기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Lake Formation란 무엇인가요?
AWS Lake Formation 개발자 안내서를 시작합니다.
AWS Lake Formation 는 분석 및 기계 학습을 위한 데이터를 중앙에서 관리하고, 보호하고, 전 세계적으로 공유하는 데 도움이 됩니다. Lake Formation을 사용하면 Amazon Simple Storage Service(S3) 의 데이터 레이크 데이터와 AWS Glue Data Catalog의 해당 메타데이터에 대한 세분화된 액세스 제어를 관리할 수 있습니다.
Lake Formation은 IAM 권한 모델을 보강하는 자체 권한 모델을 제공합니다. Lake Formation 권한 모델을 사용하면 관계형 데이터베이스 관리 시스템(RDBMS)과 마찬가지로 간단한 권한 부여 또는 취소 메커니즘을 통해 데이터 레이크에 저장된 데이터와 Amazon Redshift 데이터 웨어하우스, Amazon DynamoDB 데이터베이스 및 타사 데이터 소스 등의 외부 데이터 소스에 세분화된 액세스를 수행할 수 있습니다. Lake Formation 권한은 Amazon Athena, Amazon Redshift Spectrum, Amazon EMR, 등의 AWS 분석 및 기계 학습 서비스 전반에 걸쳐 열 Amazon Quick, 행 및 셀 수준에서 세분화된 제어를 사용하여 적용됩니다 AWS Glue.
AWS Glue Data Catalog (데이터 카탈로그)에 대한 Lake Formation 하이브리드 액세스 모드를 사용하면 Amazon S3 AWS Glue 및 작업에 대한 Lake Formation 권한과 IAM 권한 정책을 모두 사용하여 카탈로그화된 데이터를 보호하고 액세스할 수 있습니다. 데이터 관리자는 하이브리드 액세스 모드를 통해 한 번에 하나의 데이터 레이크 사용 사례에 집중하여 Lake Formation 권한을 선택적, 점진적으로 온보딩할 수 있습니다.
또한 Lake Formation을 사용하면 여러 AWS 계정, AWS 조직 또는 다른 계정의 IAM 보안 주체와 내부 및 외부에서 데이터를 공유하여 데이터 카탈로그 메타데이터 및 기본 데이터에 대한 세분화된 액세스를 제공할 수 있습니다.
**Topics**
+ [Lake Formation 기능](#lake-formation-features)
+ [AWS Lake Formation: 작동 방식](how-it-works.md)
+ [Lake Formation 구성 요소](how-it-works-components.md)
+ [Lake Formation 용어](how-it-works-terminology.md)
+ [AWS Lake Formation과의 서비스 통합](service-integrations.md)
+ [Lake Formation 관련 추가 리소스](additional-resources.md)
+ [Lake Formation 시작하기](#what-is-lake-formation-start)
## Lake Formation 기능
Lake Formation을 사용하면 데이터 사일로를 제거하고 다양한 유형의 정형 및 비정형 데이터를 중앙 집중식 리포지토리에 결합할 수 있습니다. 먼저 Amazon S3 또는 관계형 및 NoSQL 데이터베이스의 기존 데이터 스토어를 식별하고 데이터를 데이터 레이크로 이동합니다. 그런 다음 분석을 위해 데이터를 크롤링하고 분류하고 준비합니다. 다음으로, 사용자가 선택한 분석 서비스를 통해 데이터에 대한 안전한 셀프 서비스 액세스를 제공합니다.
Lake Formation 콘솔을 사용하여 Data Catalog에서 다단계 페더레이션 카탈로그를 생성하고 Amazon S3 데이터 레이크 및 Amazon Redshift 데이터 웨어하우스에서 데이터를 통합할 수 있습니다. 또한와 같은 운영 데이터베이스의 데이터와 Google BigQuery Amazon DynamoDB, MySQL과 같은 타사 데이터 소스를 통합할 수 있습니다. 데이터 카탈로그는 서로 다른 시스템에서 데이터를 더 쉽게 관리하고 검색할 수 있도록 중앙 집중식 메타데이터 리포지토리를 제공합니다.
자세한 내용은 [로 데이터 가져오기 AWS Glue Data Catalog](bring-your-data-overview.md) 단원을 참조하십시오.
**Topics**
+ [데이터 수집 및 관리](#features-general)
+ [보안 관리](#Security-management)
+ [데이터를 Data Catalog로 가져오기](#data-sharing)
### 데이터 수집 및 관리
**이미에 있는 데이터베이스에서 데이터 가져오기 AWS**
기존 데이터베이스의 위치를 지정하고 액세스 자격 증명을 제공하면 Lake Formation이 데이터와 해당 메타데이터(스키마)를 읽고 데이터 소스의 내용을 이해합니다. 그런 다음 데이터를 새 데이터 레이크로 가져와 중앙 카탈로그에 메타데이터를 기록합니다. Lake Formation을 사용하면 Amazon RDS에서 실행되거나 Amazon EC2에서 호스팅되는 MySQL, PostgreSQL, SQL Server, MariaDB 및 Oracle 데이터베이스에서 데이터를 가져올 수 있습니다. 대량 및 증분 데이터 로드가 모두 지원됩니다.
**기타 외부 소스에서 데이터 가져오기**
Lake Formation을 사용하면 JDBC(Java Database Connectivity)와 연결하여 온프레미스 데이터베이스에서 데이터를 이동할 수 있습니다. 대상 소스를 식별하고 콘솔에서 액세스 자격 증명을 제공하면 Lake Formation이 데이터를 읽고 데이터 레이크에 로드합니다. 위에 나열된 데이터베이스 이외의 데이터베이스에서 데이터를 가져오려면를 사용하여 사용자 지정 ETL 작업을 생성할 수 있습니다 AWS Glue.
**데이터 분류 및 레이블 지정**
AWS Glue 크롤러를 사용하여 Amazon S3에서 데이터를 읽고 데이터베이스 및 테이블 스키마를 추출하고 해당 데이터를 검색 가능한 데이터 카탈로그에 저장할 수 있습니다. 그런 다음 Lake Formation [Lake Formation 태그 기반 액세스 제어](tag-based-access-control.md)(TBAC)를 사용하여 데이터베이스, 테이블 및 열에 대한 권한을 관리합니다. 데이터 카탈로그에 테이블을 추가하는 방법에 대한 자세한 내용은 [에서 객체 생성 AWS Glue Data Catalog](populating-catalog.md) 섹션을 참조하세요.
