"
]
}
]
}
```
------
# Athena용 CalledVia 컨텍스트 키 사용
[보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)가 AWS에 [요청](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-request)하면 AWS는 요청을 평가하고 권한을 부여하는 *요청 컨텍스트*로 요청 정보를 수집합니다. JSON 정책의 `Condition` 요소를 사용하여 요청 컨텍스트의 키를 정책에서 지정한 키 값과 비교할 수 있습니다. *글로벌 조건 컨텍스트 키*는 `aws:` 접두사가 있는 조건 키입니다.
## aws:CalledVia 컨텍스트 키
[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) 글로벌 컨텍스트 키를 사용하면 정책의 서비스를, IAM 보안 주체(사용자 또는 역할)를 대신하여 요청을 수행한 서비스와 비교할 수 있습니다. 보안 주체가 AWS 서비스에 요청하면 해당 서비스는 보안 주체의 자격 증명을 사용하여 다른 서비스에 대한 후속 요청을 할 수 있습니다. `aws:CalledVia` 키에는 보안 주체를 대신하여 요청을 수행한 체인의 각 서비스 목록이 정렬되어 있습니다.
`aws:CalledVia` 컨텍스트 키에 대한 서비스 주체 이름을 지정하여 컨텍스트 키를 AWS 서비스별로 지정할 수 있습니다. 예를 들어, `aws:CalledVia` 조건 키를 사용해 Athena에서 수행된 요청으로만 요청을 제한할 수 있습니다. Athena에서 어떤 정책에 `aws:CalledVia` 조건 키를 사용하려면 다음 예제처럼 Athena 서비스 보안 주체 이름 `athena.amazonaws.com`을 지정합니다.
```
...
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
...
```
`aws:CalledVia` 컨텍스트 키는 발신자가 Athena로부터 리소스를 호출할 때 발신자만 리소스(예: Lambda 함수)에 대한 액세스 권한을 갖도록 하는 데 사용할 수 있습니다.
**참고**
`aws:CalledVia` 컨텍스트 키는 신뢰할 수 있는 ID 전파 기능과 호환되지 않습니다.
## Lambda 함수에 대한 액세스를 위해 CalledVia 컨텍스트 키 추가
Athena에서는 쿼리와 연결된 Lambda 함수를 호출하려면 발신자에게 `lambda:InvokeFunction` 권한이 있어야 합니다. 다음 문은 사용자가 Athena에서만 Lambda 함수를 간접적으로 호출할 수 있도록 지정합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:111122223333:function:OneAthenaLambdaFunction",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
다음 예제에서는 사용자가 연합 쿼리를 실행하고 읽도록 허용하는 정책에 앞의 문을 추가하는 방법을 보여줍니다. 이러한 작업을 수행할 수 있는 보안 주체는 연합 데이터 원본과 연결된 Athena 카탈로그를 지정하는 쿼리를 실행할 수 있습니다. 그러나 보안 주체는 Athena를 통해 함수가 호출되지 않는 한 연결된 Lambda 함수에 액세스할 수 없습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"athena:StartQueryExecution",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkGroupName",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action":
[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket"
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
}
}
}
]
}
```
------
`CalledVia` 글로벌 조건 키에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 글로벌 조건 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)를 참조하세요.
