. Amazon EMR on Amazon EC2는 이 설정을 활용할 수 있습니다.
자세한 내용은 [전체 테이블 액세스를 위한 애플리케이션 통합](full-table-credential-vending.md) 단원을 참조하십시오.
**Topics**
+ [Lake Formation 애플리케이션 통합 작동 방식](how-vending-works.md)
+ [Lake Formation 애플리케이션 통합에서의 역할 및 책임](roles-and-responsibilities.md)
+ [애플리케이션 통합 API 작업을 위한 Lake Formation 워크플로](api-overview.md)
+ [서드 파티 쿼리 엔진 등록](register-query-engine.md)
+ [서드 파티 쿼리 엔진이 애플리케이션 통합 API 작업을 호출할 수 있는 권한을 활성화합니다.](permitting-third-party-call.md)
+ [전체 테이블 액세스를 위한 애플리케이션 통합](full-table-credential-vending.md)
# Lake Formation 애플리케이션 통합 작동 방식
이 섹션에서는 애플리케이션 통합 API 작업을 사용하여 서드 파티 애플리케이션(쿼리 엔진)을 Lake Formation과 통합하는 방법에 대해 설명합니다.
![\[Lake Formation data access workflow with user authentication and service integration.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/credential-vending-new.png)
1. Lake Formation 관리자는 다음 활동을 수행합니다.
+ Amazon S3 위치 내의 데이터에 액세스할 수 있는 적절한 권한이 있는 IAM 역할(자격 증명 벤딩에 사용)을 제공하여 Lake Formation에 Amazon S3 위치를 등록합니다.
+ Lake Formation의 자격 증명 벤딩 API 작업을 호출할 수 있도록 서드 파티 애플리케이션을 등록합니다. [서드 파티 쿼리 엔진 등록](register-query-engine.md) 섹션을 참조하세요
+ 데이터베이스 및 테이블에 대한 액세스를 활성화할 수 있는 권한을 부여합니다.
예를 들어 개인 식별 정보(PII)가 있는 일부 열이 포함된 사용자 세션 데이터세트를 게시하여 액세스를 제한하려면 이러한 열에 값이 '민감'인 '분류'라는 [LF-TBAC](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html.html) 태그를 할당합니다. 다음으로 비즈니스 분석가가 사용자 세션 데이터에 액세스할 수 있는 권한을 정의하되, 분류 = 민감으로 태그가 지정된 열은 제외합니다.**
1. 보안 주체(사용자)가 통합 서비스에 쿼리를 제출합니다.
1. 통합 애플리케이션은 Lake Formation에 요청을 전송하여 테이블에 액세스하기 위한 테이블 정보와 자격 증명을 요청합니다.
1. 쿼리 보안 주체가 테이블에 액세스할 수 있는 권한이 있는 경우 Lake Formation은 통합 애플리케이션에 자격 증명을 반환하여 데이터 액세스를 허용합니다.
**참고**
Lake Formation은 자격 증명을 벤딩할 때 기본 데이터에 액세스하지 않습니다.
1. 통합 서비스는 Amazon S3에서 데이터를 읽고, 수신한 정책을 기반으로 열을 필터링하고, 결과를 보안 주체에 반환합니다.
**중요**
Lake Formation 자격 증명 벤딩 API 작업은 **명시적 실패 시 거부(fail-close) 모델을 통해 분산 적용**을 활성화합니다. 이를 통해 고객, 서드 파티 서비스 및 Lake Formation 간의 3자 보안 모델이 도입되었습니다. 통합 서비스는 Lake Formation 권한을 적절하게 적용할 것으로 신뢰됩니다(분산 적용).
통합 서비스는 필터링된 데이터가 사용자에게 다시 반환되기 전에 Lake Formation에서 반환된 정책에 따라 Amazon S3에서 읽은 데이터를 필터링하는 역할을 담당합니다. 통합 서비스는 실패 시 종료 모델을 따르므로 필요한 Lake Formation 권한을 적용할 수 없는 경우 쿼리에 실패해야 합니다.
# Lake Formation 애플리케이션 통합에서의 역할 및 책임
다음은 타사 애플리케이션 통합을 활성화하기 위한 역할과 관련 책임입니다 AWS Lake Formation.