### 보안 관리
**액세스 제어 정의 및 관리**
Lake Formation은 데이터 레이크의 데이터에 대한 액세스 제어를 관리할 수 있는 단일 장소를 제공합니다. 데이터베이스, 테이블, 열, 행 및 셀 수준에서 데이터에 대한 액세스를 제한하는 보안 정책을 정의할 수 있습니다. 이러한 정책은 외부 자격 증명 공급자를 통해 페더레이션할 때 IAM 사용자 및 역할, 사용자 및 그룹에 적용됩니다. 세분화된 제어를 사용하여 Amazon Redshift Spectrum, Athena, AWS Glue ETL 및 Amazon EMR for Apache Spark 내에서 Lake Formation으로 보호되는 데이터에 액세스할 수 있습니다. IAM 자격 증명을 생성할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 IAM 사용 설명서의 [보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**하이브리드 액세스 모드**
Lake Formation 하이브리드 액세스 모드는 Data Catalog의 데이터베이스 및 테이블에 대한 Lake Formation 권한을 선택적으로 활성화할 수 있는 유연성을 제공합니다. 하이브리드 액세스 모드를 사용하면 이제 다른 기존 사용자 또는 워크로드의 권한 정책을 중단하지 않고 특정 사용자 집합에 대해 Lake Formation 권한을 설정할 수 있는 증분 경로가 제공됩니다. 자세한 내용은 [하이브리드 액세스 모드](hybrid-access-mode.md) 단원을 참조하십시오.
**감사 로깅 구현**
Lake Formation은 CloudTrail을 통해 포괄적인 감사 로그를 제공하여 액세스를 모니터링하고 중앙에서 정의된 정책에 대한 준수 여부를 보여줍니다. Lake Formation을 통해 데이터 레이크의 데이터를 읽는 분석 및 기계 학습 서비스 전반에서 데이터 액세스 기록을 감사할 수 있습니다. 이를 통해 어떤 사용자 또는 역할이 언제 어떤 서비스를 통해 어떤 데이터에 액세스하려고 시도했는지 확인할 수 있습니다. CloudTrail API 및 콘솔을 사용하여 다른 CloudTrail 로그에 액세스하는 것과 동일한 방법으로 감사 로그에 액세스할 수 있습니다. CloudTrail 로그에 대한 자세한 내용은 [를 사용하여 AWS Lake Formation API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md) 섹션을 참조하세요.
**행 및 셀 수준 보안**
Lake Formation은 열과 행의 조합에 대한 액세스를 제한할 수 있는 데이터 필터를 제공합니다. 행 및 셀 수준의 보안을 사용하여 개인 식별 정보(PII)와 같은 민감한 데이터를 보호합니다. 행 수준 보안에 대한 자세한 내용은 [Lake Formation의 데이터 필터링 및 셀 수준 보안](data-filtering.md) 섹션을 참조하세요.
**태그 기반 액세스 제어**
Lake Formation [속성 기반 액세스 제어](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html)를 사용하면 LF 태그라는 사용자 지정 레이블을 생성하여 수백 또는 수천 개의 데이터 권한을 관리할 수 있습니다. 이제 LF 태그를 정의하여 데이터베이스, 테이블 또는 열에 연결할 수 있습니다. 그런 다음 분석, 기계 학습(ML), 추출, 변환, 로드(ETL) 서비스 전반에서 제어된 액세스를 공유하여 사용할 수 있습니다. LF 태그는 수천 개의 리소스에 대한 정책 정의를 몇 개의 논리적 태그로 대체하여 데이터 거버넌스를 쉽게 확장할 수 있도록 합니다. Lake Formation은 이 메타데이터에 대한 텍스트 기반 검색을 제공하므로 사용자가 분석에 필요한 데이터를 빠르게 찾을 수 있습니다.
**속성 기반 액세스 제어**
[속성 기반 액세스 제어](https://docs.aws.amazon.com/lake-formation/latest/dg/attribute-based-access-control.html)를 사용하여 Data Catalog 객체에 대한 액세스 권한을 부여합니다. 속성 기반 액세스 제어(ABAC)는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다.는 이러한 속성 태그를 AWS 호출합니다. ABAC를 사용하여 동일한 계정 내의 보안 주체 또는 Data Catalog 리소스의 다른 계정의 보안 주체에게 액세스 권한을 부여할 수 있습니다. 일치하는 IAM 태그 또는 세션 태그 키와 값이 있는 모든 IAM 보안 주체는 리소스에 액세스할 수 있습니다. 이러한 권한을 부여하려면 리소스에 대해 부여 가능한 권한이 있어야 합니다.
**교차 계정 액세스**
Lake Formation 권한 관리 기능은 중앙 집중식 접근 방식을 통해 여러 AWS 계정에 분산된 데이터 레이크의 보안 및 관리를 간소화하여 데이터 카탈로그 및 Amazon S3 위치에 대한 세분화된 액세스 제어를 제공합니다. 자세한 내용은 [Lake Formation에서의 교차 계정 데이터 공유](cross-account-permissions.md) 단원을 참조하십시오.
### 데이터를 Data Catalog로 가져오기
페더레이션 기능을 사용하면 Amazon S3 또는 AWS Glue Data Catalog로 데이터나 메타데이터를 마이그레이션하지 않고도 Amazon Redshift와 같은 다양한 데이터 소스에 저장된 데이터세트에 대한 권한을 설정하고 페더레이션 카탈로그를 생성할 수 있습니다. 다음 방법을 사용하여 Lake Formation에서 데이터를 가져오고 외부 데이터세트에 대한 권한을 관리할 수 있습니다.
자세한 내용은 [데이터를 AWS Glue Data Catalog로 가져오기](https://docs.aws.amazon.com/lake-formation/latest/dg/bring-your-data-overview.html)를 참조하세요.
+ **Amazon Redshift 데이터 웨어하우스의 데이터를 AWS Glue Data Catalog로 가져오기** - 기존 [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) 네임스페이스 또는 클러스터를 Data Catalog에 등록하고 Data Catalog에 다단계 페더레이션 카탈로그를 생성합니다.
Amazon EMR Serverless 및 Amazon Athena와 같이 Apache Iceberg REST 카탈로그 OpenAPI 사양과 호환되는 모든 쿼리 엔진을 사용하여 데이터에 액세스할 수 있습니다.
자세한 내용은 [Amazon Redshift 데이터를 로 가져오기 AWS Glue Data Catalog](managing-namespaces-datacatalog.md) 단원을 참조하십시오.