# 외부 Hive 메타스토어용 Athena 데이터 커넥터에 대한 액세스 허용
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 유사한 권한 정책을 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
+ [Example Policy to Allow an IAM Principal to Query Data Using Athena Data Connector for External Hive Metastore](#hive-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena Data Connector for External Hive Metastore](#hive-creating-iam)
**Example – IAM 보안 주체가 외부 Hive 메타스토어용 Athena 데이터 커넥터를 사용하여 데이터를 쿼리할 수 있도록 허용합니다.**
다음 정책은 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 외에 Athena 작업에 대한 전체 액세스 권한을 부여하는 IAM 보안 주체에도 연결됩니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:layer:MyAthenaLambdaLayer:*"
]
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
| `s3` 작업을 사용하면 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillLocation"`으로 지정된 리소스를 읽고 쓸 수 있습니다. 여기서 *MyLambdaSpillLocation*은 호출되는 Lambda 함수의 구성에 지정된 유출 버킷(spill bucket)을 식별합니다. *arn:aws:lambda:\$1:*MyAWSAcctId*:layer:*MyAthenaLambdaLayer*:\$1* 리소스 식별자는 배포 시 함수 아티팩트 크기를 줄이기 위해 Athena 계층을 사용하여 사용자 지정 런타임 종속성을 만드는 경우에만 필요합니다. 마지막 위치에 있는 `*`은 계층 버전의 와일드카드입니다. |
| "lambda:GetFunction",
"lambda:GetLayerVersion",
"lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출할 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
**Example – IAM 보안 주체가 외부 Hive 메타스토어용 Athena 데이터 커넥터를 생성할 수 있도록 허용합니다.**
다음 정책은 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 외에 Athena 작업에 대한 전체 액세스 권한을 부여하는 IAM 보안 주체에도 연결됩니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:ListFunctions",
"lambda:GetLayerVersion",
"lambda:InvokeFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:PublishLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency"
],
"Resource": "arn:aws:lambda:*:111122223333: function: MyAthenaLambdaFunctionsPrefix*"
}
]
}
```
**권한에 대한 설명**
쿼리가 `Resource` 블록에 지정된 AWS Lambda 함수에 대한 AWS Lambda 함수를 호출할 수 있습니다. `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunction`을 예로 들 수 있습니다. 여기서 *MyAthenaLambdaFunction*은 호출되는 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다.
# 외부 Hive 메타스토어에 대한 Lambda 함수 액세스 허용
사용자 계정에서 Lambda 함수를 호출하려면 다음 권한을 가진 역할을 만들어야 합니다.
+ `AWSLambdaVPCAccessExecutionRole` – 함수를 VPC에 연결하는 탄력적 네트워크 인터페이스를 관리하기 위한 [AWS Lambda 실행 역할](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) 권한입니다. 충분한 수의 네트워크 인터페이스 및 IP 주소를 사용할 수 있는지 확인합니다.
+ `AmazonAthenaFullAccess` – [AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy) 관리형 정책은 Athena에 대한 모든 액세스 권한을 부여합니다.
+ Lambda 함수가 S3에 쓸 수 있도록 허용하고 Athena가 S3에서 읽을 수 있도록 허용하는 Amazon S3 정책입니다.
예를 들어 다음 정책은 유출 위치 `s3:\\mybucket\spill`에 대한 권한을 정의합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [
"s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:PutObject" ], "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/spill" ] } ] }
```
------
IAM 정책을 사용할 때는 항상 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## Lambda 함수 생성
사용자 계정에서 Lambda 함수를 만들려면 함수 개발 권한 또는 `AWSLambdaFullAccess` 역할이 필요합니다. 자세한 내용은 [AWS Lambda에 대한 자격 증명 기반 IAM 정책](https://docs.aws.amazon.com/lambda/latest/dg/access-control-identity-based.html)을 참조하세요.
Athena는 AWS Serverless Application Repository를 사용해 Lambda 함수를 생성하기 때문에 Lambda 함수를 생성하는 슈퍼 사용자 또는 관리자는 [Athena 연합 쿼리를 허용할](federated-query-iam-access.md) IAM 정책도 보유해야 합니다.
## 카탈로그 등록 및 메타데이터 API 작업을 위한 권한 구성
카탈로그 등록 및 메타데이터 작업에 대한 API 액세스에는 [AmazonAthenaFullAccess 관리형 정책](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)을 사용할 수 있습니다. `AmazonAthenaFullAccess` 정책을 사용하지 않는 경우에는 다음 API 작업을 Athena 정책에 추가하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"athena:CreateDataCatalog",
"athena:UpdateDataCatalog",
"athena:DeleteDataCatalog",
"athena:GetDatabase",
"athena:ListDatabases",
"athena:GetTableMetadata",
"athena:ListTableMetadata"
],
"Resource": [
"*"
]
}
]
}
```
------
## 여러 리전에서 Lambda 함수를 직접적으로 호출
기본적으로 Athena는 동일한 리전에 정의된 Lambda 함수를 호출합니다. Athena 쿼리를 실행 중인 리전 이외의 AWS 리전에서 Lambda 함수를 간접적으로 호출하려면 Lambda 함수의 전체 ARN을 사용합니다.