****
| Role | 책임 |
| --- | --- |
| 고객 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/roles-and-responsibilities.html) |
| 서드 파티 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/roles-and-responsibilities.html) |
| AWS Lake Formation | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/roles-and-responsibilities.html) |
# 애플리케이션 통합 API 작업을 위한 Lake Formation 워크플로
애플리케이션 통합 API 작업의 워크플로는 다음과 같습니다.
1. 사용자가 통합된 서드 파티 쿼리 엔진을 사용하여 쿼리를 제출하거나 데이터를 요청합니다. 쿼리 엔진은 사용자 또는 사용자 그룹을 나타내는 IAM 역할을 맡고, 애플리케이션 통합 API 작업을 호출할 때 사용할 신뢰할 수 있는 자격 증명을 검색합니다.
1. 쿼리 엔진은 `GetUnfilteredTableMetadata`를 호출하고, 파티션된 테이블인 경우 쿼리 엔진은 `GetUnfilteredPartitionsMetadata`를 호출하여 데이터 카탈로그에서 메타데이터 및 정책 정보를 검색합니다.
1. Lake Formation은 요청에 대한 승인을 수행합니다. 사용자에게 테이블에 대한 적절한 권한이 없는 경우 AccessDeniedException이 발생합니다.**
1. 요청의 일부로 쿼리 엔진은 지원하는 필터링을 전송합니다. 배열 내에서 전송할 수 있는 두 가지 플래그는 COLUMN\$1PERMISSIONS 및 CELL\$1FILTER\$1PERMISSION입니다.**** 쿼리 엔진이 이러한 기능을 지원하지 않는데 해당 기능에 대한 정책이 테이블에 있는 경우 PermissionTypeMismatchException이 발생하고 쿼리가 실패합니다.** 이는 데이터 유출을 방지하기 위함입니다.
1. 반환된 응답에는 다음이 포함됩니다.
+ 쿼리 엔진이 스토리지에서 데이터를 구문 분석하는 데 사용할 수 있는 테이블의 전체 스키마입니다.
+ 사용자가 액세스할 수 있는 승인된 열 목록입니다. 승인된 열 목록이 비어 있는 경우 사용자에게 `DESCRIBE` 권한은 있지만 `SELECT` 권한이 없는 것으로 표시되며 쿼리가 실패합니다.
+ Lake Formation이 이 리소스 데이터에 자격 증명을 제공할 수 있는지 여부를 나타내는 플래그(`IsRegisteredWithLakeFormation`)입니다. false가 반환되는 경우 고객의 자격 증명을 사용하여 Amazon S3에 액세스해야 합니다.
+ 데이터 행에 적용해야 하는 `CellFilters` 목록(있는 경우)입니다. 이 목록에는 각 행을 평가하는 열과 표현식이 포함되어 있습니다. 이 값은 요청의 일부로 CELL\$1FILTER\$1PERMISSION이 전송되고 호출하는 사용자의 테이블에 대한 데이터 필터가 있는 경우에만 채워져야 합니다.**
1. 메타데이터가 검색되면 쿼리 엔진은 `GetTemporaryGlueTableCredentials` 또는를 호출`GetTemporaryGluePartitionCredentials`하여 Amazon S3 위치에서 데이터를 검색하기 위한 AWS 자격 증명을 가져옵니다.
1. 쿼리 엔진은 Amazon S3에서 관련 객체를 읽고, 2단계에서 수신한 정책을 기반으로 데이터를 필터링하고, 결과를 사용자에게 반환합니다.
Lake Formation용 애플리케이션 통합 API 작업에는 서드 파티 쿼리 엔진과의 통합을 구성하기 위한 추가 콘텐츠가 포함되어 있습니다. [자격 증명 벤딩 API 작업 섹션](aws-lake-formation-api-credential-vending.md)에서 작업 세부 정보를 확인할 수 있습니다.
`QuerySessionContext`는 쿼리 엔진이 이러한 애플리케이션 통합 API 작업을 Lake Formation 위해에 추가로 전송할 수 있는 구조입니다. 이를 통해는 지정된 쿼리Lake Formation에 대한 추가 컨텍스트를 저장하고 활용할 수 있습니다. 다음은 [QuerySessionContext](https://docs.aws.amazon.com/glue/latest/webapi/API_QuerySessionContext.html)를 사용하는 방법의 예입니다.