+ **외부 데이터 소스에서 데이터 카탈로그로 페더레이션 **- AWS Glue 연결을 사용하여 데이터 카탈로그를 외부 데이터 소스에 연결하고 페더레이션 카탈로그를 생성하여 Lake Formation을 사용하여 데이터 세트에 대한 액세스 권한을 중앙에서 관리합니다. Data Catalog에 메타데이터를 마이그레이션할 필요가 없습니다.
자세한 내용은 [에서 외부 데이터 소스로 페더레이션 AWS Glue Data Catalog](federated-catalog-data-connection.md) 단원을 참조하십시오.
+ **Amazon S3 테이블 버킷과 데이터 카탈로그 통합** - Amazon S3 테이블을 데이터 카탈로그 객체로 게시 및 카탈로그화하고 Lake Formation 콘솔에서 또는 AWS Glue APIs.
자세한 내용은 [AWS Glue Data Catalog 및와 Amazon S3 Tables 통합 AWS Lake Formation](create-s3-tables-catalog.md) 단원을 참조하십시오.
+ **Data Catalog에서 Amazon Redshift 테이블을 관리하기 위한 카탈로그 생성** - 현재 Amazon Redshift 생산자 클러스터 또는 Amazon Redshift 데이터 공유를 사용할 수 없지만, Data Catalog를 사용하여 Amazon Redshift 테이블을 생성하고 관리하고 싶을 수 있습니다. `glue:CreateCatalog` API 또는 AWS Lake Formation 콘솔을 AWS Glue 사용하여 카탈로그 유형을 **Redshift**로 설정하여 관리형 카탈로그를 생성하여 시작할 수 `Managed` `Catalog source` 있습니다.
자세한 내용은 [에서 Amazon Redshift 관리형 카탈로그 생성 AWS Glue Data Catalog](create-rms-catalog.md) 단원을 참조하십시오.
+ **Lake Formation을 Amazon Redshift 데이터 공유와 통합** - Lake Formation을 사용하면 [Amazon Redshift](https://docs.aws.amazon.com/redshift/index.html) 데이터 공유의 데이터베이스, 테이블, 열 및 행 수준 액세스 권한을 중앙에서 관리하고 데이터 공유 내의 객체에 대한 사용자 액세스를 제한할 수 있습니다.
+ **외부 메타스토어에 데이터 카탈로그 연결** - AWS Glue Data Catalog 외부 메타스토어에 연결하여 Lake Formation을 사용하여 Amazon S3의 데이터 세트에 대한 액세스 권한을 관리합니다. Data Catalog에 메타데이터를 마이그레이션할 필요가 없습니다.
자세한 내용은 [외부 메타스토어를 사용하는 데이터세트에 대한 권한 관리](data-sharing-hms.md) 단원을 참조하십시오.
+ **Lake Formation을 AWS Data Exchange와 통합** - Lake Formation은를 통해 데이터에 대한 라이선스 액세스를 지원합니다 AWS Data Exchange. Lake Formation 데이터 라이선싱에 관심이 있는 경우AWS Data Exchange 사용 설명서의 [AWS Data Exchange란 무엇인가요?](https://docs.aws.amazon.com/data-exchange/latest/userguide/what-is.html)를 참조하세요.**
# AWS Lake Formation: 작동 방식
AWS Lake Formation은 Amazon S3의 기본 데이터가 포함된 데이터베이스, 테이블, 열과 같은 데이터 카탈로그 리소스에 대한 액세스 권한을 부여하거나 취소할 수 있는 관계형 데이터베이스 관리 시스템(RDBMS) 권한 모델을 제공합니다. 관리하기 쉬운 Lake Formation 권한은 복잡한 Amazon S3 버킷 정책 및 해당 IAM 정책을 대체합니다.
Lake Formation에서는 다음과 같은 두 가지 수준에서 권한을 구현할 수 있습니다.
+ 데이터베이스 및 테이블과 같은 데이터 카탈로그 리소스에 메타데이터 수준 권한 적용
+ 통합 엔진을 대신하여 Amazon S3에 저장된 기본 데이터에 대한 스토리지 액세스 권한 관리
## Lake Formation 권한 관리 워크플로
Lake Formation은 Lake Formation에 등록된 Amazon S3 데이터 스토어와 메타데이터 객체를 쿼리할 수 있도록 분석 엔진과 통합됩니다. 다음 다이어그램은 Lake Formation의 권한 관리 방식을 보여 줍니다.
![\[Diagram showing Lake Formation permissions enforcement layers and data access flow.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/lf-workflow.png)
**Lake Formation 권한 관리의 주요 단계**
Lake Formation이 데이터 레이크의 데이터에 대한 액세스 제어를 제공하려면 먼저 [데이터 레이크 관리자](initial-lf-config.md#create-data-lake-admin) 또는 관리 권한이 있는 사용자가 Lake Formation 권한을 사용하여 데이터 카탈로그 테이블에 대한 액세스를 허용하거나 거부하도록 개별 데이터 카탈로그 테이블 사용자 정책을 설정합니다.**
그러면 데이터 레이크 관리자 또는 관리자가 위임한 사용자가 데이터 카탈로그 데이터베이스 및 테이블에 대한 Lake Formation 권한을 사용자에게 부여하고 테이블의 Amazon S3 위치를 Lake Formation에 등록합니다.
1. **메타데이터 가져오기** - 보안 주체(사용자)가 Amazon Athena, AWS Glue, Amazon EMR 또는 Amazon Redshift Spectrum과 같은 [통합 분석 엔진](working-with-services.md)에 쿼리 또는 ETL 스크립트를 제출합니다. 통합 분석 엔진은 요청된 테이블을 식별하고 데이터 카탈로그에 메타데이터 요청을 보냅니다.
1. **권한 확인** - 데이터 카탈로그는 Lake Formation으로 사용자의 권한을 확인하고, 사용자가 테이블에 액세스할 수 있는 경우 사용자가 볼 수 있는 메타데이터를 엔진에 반환합니다.
1. **자격 증명 가져오기** - 데이터 카탈로그를 통해 엔진은 테이블이 Lake Formation에서 관리되는지 여부를 알 수 있습니다. 기본 데이터가 Lake Formation에 등록된 경우 분석 엔진은 Lake Formation에 임시 액세스 권한을 부여하여 데이터 액세스를 제공하도록 요청합니다.
1. **데이터 가져오기** - 사용자가 테이블에 액세스할 수 있는 경우 Lake Formation이 통합 분석 엔진에 대한 임시 액세스를 제공합니다. 분석 엔진은 임시 액세스를 사용하여 Amazon S3에서 데이터를 가져오고 열, 행 또는 셀 필터링과 같은 필요한 필터링을 수행합니다. 엔진에서 작업 실행을 마치면 결과가 사용자에게 반환됩니다. 이 프로세스를 [자격 증명 벤딩](using-cred-vending.md)이라고 합니다.