다음 예제에서는 유럽(프랑크푸르트) 리전의 카탈로그가 미국 동부(버지니아 북부) 리전에서 Lambda 함수를 지정하여 유럽(프랑크푸르트) 리전의 Hive 메타스토어에서 데이터를 가져오는 방법을 보여줍니다.
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
이러한 방식으로 전체 ARN을 지정하면 Athena는 `us-east-1`의 `external-hms-service-new` Lambda 함수를 호출하여 `eu-central-1`에서 Hive 메타스토어 데이터를 가져올 수 있습니다.
**참고**
카탈로그는 Athena 쿼리를 실행하는 데 사용하는 동일한 AWS 리전에 등록되어야 합니다.
## 여러 계정에서 Lambda 함수 호출
경우에 따라 다른 계정에서 Hive 메타스토어에 액세스해야 할 수도 있습니다. 예를 들어 Hive 메타스토어를 실행하기 위해 Athena 쿼리에 사용하는 계정과 다른 계정을 사용할 수도 있습니다. 여러 그룹 또는 팀이 VPC 내에서 여러 계정으로 Hive 메타스토어를 실행할 수도 있습니다. 또는 여러 그룹 또는 팀에서 여러 Hive 메타스토어의 메타데이터에 액세스해야 할 수도 있습니다.
Athena는 [계정 간 액세스에 대한 AWS Lambda 지원](https://aws.amazon.com/blogs/compute/easy-authorization-of-aws-lambda-functions/)을 사용하여 Hive 메타스토어에 대한 계정 간 액세스를 활성화합니다.
**참고**
Athena에 대한 계정 간 액세스는 일반적으로 Amazon S3의 메타데이터 및 데이터 모두에 대한 계정 간 액세스를 의미합니다.
다음 시나리오를 예로 들겠습니다.
+ 계정 `111122223333`은 EMR 클러스터에서 실행 중인 Hive 메타스토어에 액세스하기 위해 Athena의 us-east-1에 Lambda 함수 `external-hms-service-new`를 설정합니다.
+ 계정 `111122223333`에서 계정 444455556666이 Hive 메타스토어 데이터에 액세스하도록 허용할 수 있습니다.
Lambda 함수 `external-hms-service-new`에 대한 액세스 권한을 계정 `444455556666`에 부여하기 위해 계정 `111122223333`은 다음 AWS CLI `add-permission` 명령을 사용합니다. 명령은 가독성을 위해 형식이 지정되었습니다.
```
$ aws --profile perf-test lambda add-permission
--function-name external-hms-service-new
--region us-east-1
--statement-id Id-ehms-invocation2
--action "lambda:InvokeFunction"
--principal arn:aws:iam::444455556666:user/perf1-test
{
"Statement": "{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}"
}
```
Lambda 권한을 확인하려면 다음 예제와 같이 `get-policy` 명령을 사용합니다. 명령은 가독성을 위해 형식이 지정되었습니다.
```
$ aws --profile perf-test lambda get-policy
--function-name arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
--region us-east-1
{
"RevisionId": "711e93ea-9851-44c8-a09f-5f2a2829d40f",
"Policy": "{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[{\"Sid\":\"Id-ehms-invocation2\",
\"Effect\":\"Allow\",
\"Principal\":{\"AWS\":\"arn:aws:iam::444455556666:user/perf1-test\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new\"}]}"
}
```
권한을 추가한 후, 카탈로그 `ehms`를 정의할 때 다음과 같이 `us-east-1`에서 Lambda 함수의 전체 ARN을 사용할 수 있습니다.