1. 쿼리 엔진은 `GetInternalUnfilteredMetadata` 호출을 수행하여 요청에 고유한 쿼리 ID가 포함된 QSC 구조를 전달합니다.
```
{
"QuerySessionContext": {
"QueryId": "your-unique-identifier-here"
}
}
```
1. `GetInternalUnfilteredMetadata` 호출은 응답에서 `QueryAuthorizationId` 문자열을 반환합니다. 입력에서 QSC 구조를 수락하는 다음(및 후속) 쿼리 호출에서 쿼리 엔진은에서 `QueryAuthorizationId` 반환한 도 포함하는 동일한 QSC 구조를 전달합니다Lake Formation. 이 다음 호출이 라고 가정해 보겠습니다`GetTemporaryGlueTableCredentials`. 요청에는 다음이 포함됩니다.
```
{
"QuerySessionContext": {
"QueryAuthorizationId": "lf-returned-query-authz-id-here",
"QueryId": "your-unique-identifier-here"
},
}
```
# 서드 파티 쿼리 엔진 등록
서드 파티 쿼리 엔진이 애플리케이션 통합 API 작업을 사용할 수 있으려면 쿼리 엔진이 사용자를 대신하여 API 작업을 호출할 수 있는 권한을 명시적으로 활성화해야 합니다. 이는 몇 단계만 거치면 됩니다.
1. Lake Formation 콘솔, AWS CLI 또는 API/SDK를 통해 AWS 애플리케이션 통합 API 작업을 호출할 권한이 필요한 AWS 계정 및 IAM 세션 태그를 지정해야 합니다.
1. 서드 파티 쿼리 엔진이 계정에서 실행 역할을 맡는 경우, 쿼리 엔진은 서드 파티 엔진을 나타내는 Lake Formation에 등록된 세션 태그를 연결해야 합니다. Lake Formation은 이 태그를 사용하여 요청이 승인된 엔진에서 온 것인지 확인합니다. 세션 태그에 대한 자세한 내용은 IAM 사용자 설명서의 [세션 태그](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)를 참조하세요.
1. 서드 파티 쿼리 엔진 실행 역할을 설정할 때는 IAM 정책에 다음과 같은 최소 권한 세트가 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
}
}
```
------
1. 쿼리 엔진 실행 역할에 역할 신뢰 정책을 설정하여 이 역할에 연결할 수 있는 세션 태그 키 값 페어에 대한 액세스를 세밀하게 제어할 수 있도록 하세요. 다음 예에서 이 역할은 세션 태그 키 `"LakeFormationAuthorizedCaller"`와 세션 태그 값 `"engine1"`만 연결할 수 있으며 다른 세션 태그 키 값 페어는 허용되지 않습니다.
```
{
"Sid": "AllowPassSessionTags",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/query-execution-role"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/LakeFormationAuthorizedCaller": "engine1" }
}
}
```
`LakeFormationAuthorizedCaller`가 쿼리 엔진이 사용할 자격 증명을 가져오기 위해 STS:AssumeRole API 작업을 호출할 때 세션 태그가 [AssumeRole 요청](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html#id_session-tags_adding-assume-role)에 포함되어야 합니다. 반환된 임시 자격 증명을 사용하여 Lake Formation 애플리케이션 통합 API 요청을 할 수 있습니다.
Lake Formation 애플리케이션 통합 API 작업을 수행하려면 호출 보안 주체가 IAM 역할이어야 합니다. IAM 역할에는 Lake Formation에 등록된 미리 정해진 값의 세션 태그가 포함되어야 합니다. 이 태그를 사용하면 Lake Formation이 애플리케이션 통합 API 작업을 호출하는 데 사용되는 역할이 허용되는지 확인할 수 있습니다.
# 서드 파티 쿼리 엔진이 애플리케이션 통합 API 작업을 호출할 수 있는 권한을 활성화합니다.
다음 단계에 따라 타사 쿼리 엔진이 콘솔, AWS CLI 또는 API/SDK를 통해 AWS Lake Formation 애플리케이션 통합 API 작업을 호출하도록 허용합니다.