Lake Formation에서 테이블을 관리하지 않는 경우 분석 엔진에서 두 번째 호출이 Amazon S3로 직접 전송됩니다. 관련 Amazon S3 버킷 정책 및 IAM 사용자 정책은 데이터 액세스에 대해 평가됩니다.
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**Topics**
+ [Lake Formation 권한 관리 워크플로](#lf-workflow)
+ [메타데이터 권한](metadata-permissions.md)
+ [스토리지 액세스 관리](storage-permissions.md)
+ [Lake Formation에서의 교차 계정 데이터 공유](cross-data-sharing-lf.md)
# 메타데이터 권한
Lake Formation은 데이터 카탈로그에 대한 권한 부여 및 액세스 제어를 제공합니다. IAM 역할이 임의의 시스템에서 데이터 카탈로그 API를 호출하면 데이터 카탈로그가 사용자의 데이터 권한을 확인하고 사용자에게 액세스 권한이 있는 메타데이터만 반환합니다. 예를 들어 IAM 역할이 데이터베이스 내의 한 테이블에만 액세스할 수 있고 해당 역할을 맡은 서비스 또는 사용자가 `GetTables` 작업을 수행하는 경우 응답에는 데이터베이스의 테이블 수에 관계없이 테이블 한 개만 포함됩니다.
**기본 설정 - `IAMAllowedPrincipal` 그룹 권한**
AWS Lake Formation은 기본적으로 모든 데이터베이스 및 테이블에 대한 권한을 `IAMAllowedPrincipal`이라는 가상 그룹에 설정합니다. 이 그룹은 고유하며 Lake Formation 내에서만 볼 수 있습니다. `IAMAllowedPrincipal` 그룹에는 IAM 보안 주체 정책 및 AWS Glue 리소스 정책을 통해 데이터 카탈로그 리소스에 액세스할 수 있는 모든 IAM 보안 주체가 포함됩니다. 데이터베이스 또는 테이블에 이 권한이 있는 경우 모든 보안 주체에 데이터베이스 또는 테이블에 대한 액세스 권한이 부여됩니다.
데이터베이스 또는 테이블에 대해 더 세분화된 권한을 제공하려는 경우 `IAMAllowedPrincipal` 권한을 제거하면 Lake Formation이 해당 데이터베이스 또는 테이블과 연결된 다른 모든 정책을 적용합니다. 예를 들어 사용자 A가 `DESCRIBE` 권한으로 데이터베이스 A에 액세스하도록 허용하는 정책이 있고 `IAMAllowedPrincipal`이 모든 권한과 함께 존재하는 경우 사용자 A는 `IAMAllowedPrincipal` 권한이 취소될 때까지 다른 모든 작업을 계속 수행합니다.
또한 기본적으로 `IAMAllowedPrincipal` 그룹은 생성된 모든 새 데이터베이스 및 테이블에 대한 권한을 갖습니다. 이 동작을 제어하는 두 가지 구성이 있습니다. 첫 번째는 새로 생성된 데이터베이스에 대해 이를 활성화하는 계정 및 리전 수준이고, 두 번째는 데이터베이스 수준입니다. 기본 설정을 수정하려면 [기본 권한 모델 변경 또는 하이브리드 액세스 모드 사용](initial-lf-config.md#setup-change-cat-settings) 섹션을 참조하세요.
## 권한 부여
데이터 레이크 관리자는 보안 주체에 데이터 카탈로그 권한을 부여하여 보안 주체가 데이터베이스와 테이블을 생성 및 관리하고 기본 데이터에 액세스할 수 있도록 할 수 있습니다.
**데이터베이스 및 테이블 수준 권한**
Lake Formation 내에서 권한을 부여할 때 부여자는 권한을 부여할 보안 주체, 권한을 부여할 리소스, 피부여자가 수행하기 위해 액세스해야 하는 작업을 지정해야 합니다. Lake Formation 내의 대부분의 리소스의 경우 권한을 부여할 보안 주체 목록과 리소스는 유사하지만 피부여자가 수행할 수 있는 작업은 리소스 유형에 따라 다릅니다. 예를 들어 테이블에 대해 `SELECT` 권한을 사용하면 테이블을 읽을 수 있지만 데이터베이스에 대해서는 `SELECT` 권한이 허용되지 않습니다. 반면 `CREATE_TABLE` 권한은 데이터베이스에 대해서는 허용되지만 테이블에 대해서는 허용되지 않습니다.
다음 두 가지 방법을 사용하여 AWS Lake Formation 권한을 부여할 수 있습니다.
+ [명명된 리소스 방법](granting-cat-perms-named-resource.md) - 사용자에게 권한을 부여하는 동안 데이터베이스 및 테이블 이름을 선택할 수 있습니다.
+ [LF 태그 기반 액세스 제어(LF-TBAC)](granting-catalog-perms-TBAC.md) - 사용자는 LF 태그를 생성하고, 이를 데이터 카탈로그 리소스와 연결하고, LF 태그에 대한 `Describe` 권한을 부여하고, 개별 사용자에게 권한을 연결하고, LF 태그를 사용하여 다른 사용자에 대한 LF 권한 정책을 작성합니다. 이러한 LF 태그 기반 정책은 해당 LF 태그 값과 연결된 모든 데이터 카탈로그 리소스에 적용됩니다.
**참고**
LF 태그는 Lake Formation에서만 사용할 수 있습니다. 이 태그는 Lake Formation에서만 볼 수 있으며 AWS 리소스 태그와 혼동해서는 안 됩니다.
LF-TBAC는 사용자가 리소스를 사용자 정의 범주의 LF 태그로 그룹화하고 해당 리소스 그룹에 권한을 적용할 수 있는 기능입니다. 따라서 이것은 수많은 데이터 카탈로그 리소스에 걸쳐 권한을 확장할 수 있는 가장 좋은 방법입니다.
자세한 내용은 [Lake Formation 태그 기반 액세스 제어](tag-based-access-control.md) 섹션을 참조하세요.
보안 주체에게 권한을 부여하면 Lake Formation은 해당 사용자에 대한 모든 정책의 통합으로 권한을 평가합니다. 예를 들어, 보안 주체의 테이블에 대한 두 개의 정책이 있을 때 한 정책은 명명된 리소스 방법을 통해 col1, col2, col3 열에 권한을 부여하고 다른 정책은 LF 태그를 통해 동일한 테이블과 보안 주체에 대해 col5, col6 열에 권한을 부여한다면 유효 권한은 col1, col2, col3, col5 및 col6에 대한 통합 권한이 됩니다. 여기에는 데이터 필터 및 행도 포함됩니다.