```
arn:aws:lambda:us-east-1:111122223333:function:external-hms-service-new
```
교차 리전 호출에 대한 자세한 내용은 이 주제의 앞부분에 있는 [여러 리전에서 Lambda 함수를 직접적으로 호출](#hive-metastore-iam-access-lambda-cross-region-invocation)을 참조하세요.
### 데이터에 대한 크로스 계정 액세스 권한 부여
Athena 쿼리를 실행하려면 먼저 Amazon S3의 데이터에 대한 계정 간 액세스 권한을 부여해야 합니다. 이 작업을 다음 중 한 가지 방법으로 수행할 수 있습니다.
+ Amazon S3 버킷의 액세스 제어 목록 정책을 [정식 사용자 ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)로 업데이트합니다.
+ 계정 간 액세스를 Amazon S3 버킷 정책에 추가합니다.
예를 들어 다음 정책을 계정 `111122223333`의 Amazon S3 버킷 정책에 추가하여 계정 `444455556666`이 지정된 Amazon S3 위치에서 데이터를 읽을 수 있도록 합니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Stmt1234567890123", "Effect":
"Allow", "Principal": { "AWS":
"arn:aws:iam::444455556666:user/perf1-test"
}, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::athena-test/lambda/dataset/*" } ]
}
```
------
**참고**
데이터뿐만 아니라 Amazon S3 유출 위치에도 Amazon S3에 대한 계정 간 액세스 권한을 부여해야 할 수도 있습니다. 응답 객체의 크기가 지정된 임계값을 초과하면 Lambda 함수는 여분의 데이터를 유출 위치로 분산합니다. 샘플 정책에 대한 이 주제의 시작 부분을 참조하세요.
현재 예제에서, 교차 계정 액세스가 `444455556666,`에 부여된 후 `444455556666`은 자체 `account`의 카탈로그 `ehms`를 사용하여 계정 `111122223333`에 정의된 테이블을 쿼리할 수 있습니다.
다음 예제에서 SQL Workbench 프로필 `perf-test-1`은 계정 `444455556666`에 대한 것입니다. 쿼리는 카탈로그 `ehms`를 사용하여 계정 `111122223333`의 Amazon S3 데이터 및 Hive 메타스토어에 액세스합니다.
![\[SQL Workbench의 여러 계정에서 Hive 메타스토어 및 Amazon S3 데이터에 액세스.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/hive-metastore-iam-access-lambda-1.png)
# 커넥터 및 Athena 카탈로그를 생성하기 위해 필요한 권한
Athena `CreateDataCatalog`를 호출하려면 다음 권한이 있는 역할을 생성해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"glue:TagResource",
"glue:GetConnection",
"glue:CreateConnection",
"glue:DeleteConnection",
"glue:UpdateConnection",
"serverlessrepo:CreateCloudFormationTemplate",
"serverlessrepo:GetCloudFormationTemplate",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:CreateChangeSet",
"cloudformation:DescribeAccountLimits",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate",
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:EstimateTemplateCost",
"cloudformation:ListImports",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:TagResource",
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:ListEventSourceMappings",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:AddPermission",
"lambda:ListTags",
"lambda:GetAlias",
"lambda:GetPolicy",
"lambda:ListAliases",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"secretsmanager:ListSecrets",
"glue:GetCatalogs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:CreateRole",
"iam:TagRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:PassRole",
"iam:ListRoles",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:GetPolicy",
"iam:UpdateRole"
],
"Resource": [
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
}
]
}
```
------
# Athena 페더레이션 쿼리에 대한 액세스 허용: 정책 예제
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
IAM 자격 증명에 정책을 연결하는 방법에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/)의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
+ [Example policy to allow an IAM principal to run and return results using Athena Federated Query](#fed-using-iam)
+ [Example Policy to Allow an IAM Principal to Create a Data Source Connector](#fed-creating-iam)