------
#### [ Console ]
**외부 데이터 필터링을 위해 계정을 등록하려면:**
1. 에 로그인 AWS Management Console하고 [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/) Lake Formation 콘솔을 엽니다.
1. 왼쪽 탐색에서 **관리**를 펼친 다음, **애플리케이션 통합 설정**을 선택합니다.
1. **애플리케이션 통합 설정** 페이지에서 **외부 엔진이 Lake Formation에 등록된 Amazon S3 위치의 데이터를 필터링하도록 허용** 옵션을 선택합니다.
1. 서드 파티 엔진용으로 생성한 세션 태그를 입력합니다. 세션 태그에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [AWS STS에서 세션 태그 전달](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)을 참조하세요.
1. 서드 파티 엔진을 사용하여 필터링되지 않은 메타데이터 정보에 액세스할 수 있는 사용자의 계정 ID와 현재 계정에 있는 리소스의 데이터 액세스 자격 증명을 입력합니다.
AWS 계정 ID 필드를 사용하여 교차 계정 액세스를 구성할 수도 있습니다.
![\[스크린샷은 Lake Formation의 애플리케이션 통합 설정 페이지를 보여줍니다. 외부 엔진이 Lake Formation에 등록된 Amazon S3 위치의 데이터를 필터링하도록 허용이라는 옵션이 선택되어 있습니다. 세션 태그 값의 경우, 텍스트 상자는 비어 있지만 필드 아래에는 “엔진1”, “엔진2”, “엔진3”, “세션1”, “세션2”, “세션3”이라는 6개의 태그가 표시됩니다. 마지막 필드에는 AWS 계정 IDs 필드가 표시됩니다. 텍스트 필드는 비어 있지만 이 필드 아래에 계정 ID와 함께 세 개의 태그가 표시됩니다. 계정 ID 값이 삭제됩니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/cred-vending-external-data-filtering.png)
------
#### [ CLI ]
다음 `put-data-lake-settings` CLI 명령을 사용하여 다음 파라미터를 설정합니다.
이 AWS CLI 명령을 사용할 때 구성할 세 가지 필드가 있습니다.
+ `allow-external-data-filtering ` - (부울) 서드 파티 엔진이 현재 계정에 있는 리소스의 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 액세스할 수 있음을 나타냅니다.
+ `external-data-filtering-allow-list` - (배열) 서드 파티 엔진을 사용할 때 현재 계정에 있는 리소스의 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 액세스할 수 있는 계정 ID 목록입니다. AllowExternalDataFiltering이 true로 설정된 경우 ExternalDataFilteringAllowList 속성에는 하나 이상의 계정 ID가 포함되어야 합니다. 빈 목록은 허용되지 않습니다.
+ `authorized-sessions-tag-value-list` - (배열) 승인된 세션 태그 값(문자열) 목록입니다. IAM 역할 자격 증명이 승인된 키-값 페어와 연결된 경우, 세션 태그가 목록에 포함되면 세션은 구성된 계정의 리소스에 대한 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 대한 액세스 권한을 부여받습니다. 승인된 세션 태그 키는 `*LakeFormationAuthorizedCaller*`로 정의됩니다.
+ `AllowFullTableExternalDataAccess` - (부울) 호출자에게 전체 데이터 액세스 권한이 있는 경우 서드 파티 쿼리 엔진이 세션 태그 없이 데이터 액세스 자격 증명을 가져올 수 있도록 허용할지 여부입니다.
예제:
```
aws lakeformation put-data-lake-settings --cli-input-json file://datalakesettings.json
{
"DataLakeSettings": {
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "arn:aws:iam::111111111111:user/lakeAdmin"
}
],
"CreateDatabaseDefaultPermissions": [],
"CreateTableDefaultPermissions": [],
"TrustedResourceOwners": [],
"AllowExternalDataFiltering": true,
"ExternalDataFilteringAllowList": [
{"DataLakePrincipalIdentifier": "111111111111"}
],
"AuthorizedSessionTagValueList": ["engine1"],
"AllowFullTableExternalDataAccess": false
}
}
```
------
#### [ API/SDK ]
`PutDataLakeSetting` API 작업을 사용하여 다음 파라미터를 설정합니다.