**데이터 위치 권한**
데이터 위치 권한은 관리자가 아닌 사용자에게 특정 Amazon S3 위치에 데이터베이스와 테이블을 생성할 수 있는 권한을 제공합니다. 사용자가 생성 권한이 없는 위치에 데이터베이스 또는 테이블을 생성하려고 하면 생성 작업이 실패합니다. 이는 사용자가 데이터 레이크 내의 임의 위치에 테이블을 생성하는 것을 방지하고 해당 사용자가 데이터를 읽고 쓸 수 있는 위치를 제어할 수 있도록 하기 위한 것입니다. 테이블이 생성되는 데이터베이스 내의 Amazon S3 위치에 테이블을 생성할 때는 암시적 권한이 있습니다. 자세한 내용은 [데이터 위치 권한 부여](granting-location-permissions.md) 섹션을 참조하세요.
**테이블 및 데이터베이스 권한 생성**
관리자가 아닌 사용자는 기본적으로 데이터베이스 또는 데이터베이스 내 테이블을 생성할 수 있는 권한이 없습니다. 인증된 보안 주체만 데이터베이스를 생성할 수 있도록 Lake Formation 설정을 사용하여 계정 수준에서 데이터베이스 생성을 제어합니다. 자세한 내용은 [데이터베이스 생성](creating-database.md) 섹션을 참조하세요. 테이블을 생성하려면 보안 주체에게 테이블을 생성할 데이터베이스에 대한 `CREATE_TABLE` 권한이 있어야 합니다. 자세한 내용은 [테이블 생성AWS Glue Data Catalog 뷰 빌드](creating-tables.md) 섹션을 참조하세요.
**암시적 및 명시적 권한**
Lake Formation은 페르소나와 페르소나가 수행하는 작업에 따라 암시적 권한을 제공합니다. 예를 들어 데이터 레이크 관리자는 데이터 카탈로그 내의 모든 리소스에 대한 `DESCRIBE` 권한, 모든 위치에 대한 데이터 위치 권한, 모든 위치에 데이터베이스 및 테이블을 생성할 수 있는 권한, 모든 리소스에 대한 `Grant` 및 `Revoke` 권한을 자동으로 얻습니다. 데이터베이스 생성자는 자신이 생성한 데이터베이스에 대한 모든 데이터베이스 권한을 자동으로 얻게 되며, 테이블 생성자는 자신이 생성한 테이블에 대한 모든 권한을 갖게 됩니다. 자세한 내용은 [암시적 Lake Formation 권한](implicit-permissions.md) 섹션을 참조하세요.
**부여 가능한 권한**
데이터 레이크 관리자는 부여 가능한 권한을 제공하여 관리자가 아닌 사용자에게 권한 관리를 위임할 수 있습니다. 보안 주체에게 리소스에 대한 부여 가능한 권한과 권한 집합이 제공되면 해당 보안 주체는 해당 리소스에 대해 다른 보안 주체에 권한을 부여할 수 있습니다.
# 스토리지 액세스 관리
Lake Formation은 [자격 증명 벤딩](using-cred-vending.md) 기능을 사용하여 Amazon S3 데이터에 대한 임시 액세스를 제공합니다. 자격 증명 벤딩 또는 토큰 벤딩은 리소스에 대한 단기 액세스 권한을 부여할 목적으로 사용자, 서비스 또는 기타 엔터티에 임시 자격 증명을 제공하는 일반적인 패턴입니다.
Lake Formation은 이 패턴을 활용하여 Athena와 같은 AWS 분석 서비스에 단기적으로 액세스 권한을 제공하여 호출 보안 주체를 대신하여 데이터에 액세스할 수 있도록 합니다. 권한을 부여할 때 사용자는 Amazon S3 버킷 정책 또는 IAM 정책을 업데이트할 필요가 없으며 Amazon S3에 직접 액세스할 필요도 없습니다.
다음 다이어그램은 Lake Formation이 등록된 위치에 대한 임시 액세스를 제공하는 방법을 보여줍니다.
![\[Diagram showing Lake Formation's process for providing temporary access to registered locations.\]](http://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/images/storage-permissions-workflow.png)
1. 보안 주체(사용자)는 Athena, Amazon EMR, Redshift Spectrum 또는 AWS Glue와 같은 신뢰할 수 있는 통합 서비스를 통해 테이블에 대한 쿼리 또는 데이터 요청을 입력합니다.
1. 통합 서비스는 테이블 및 요청된 열에 대한 Lake Formation의 승인을 확인하고 권한 결정을 내립니다. 사용자에게 권한이 없는 경우 Lake Formation은 데이터 액세스를 거부하고 쿼리는 실패합니다.
1. 권한 부여에 성공하고 테이블과 사용자에 대한 스토리지 권한 부여가 설정되면 통합 서비스는 Lake Formation에서 임시 자격 증명을 검색하여 데이터에 액세스합니다.
1. 통합 서비스는 Lake Formation의 임시 자격 증명을 사용하여 Amazon S3에 객체를 요청합니다.
1. Amazon S3은 통합 서비스에 Amazon S3 객체를 제공합니다. Amazon S3 객체에는 테이블의 모든 데이터가 들어 있습니다.
1. 통합 서비스는 열 수준, 행 수준 및/또는 셀 수준 필터링과 같은 Lake Formation 정책의 필수 적용을 수행합니다. 통합 서비스는 쿼리를 처리하고 결과를 사용자에게 다시 반환합니다.
**데이터 카탈로그 테이블에 대한 스토리지 수준 권한 적용 활성화**
기본적으로 데이터 카탈로그의 테이블에는 스토리지 수준 적용이 활성화되어 있지 않습니다. 스토리지 수준 적용을 활성화하려면 소스 데이터의 Amazon S3 위치를 Lake Formation에 등록하고 IAM 역할을 제공해야 합니다. Amazon S3 위치의 테이블 위치 경로 또는 접두사가 동일한 모든 테이블에 대해 스토리지 수준 권한이 활성화됩니다.
통합 서비스가 사용자를 대신하여 데이터 위치에 대한 액세스를 요청하면 Lake Formation 서비스가 이 역할을 수행하고 데이터에 액세스할 수 있도록 리소스에 대해 범위가 축소된 권한을 사용하여 자격 증명을 요청된 서비스에 반환합니다. 등록된 IAM 역할에는 AWS KMS 키를 포함하여 Amazon S3 위치에 대한 모든 필수 액세스 권한이 있어야 합니다.