**Example - IAM 보안 주체가 Athena 연합 쿼리를 사용하여 쿼리를 실행하고 결과를 반환할 수 있도록 허용합니다.**
다음 자격 증명 기반 권한 정책은 사용자 또는 다른 IAM 보안 주체가 Athena 연합 쿼리를 사용하는 데 필요한 작업을 허용합니다. 이러한 작업을 수행할 수 있는 보안 주체는 연합 데이터 원본과 연결된 Athena 카탈로그를 지정하는 쿼리를 실행할 수 있습니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Athena",
"Effect": "Allow",
"Action": [
"athena:GetDataCatalog",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"arn:aws:athena:*:111122223333:workgroup/WorkgroupName",
"arn:aws:athena:us-east-1:111122223333:datacatalog/DataCatalogName"
]
},
{
"Sid": "ListAthenaWorkGroups",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
},
{
"Sid": "Lambda",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": [
"arn:aws:lambda:*:111122223333:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:111122223333:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "S3",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::MyLambdaSpillBucket",
"arn:aws:s3:::MyLambdaSpillBucket/*",
"arn:aws:s3:::MyQueryResultsBucket",
"arn:aws:s3:::MyQueryResultsBucket/*"
]
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 연합 쿼리를 실행하는 데 필요한 Athena 권한입니다. |
| "athena:GetDataCatalog",
"athena:GetQueryExecution,"
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
| 페더레이션된 보기 쿼리를 실행하는 데 필요한 Athena 권한입니다. 뷰에는 `GetDataCatalog` 작업이 필요합니다. |
| "lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수에 대한 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출되는 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
| "s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
| `StartQueryExecution`을 실행하는 IAM 보안 주체에 대한 쿼리 출력 버킷에 액세스하려면 `s3:ListBucket` 및 `s3:GetBucketLocation` 권한이 필요합니다. `s3:PutObject`, `s3:ListMultipartUploadParts` 및 `s3:AbortMultipartUpload`는 `arn:aws:s3:::MyQueryResultsBucket/*` 리소스 식별자에 지정된 대로 쿼리 결과 버킷의 모든 하위 폴더에 쿼리 결과를 작성하도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 섹션을 참조하세요. `s3:GetObject`는 `arn:aws:s3:::MyQueryResultsBucket`으로 지정된 리소스에 대한 쿼리 결과 및 쿼리 기록을 읽을 수 있도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 또한 `s3:GetObject`는 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`로 지정된 리소스에서 읽을 수 있도록 허용합니다. 여기서 *MyLambdaSpillPrefix*는 호출되는 Lambda 함수의 구성에서 지정됩니다. |
**Example - IAM 보안 주체가 데이터 원본 커넥터를 생성하도록 허용합니다.**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 리소스로 나열된 Lambda 함수의 생성 및 관리를 허용합니다. 이 예제에서는 이름 접두사가 리소스 식별자 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`에 사용됩니다. 여기서 `MyAthenaLambdaFunctionsPrefix`는 Lambda 함수 그룹의 이름에 사용되는 공유 접두사이므로 리소스로 개별적으로 지정할 필요가 없습니다. 하나 이상의 Lambda 함수 리소스를 지정할 수 있습니다. |
| "s3:GetObject"
| 리소스 식별자 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1에 지정된 대로 AWS Serverless Application Repository이 요구하는 버킷을 읽을 수 있습니다. 이 버킷은 사용자 계정에만 해당될 수 있습니다. |
| "cloudformation:*"
| `MyCFStackPrefix` 리소스에 의해 지정된 CloudFormation 스택의 생성 및 관리를 허용합니다. 이러한 스택 및 스택 세트는 AWS Serverless Application Repository이 커넥터와 UDF를 배포하는 방법입니다. |
| "serverlessrepo:*"
| AWS Serverless Application Repository에서 리소스 식별자 arn:aws:serverlessrepo:\$1:\$1:applications/\$1로 지정된 애플리케이션을 검색하고 보고 게시 및 업데이트할 수 있습니다. |
| "ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
| 생성된 Lambda 함수가 페더레이션 커넥터 ECR 이미지에 액세스할 수 있도록 허용합니다. |
# Athena UDF에 대한 액세스 허용: 정책 예제
이 주제의 권한 정책 예제에서는 필요한 허용된 작업과 해당 작업이 허용되는 리소스를 보여줍니다. IAM 자격 증명에 유사한 권한 정책을 연결하기 전에 이러한 정책을 신중하게 검토하고 요구 사항에 따라 수정합니다.