이 API 작업을 사용할 때 구성할 필드는 세 가지입니다.
+ `AllowExternalDataFiltering` - (부울) 서드 파티 엔진이 현재 계정에 있는 리소스의 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 액세스할 수 있는지를 나타냅니다.
+ `ExternalDataFilteringAllowList` - (배열) 서드 파티 엔진을 사용할 때 현재 계정에 있는 리소스의 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 액세스할 수 있는 계정 ID 목록입니다.
+ `AuthorizedSectionsTagValueList` - (배열) 승인된 태그 값(문자열) 목록입니다. IAM 역할 자격 증명이 승인된 태그와 연결된 경우, 세션은 구성된 계정의 리소스에 대한 필터링되지 않은 메타데이터 정보 및 데이터 액세스 자격 증명에 대한 액세스 권한을 부여받습니다. 승인된 세션 태그 키는 `*LakeFormationAuthorizedCaller*`로 정의됩니다.
+ `AllowFullTableExternalDataAccess` - (부울) 호출자에게 전체 데이터 액세스 권한이 있는 경우 서드 파티 쿼리 엔진이 세션 태그 없이 데이터 액세스 자격 증명을 가져올 수 있도록 허용할지 여부입니다.
예제:
```
//Enable session tag on existing data lake settings
public void sessionTagSetUpForExternalFiltering(AWSLakeFormationClient lakeformation) {
GetDataLakeSettingsResult getDataLakeSettingsResult = lfClient.getDataLakeSettings(new GetDataLakeSettingsRequest());
DataLakeSettings dataLakeSettings = getDataLakeSettingsResult.getDataLakeSettings();
//set account level flag to allow external filtering
dataLakeSettings.setAllowExternalDataFiltering(true);
//set account that are allowed to call credential vending or Glue GetFilteredMetadata API
List allowlist = new ArrayList<>();
allowlist.add(new DataLakePrincipal().withDataLakePrincipalIdentifier("111111111111"));
dataLakeSettings.setWhitelistedForExternalDataFiltering(allowlist);
//set registered session tag values
List registeredTagValues = new ArrayList<>();
registeredTagValues.add("engine1");
dataLakeSettings.setAuthorizedSessionTagValueList(registeredTagValues);
lakeformation.putDataLakeSettings(new PutDataLakeSettingsRequest().withDataLakeSettings(dataLakeSettings));
}
```
------
# 전체 테이블 액세스를 위한 애플리케이션 통합
다음 단계에 따라 서드 파티 쿼리 엔진이 IAM 세션 태그 검증 없이 데이터에 액세스할 수 있도록 합니다.
------
#### [ Console ]
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))에 로그인합니다.
1. 왼쪽 탐색에서 **관리**를 펼치고 **애플리케이션 통합 설정**을 선택합니다.
1. **애플리케이션 통합 설정** 페이지에서 **외부 엔진이 전체 테이블 액세스를 통해 Amazon S3 위치의 데이터에 액세스할 수 있도록 허용** 옵션을 선택합니다.
이 옵션을 활성화하면 Lake Formation은 IAM 세션 태그 검증 없이 쿼리 애플리케이션에 직접 자격 증명을 반환합니다.
![\[스크린샷은 Lake Formation의 애플리케이션 통합 설정 페이지를 보여줍니다. 외부 엔진이 전체 테이블 액세스 권한으로 Amazon S3 위치의 데이터에 액세스할 수 있도록 허용 옵션이 선택되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/cred-vending-external-full-table.png)
------
#### [ AWS CLI ]
`put-data-lake-settings` CLI 명령을 사용하여 `AllowFullTableExternalDataAccess` 파라미터를 설정합니다.
```
aws lakeformation put-data-lake-settings —cli-input-json file://put-data-lake-settings.json —region ap-northeast-1
{
"DataLakeSettings": {
"DataLakeAdmins": [
{
"DataLakePrincipalIdentifier": "arn:aws:iam::111111111111:user/lakeAdmin"
}
],
"AllowFullTableExternalDataAccess": true
}
}
```
------