자세한 내용은 [Amazon S3 위치 등록](register-location.md) 섹션을 참조하세요.
**지원되는 AWS 서비스**
Athena, Redshift Spectrum, Amazon EMR, AWS Glue, Amazon Quick 및 Amazon SageMaker AI와 같은 AWS 분석 서비스는 Lake Formation 자격 증명 벤딩 API 작업을 사용하여 AWS Lake Formation과 통합됩니다. Lake Formation과 통합되는 전체 AWS 서비스 목록과 해당 서비스가 지원하는 세분화 수준 및 테이블 형식을 보려면 [다른 AWS 서비스 작업](working-with-services.md) 섹션을 참조하세요.
# Lake Formation에서의 교차 계정 데이터 공유
Lake Formation을 사용하면 명명된 리소스 방법 또는 LF 태그를 사용하여 간단한 설정으로 AWS 계정 내 및 계정 간에 데이터 카탈로그 리소스(데이터베이스 및 테이블)를 공유할 수 있습니다. 전체 데이터베이스 또는 데이터베이스의 특정 테이블을 계정의 모든 IAM 보안 주체(IAM 역할 및 사용자), 계정 수준의 다른 AWS 계정과 공유하거나 다른 계정의 IAM 보안 주체와 직접 공유할 수 있습니다.
또한 데이터 카탈로그 테이블을 데이터 필터와 공유하여 행 수준 및 셀 수준 세부 정보에서 세부 정보에 대한 액세스를 제한할 수 있습니다. Lake Formation은 AWS Resource Access Manager(AWS RAM)를 사용하여 계정 간 권한 부여를 용이하게 합니다. 두 계정 간에 리소스가 공유되면 AWS RAM은 수신자 계정으로 초대를 보냅니다. 사용자가 AWS RAM 공유 초대를 수락하면 AWS RAM은 Lake Formation에 필요한 권한을 제공하여 데이터 카탈로그 리소스를 사용할 수 있도록 하고 스토리지 수준 적용을 활성화합니다. 자세한 내용은 [Lake Formation에서의 교차 계정 데이터 공유](cross-account-permissions.md) 섹션을 참조하세요.
수신자 계정의 데이터 레이크 관리자가 AWS RAM 공유를 수락하면 수신자 계정에서 공유 리소스를 사용할 수 있습니다. 데이터 레이크 관리자에게 공유 리소스에 대한 `GRANTABLE` 권한이 있는 경우 데이터 레이크 관리자는 수신자 계정의 추가 IAM 보안 주체에게 공유 리소스에 대한 추가적인 Lake Formation 권한을 부여합니다.
하지만 보안 주체는 리소스 링크 없이 Athena 또는 Redshift Spectrum을 사용하여 공유 리소스를 쿼리할 수 없습니다. 리소스 링크는 데이터 카탈로그의 엔터티이며 Linux-Symlink 개념과 유사합니다.
수신자 계정의 데이터 레이크 관리자가 공유 리소스에 리소스 링크를 생성합니다. 관리자는 원본 공유 리소스에 대한 필수 권한과 함께 리소스 링크에 대한 `Describe` 권한을 추가 사용자에게 부여합니다. 그러면 수신자 계정의 사용자는 리소스 링크를 통해 Athena 및 Redshift Spectrum을 사용하여 공유 리소스를 쿼리할 수 있습니다. 리소스 링크에 대한 자세한 내용은 [리소스 링크 생성](creating-resource-links.md) 섹션을 참조하세요.
# Lake Formation 구성 요소
AWS Lake Formation는 몇 가지 구성 요소의 상호 작용을 통해 데이터 레이크를 생성하고 관리합니다.
## Lake Formation 콘솔
Lake Formation 콘솔을 사용하여 데이터 레이크를 정의 및 관리하고 Lake Formation 권한을 부여 및 취소합니다. 콘솔에서 청사진을 사용하여 데이터를 검색, 정리, 변환 및 수집할 수 있습니다. Lake Formation 사용자 콘솔에 대한 액세스를 활성화하거나 비활성화할 수도 있습니다.
## Lake Formation API 및 명령줄 인터페이스
Lake Formation은 여러 언어별 SDK와 AWS Command Line Interface(AWS CLI)를 통해 API 작업을 제공합니다. Lake Formation API는 AWS Glue API와 함께 작동합니다. Lake Formation API는 주로 Lake Formation 권한 관리에 중점을 두는 반면, AWS Glue API는 데이터에 대한 ETL 작업을 정의, 예약 및 실행하기 위한 관리형 인프라와 데이터 카탈로그 API를 제공합니다.
AWS Glue API에 대한 자세한 내용은 [AWS Glue 개발자 안내서](https://docs.aws.amazon.com/glue/latest/dg/)를 참조하세요. AWS CLI 사용에 대한 자세한 내용은 [AWS CLI 명령 참조](https://docs.aws.amazon.com/cli/latest/reference/)를 참조하세요.
## 기타 AWS 서비스
Lake Formation은 다음과 같은 서비스를 사용합니다.
+ [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/) - AWS Glue 변환을 사용하여 데이터를 변환하기 위해 작업과 크롤러를 오케스트레이션합니다.
+ [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/) - Lake Formation 보안 주체에게 권한 정책을 부여합니다. Lake Formation 권한 모델은 IAM 권한 모델을 강화하여 데이터 레이크를 보호합니다.
# Lake Formation 용어
다음은 이 안내서에서 다루게 될 몇 가지 중요한 용어입니다.
## 데이터 레이크
**데이터 레이크는 Amazon S3에 저장되고 Lake Formation에서 데이터 카탈로그를 사용하여 관리하는 영구 데이터입니다. 데이터 레이크는 일반적으로 다음을 저장합니다.
+ 정형 및 비정형 데이터
+ 원시 데이터 및 변환된 데이터
Amazon S3 경로가 데이터 레이크 내에 포함되려면 해당 경로를 Lake Formation에 등록해야 합니다.**
## 데이터 액세스
Lake Formation은 AWS Identity and Access Management(IAM) 정책을 강화하는 새로운 권한 부여/취소 모델을 통해 데이터에 대한 안전하고 세분화된 액세스를 제공합니다.
분석가와 데이터 과학자는 Amazon Athena와 같은 AWS 분석 및 기계 학습 서비스의 전체 포트폴리오를 사용하여 데이터에 액세스할 수 있습니다. 구성된 Lake Formation 보안 정책은 사용자가 액세스 권한이 있는 데이터에만 액세스할 수 있도록 하는 데 도움이 됩니다.