+ [Example Policy to Allow an IAM Principal to Run and Return Queries that Contain an Athena UDF Statement](#udf-using-iam)
+ [Example Policy to Allow an IAM Principal to Create an Athena UDF](#udf-creating-iam)
**Example - IAM 보안 주체가 Athena UDF 문을 포함한 쿼리를 실행하고 결과를 반환하도록 허용합니다.**
다음 자격 증명 기반 권한 정책은 사용자 또는 다른 IAM 보안 주체가 Athena UDF 문을 사용하는 쿼리를 실행하는 데 필요한 작업을 허용합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"lambda:InvokeFunction",
"athena:GetQueryResults",
"s3:ListMultipartUploadParts",
"athena:GetWorkGroup",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:athena:*:MyAWSAcctId:workgroup/MyAthenaWorkGroup",
"arn:aws:s3:::MyQueryResultsBucket/*",
"arn:aws:lambda:*:MyAWSAcctId:function:OneAthenaLambdaFunction",
"arn:aws:lambda:*:MyAWSAcctId:function:AnotherAthenaLambdaFunction"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "athena:ListWorkGroups",
"Resource": "*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "athena:StartQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StopQueryExecution",
"athena:GetQueryExecution",
| `MyAthenaWorkGroup` 작업 그룹에서 쿼리를 실행하는 데 필요한 Athena 권한입니다. |
| "s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload"
| `s3:PutObject` 및 `s3:AbortMultipartUpload`는 `arn:aws:s3:::MyQueryResultsBucket/*` 리소스 식별자에 지정된 대로 쿼리 결과 버킷의 모든 하위 폴더에 쿼리 결과를 작성하도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요. `s3:GetObject`는 `arn:aws:s3:::MyQueryResultsBucket`으로 지정된 리소스에 대한 쿼리 결과 및 쿼리 기록을 읽을 수 있도록 허용합니다. 여기서 *MyQueryResultsBucket*은 Athena 쿼리 결과 버킷입니다. 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요. 또한 `s3:GetObject`는 `"arn:aws:s3:::MyLambdaSpillBucket/MyLambdaSpillPrefix*"`로 지정된 리소스에서 읽을 수 있도록 허용합니다. 여기서 *MyLambdaSpillPrefix*는 호출되는 Lambda 함수의 구성에서 지정됩니다. |
| "lambda:InvokeFunction"
| 쿼리가 Resource 블록에 지정된 AWS Lambda 함수를 호출할 수 있습니다. arn:aws:lambda:\$1:MyAWSAcctId:function:MyAthenaLambdaFunction을 예로 들 수 있습니다. 여기서 MyAthenaLambdaFunction은 호출할 Lambda 함수의 이름을 지정합니다. 예제와 같이 여러 함수를 지정할 수 있습니다. |
**Example - IAM 보안 주체가 Athena UDF를 생성할 수 있도록 허용합니다.**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"iam:CreateRole",
"lambda:GetFunctionConfiguration",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"lambda:PutFunctionConcurrency",
"iam:PassRole",
"iam:DetachRolePolicy",
"lambda:ListTags",
"iam:ListAttachedRolePolicies",
"iam:DeleteRolePolicy",
"lambda:DeleteFunction",
"lambda:GetAlias",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:GetPolicy",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"iam:DeleteRole",
"lambda:UpdateFunctionCode",
"s3:GetObject",
"lambda:AddPermission",
"iam:UpdateRole",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"iam:GetRolePolicy",
"lambda:GetPolicy"
],
"Resource": [
"arn:aws:lambda:*:111122223333:function:MyAthenaLambdaFunctionsPrefix*",
"arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/*",
"arn:aws:iam::*:role/RoleName",