## 하이브리드 액세스 모드
하이브리드 액세스 모드를 사용하면 Lake Formation 권한과 IAM 및 Amazon S3 권한을 모두 사용하여 카탈로그 데이터를 보호하고 액세스할 수 있습니다. 하이브리드 액세스 모드는 데이터 관리자가 한 번에 하나의 데이터 레이크 사용 사례에 집중하여 Lake Formation 권한을 선택적, 점진적으로 온보딩할 수 있도록 합니다.
## 청사진
**청사진은 데이터를 데이터 레이크에 쉽게 수집할 수 있는 데이터 관리 템플릿입니다. Lake Formation은 관계형 데이터베이스 또는 AWS CloudTrail 로그와 같은 사전 정의된 소스 유형에 대해 각각 다양한 청사진을 제공합니다. 청사진에서 워크플로를 생성할 수 있습니다. 워크플로는 데이터 로드 및 업데이트를 조정하기 위해 생성되는 AWS Glue 크롤러, 작업 및 트리거로 구성됩니다. 청사진은 데이터 소스, 데이터 대상, 일정을 입력으로 받아 워크플로를 구성합니다.
## 워크플로
**워크플로는 관련된 AWS Glue 작업, 크롤러 및 트리거 집합의 컨테이너입니다. Lake Formation에서 워크플로를 생성하면 AWS Glue 서비스에서 실행됩니다. Lake Formation은 워크플로의 상태를 단일 엔터티로 추적할 수 있습니다.
워크플로를 정의할 때는 워크플로의 기반이 되는 청사진을 선택합니다. 그런 다음 필요에 따라 또는 일정에 따라 워크플로를 실행할 수 있습니다.
Lake Formation에서 생성한 워크플로는 AWS Glue 콘솔에서 DAG(방향성 비순환 그래프)로 표시됩니다. DAG를 사용하여 워크플로의 진행을 추적하고 문제 해결을 수행할 수 있습니다.
## 데이터 카탈로그
**데이터 카탈로그는 영구적 메타데이터 스토어입니다. 이것은 관리된 서비스로써 Apache Hive 메타스토어와 같이 동일한 방법으로 AWS Cloud에서 메타데이터를 저장, 참조 및 공유할 수 있습니다. 이는 서로 다른 시스템에서 메타데이터를 저장하고 탐색하여 데이터 사일로에서 데이터를 추적할 수 있고 해당 메타데이터를 사용하여 데이터를 쿼리하고 변환할 수 있는 일정한 리포지토리를 제공합니다. Lake Formation은 AWS Glue 데이터 카탈로그를 사용하여 데이터 레이크, 데이터 소스, 변환 및 대상에 대한 메타데이터를 저장합니다.
데이터 소스 및 대상에 대한 메타데이터는 데이터베이스 및 테이블 형태입니다. 테이블에는 스키마 정보, 위치 정보 등이 저장됩니다. 데이터베이스는 테이블의 컬렉션입니다. Lake Formation은 데이터 카탈로그의 데이터베이스 및 테이블에 대한 액세스를 제어하기 위한 권한 계층을 제공합니다.
각 AWS 계정에는 AWS 리전당 하나의 데이터 카탈로그가 있습니다.
## 기본 데이터
**기본 데이터는 데이터 카탈로그 테이블이 가리키는 데이터 레이크 내의 소스 데이터 또는 데이터를 말합니다.
## 보안 주체
**보안 주체는 AWS Identity and Access Management(IAM) 사용자/역할 또는 Active Directory 사용자입니다.
## 데이터 레이크 관리자
**데이터 레이크 관리자는 보안 주체(자신 포함)에게 데이터 카탈로그 리소스 또는 데이터 위치에 대한 권한을 부여할 수 있는 보안 주체입니다. 데이터 레이크 관리자를 데이터 카탈로그의 첫 번째 사용자로 지정합니다. 그러면 이 사용자는 다른 보안 주체에게 더 세분화된 리소스 권한을 부여할 수 있습니다.
**참고**
IAM 관리 사용자(`AdministratorAccess` AWS관리형 정책을 사용하는 사용자)가 자동적으로 데이터 레이크 관리자가 되는 것은 아닙니다. 예를 들어, 카탈로그 객체에 대해 Lake Formation 권한을 부여할 수 있는 권한을 부여받지 않은 경우 해당 권한을 부여할 수 없습니다. 하지만 Lake Formation 콘솔 또는 API를 사용하여 자신을 데이터 레이크 관리자로 지정할 수 있습니다.
데이터 레이크 관리자의 기능에 대한 자세한 내용은 [암시적 Lake Formation 권한](implicit-permissions.md) 섹션을 참조하세요. 사용자를 데이터 레이크 관리자로 지정하는 방법에 대한 자세한 내용은 [데이터 레이크 관리자 생성](initial-lf-config.md#create-data-lake-admin) 섹션을 참조하세요.
# AWS Lake Formation과의 서비스 통합
Lake Formation을 사용하여 Amazon S3에 저장된 데이터에 대한 데이터베이스, 테이블 및 열 수준 액세스 권한을 관리할 수 있습니다. Lake Formation에 데이터를 등록한 후 Amazon Athena AWS Glue, Amazon Redshift Spectrum, Amazon EMR과 같은 AWS 분석 서비스를 사용하여 데이터를 쿼리할 수 있습니다. Amazon Athena 다음 AWS 서비스는 Lake Formation 권한과 통합 AWS Lake Formation 되고 이를 준수합니다.