"arn:aws:iam::111122223333:policy/*"
]
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:DescribeStackDriftDetectionStatus",
"cloudformation:ListExports",
"cloudformation:ListStacks",
"cloudformation:ListImports",
"lambda:ListFunctions",
"iam:ListRoles",
"lambda:GetAccountSettings",
"ec2:DescribeSecurityGroups",
"cloudformation:EstimateTemplateCost",
"ec2:DescribeVpcs",
"lambda:ListEventSourceMappings",
"cloudformation:DescribeAccountLimits",
"ec2:DescribeSubnets",
"cloudformation:CreateStackSet",
"cloudformation:ValidateTemplate"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": "cloudformation:*",
"Resource": [
"arn:aws:cloudformation:*:111122223333:stack/aws-serverless-repository-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:111122223333:stack/serverlessrepo-MyCFStackPrefix*/*",
"arn:aws:cloudformation:*:*:transform/Serverless-*",
"arn:aws:cloudformation:*:111122223333:stackset/aws-serverless-repository-MyCFStackPrefix*:*",
"arn:aws:cloudformation:*:111122223333:stackset/serverlessrepo-MyCFStackPrefix*:*"
]
},
{
"Sid": "VisualEditor3",
"Effect": "Allow",
"Action": "serverlessrepo:*",
"Resource": "arn:aws:serverlessrepo:*:*:applications/*"
},
{
"Sid": "ECR",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:aws:ecr:*:*:repository/*"
}
]
}
```
**권한에 대한 설명**
| 허용된 작업 | 설명 |
| --- | --- |
| "lambda:CreateFunction",
"lambda:ListVersionsByFunction",
"lambda:GetFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:ListTags",
"lambda:DeleteFunction",
"lambda:GetAlias",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:ListAliases",
"lambda:UpdateFunctionConfiguration",
"lambda:UpdateFunctionCode",
"lambda:AddPermission",
"lambda:DeleteFunctionConcurrency",
"lambda:RemovePermission",
"lambda:GetPolicy"
"lambda:GetAccountSettings",
"lambda:ListFunctions",
"lambda:ListEventSourceMappings",
| 리소스로 나열된 Lambda 함수의 생성 및 관리를 허용합니다. 이 예제에서는 이름 접두사가 리소스 식별자 `arn:aws:lambda:*:MyAWSAcctId:function:MyAthenaLambdaFunctionsPrefix*`에 사용됩니다. 여기서 *MyAthenaLambdaFunctionsPrefix*는 Lambda 함수 그룹의 이름에 사용되는 공유 접두사이므로 리소스로 개별적으로 지정할 필요가 없습니다. 하나 이상의 Lambda 함수 리소스를 지정할 수 있습니다. |
| "s3:GetObject"
| 리소스 식별자 arn:aws:s3:::awsserverlessrepo-changesets-1iiv3xa62ln3m/\$1에 지정된 대로 AWS Serverless Application Repository이 요구하는 버킷을 읽을 수 있습니다. |
| "cloudformation:*"
| *MyCFStackPrefix* 리소스에 의해 지정된 CloudFormation 스택의 생성 및 관리를 허용합니다. 이러한 스택 및 스택 세트는 AWS Serverless Application Repository이 커넥터와 UDF를 배포하는 방법입니다. |
| "serverlessrepo:*"
| AWS Serverless Application Repository에서 리소스 식별자 arn:aws:serverlessrepo:\$1:\$1:applications/\$1로 지정된 애플리케이션을 검색하고 보고 게시 및 업데이트할 수 있습니다. |
# Athena를 통한 ML에 액세스 허용
Athena ML 쿼리를 실행하는 IAM 보안 주체는 자신이 사용하는 Sagemaker 엔드포인트 대한 `sagemaker:invokeEndpoint` 작업을 수행할 수 있어야 합니다. 사용자 자격 증명에 연결된 ID 기반 권한 정책에 다음과 유사한 정책 문을 포함합니다. 또한 Athena 작업에 대한 전체 액세스 권한을 부여하는 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy), 또는 작업의 하위 집합을 허용하는 수정된 인라인 정책을 연결합니다.