| AWS 서비스 | 통합 세부 정보 |
| --- | --- |
| [https://docs.aws.amazon.com/glue/latest/dg/](https://docs.aws.amazon.com/glue/latest/dg/) | 참조 항목: [AWS Lake Formation 와 함께 사용 AWS Glue](glue-features-lf.md) AWS Glue 및 Lake Formation은 동일한 데이터 카탈로그를 공유합니다. 콘솔 작업(예: 테이블 목록 보기) 및 모든 API 작업의 경우 AWS Glue 사용자는 Lake Formation 권한이 있는 데이터베이스와 테이블에만 액세스할 수 있습니다. |
| [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/) | 참조 항목: [Amazon Athena AWS Lake Formation 에서 사용](athena-lf.md) Lake Formation을 사용하여 Amazon S3에서 데이터를 읽을 수 있는 권한을 허용하거나 거부할 수 있습니다. Amazon Athena 사용자가 쿼리 편집기에서 AWS Glue 카탈로그를 선택하면 Lake Formation 권한이 있는 데이터베이스, 테이블 및 열만 쿼리할 수 있습니다. 매니페스트를 사용하는 쿼리는 지원되지 않습니다. 현재 Lake Formation은 오픈 테이블 형식의 테이블에 대한 `VACUUM`, `MERGE`, `UPDATE` 및 `OPTIMIZE`와 같은 쓰기 작업에 대한 권한 관리를 지원하지 않습니다. Lake Formation은 AWS Identity and Access Management (IAM)을 통해 Athena로 인증하는 보안 주체 외에도 JDBC 또는 ODBC 드라이버를 통해 연결하고 SAML을 통해 인증하는 Athena 사용자를 지원합니다. 지원되는 SAML 공급자에는 Okta 및 Microsoft Active Directory Federation Service(AD FS)가 포함됩니다. |
| [Amazon Redshift Spectrum](https://docs.aws.amazon.com/redshift/latest/dg/c-using-spectrum.html) | 참조 항목: [Amazon Redshift Spectrum AWS Lake Formation 에서 사용](RSPC-lf.md) Amazon Redshift 사용자는의 데이터베이스에 외부 스키마를 생성할 때 Lake Formation 권한이 있는 해당 스키마의 테이블과 열만 쿼리할 AWS Glue Data Catalog수 있습니다. |
| [Amazon Quick Enterprise Edition](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html) | 참조: [빠른 AWS Lake Formation 와 함께 사용](qs-integ-lf.md) Amazon Quick Enterprise Edition 사용자가 Amazon S3 위치의 데이터 세트를 쿼리할 때 사용자는 데이터에 대한 Lake Formation `SELECT` 권한이 있어야 합니다. |
| [Amazon EMR](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/) | 참조: [Amazon EMR AWS Lake Formation 에서 사용](emr-integ-lf.md) 런타임 역할을 사용하여 Amazon EMR 클러스터를 생성할 때 Lake Formation 권한을 통합할 수 있습니다. 런타임 역할은 Amazon EMR 작업 또는 쿼리와 연결하는 IAM 역할이며, Amazon EMR은이 역할을 사용하여 AWS 리소스에 액세스합니다. |
또한 Lake Formation은 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS)와 함께 작동하여 이러한 통합 서비스를 더 쉽게 설정하고 Amazon Simple Storage Service(S3) 위치에서 데이터를 암호화하고 해독할 수 있습니다.
# Lake Formation 관련 추가 리소스
AWS Lake Formation에 대해 자세히 알아보려면 다음 리소스를 사용하여 이 안내서에 소개된 개념에 대해 계속해서 자세히 알아보는 것이 좋습니다.
**Topics**
+ [블로그](#lf-blogs)
+ [테크 토크 및 웨비나](#talks-webinars)
+ [최신 아키텍처](#modern-day-architecture)
+ [데이터 메시 리소스](#data-mesh-resources)
+ [모범 사례 안내서](#best-practice-lf)
## 블로그
+ [AWS Lake Formation 2022 year in review](https://aws.amazon.com/blogs/big-data/aws-lake-formation-2022-year-in-review/)
+ [Highly resilient multi-Region modern data architecture](https://aws.amazon.com/blogs/big-data/build-a-multi-region-and-highly-resilient-modern-data-architecture-using-aws-glue-and-aws-lake-formation/)
+ [Cross-account sharing using LF-Tags to direct IAM principals](https://aws.amazon.com/blogs/big-data/enable-cross-account-sharing-with-direct-iam-principals-using-aws-lake-formation-tags/)
+ [Lake Formation permissions inventory dashboard](https://aws.amazon.com/blogs/big-data/build-an-aws-lake-formation-permissions-inventory-dashboard-using-aws-glue-and-amazon-quicksight/)
+ [Event driven data mesh](https://aws.amazon.com/blogs/big-data/use-an-event-driven-architecture-to-build-a-data-mesh-on-aws/)
## 테크 토크 및 웨비나
+ re:Invent 2020 – [Data lakes: Easily build, secure, and share with AWS Lake Formation](https://www.youtube.com/watch?v=r5F0hvuq9kY)
+ re:Invent 2022 – [Building and operating a datalake on Amazon S3](https://www.youtube.com/watch?v=YCNVdK5kPWk)
+ AWS Summit SF 2022 – [Understanding and achieving a modern data architecture](https://www.youtube.com/watch?v=rWQQDcqgcdw)
+ AWS Summit ATL 2022 – [Modern data lakes with AWS Lake Formation, Amazon Redshift, and AWS Glue](https://www.youtube.com/watch?v=7H15CYpJRRI)
+ AWS Summit ANZ 2022 – [Data lakes, lake houses and data mesh: what, why, and how?](https://www.youtube.com/watch?v=3354wJV3X58)
+ AWS Online Tech Talks – [Simplifying permissions and governance in your data lake ](https://www.youtube.com/watch?v=OybeggHYfRI)
## 최신 아키텍처
+ [Modern day architecture patterns](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/modern-data-architecture.html)
## 데이터 메시 리소스
+ [Build a modern data architecture and data mesh pattern at scale using AWS Lake Formation tag-based access control](https://aws.amazon.com/blogs/big-data/build-a-modern-data-architecture-and-data-mesh-pattern-at-scale-using-aws-lake-formation-tag-based-access-control/)
+ [How JPMorgan Chase built a data mesh architecture to drive significant value to enhance their enterprise data platform](https://aws.amazon.com/blogs/big-data/how-jpmorgan-chase-built-a-data-mesh-architecture-to-drive-significant-value-to-enhance-their-enterprise-data-platform/)
+ [Build a data mesh on AWS](https://catalog.us-east-1.prod.workshops.aws/workshops/23e6326b-58ee-4ab0-9bc7-3c8d730eb851/en-US)
## 모범 사례 안내서
+ [AWS Lake Formation best practices guides](https://aws.github.io/aws-lakeformation-best-practices/)
## Lake Formation 시작하기
다음 단원부터 시작하는 것이 좋습니다.
+ [AWS Lake Formation: 작동 방식](how-it-works.md) - 필수 용어와 다양한 구성 요소가 상호 작용하는 방식에 대해 알아봅니다.
+ [Lake Formation 시작하기](getting-started-setup.md) - 필수 조건에 대한 정보를 얻고 중요한 설정 작업을 완료합니다.
+ [AWS Lake Formation 자습서](getting-started-tutorials.md) - 단계별 자습서를 따라 Lake Formation 사용 방법을 알아봅니다.
+ [AWS Lake Formation의 보안](security.md) - Lake Formation의 데이터에 대한 보안 액세스를 지원하는 방법을 알아봅니다.