예제에서 `arn:aws:sagemaker:region:AWSAcctID:ModelEndpoint`를 쿼리에 사용할 모델 엔드포인트의 ARN 또는 ARN으로 바꿉니다. 자세한 내용은 *서비스 권한 부여 참조*에서 [SageMaker AI에 사용되는 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)를 참조하세요.
```
{
"Effect": "Allow",
"Action": [
"sagemaker:invokeEndpoint"
],
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:workteam/public-crowd/default"
}
```
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
# Athena API에 대한 페더레이션 액세스 활성화
이 단원에서는 조직의 사용자 또는 클라이언트 애플리케이션이 Amazon Athena API 작업을 호출하는 데 사용할 수 있는 연합 액세스에 대해 설명합니다. 이 경우 조직의 사용자는 Athena에 직접 액세스할 수 없습니다. 그 대신, Microsoft Active Directory에서 AWS 외부의 사용자 자격 증명을 관리합니다. Active Directory는 [SAML 2.0](https://wiki.oasis-open.org/security)(Security Assertion Markup Language 2.0)를 지원합니다.
이 시나리오에서 사용자를 인증하려면 Active Directory Federation Services(ADFS) 3.0에 액세스하고 Athena API 작업 호출을 위해 클라이언트 애플리케이션을 활성화하는 SAML.2.0 지원이 포함된 JDBC 또는 ODBC 드라이버를 사용합니다.
AWS에서 SAML 2.0 지원에 대한 자세한 내용은 *IAM 사용 설명서*에서 [SAML 2.0 연합에 대하여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)를 참조하세요.
**참고**
Athena API에 대한 연합 액세스는 특정 유형의 자격 증명 공급자(IdP)인 Active Directory Federation Service(AD FS 3.0)(Windows Server의 일부)에 대해 지원됩니다. 연동 액세스는 IAM Identity Center의 신뢰할 수 있는 ID 전파 기능과 호환되지 않습니다. 액세스는 SAML 2.0을 지원하는 JDBC 또는 ODBC 드라이버 버전을 통해 설정됩니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
**Topics**
+ [
## 시작하기 전 준비 사항
](#access-federation-before-you-begin)
+ [
## 인증 프로세스 이해
](#access-federation-diagram)
+ [
## 절차: Athena API에 대한 SAML 기반 페더레이션 액세스 활성화
](#access-federation-procedure)
## 시작하기 전 준비 사항
시작하기 전에 다음 필수 조건을 완료합니다.
+ 조직 내부에서 AD FS 3.0을 설치하고 IdP로 구성합니다.
+ Athena 액세스에 사용되는 클라이언트에 JDBC 또는 ODBC 드라이버의 최신 버전을 설치하고 구성합니다. 드라이버는 SAML 2.0과 호환되는 연합 액세스에 대한 지원을 포함해야 합니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
## 인증 프로세스 이해
다음 다이어그램은 Athena API에 대한 페더레이션 액세스의 인증 프로세스를 보여줍니다.
![\[Athena API에 대한 페더레이션 액세스의 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/athena-saml-based-federation.png)
1. 조직 내 사용자는 클라이언트 애플리케이션을 JDBC 또는 ODBC 드라이버와 함께 사용하여 조직의 IdP에게 인증을 요청합니다. IdP는 AD FS 3.0입니다.
1. IdP는 조직의 자격 증명 스토어인 Active Directory에 대해 사용자를 인증합니다.
1. IdP는 사용자에 대한 정보로 SAML 어설션을 구성하여 JDBC 또는 ODBC 드라이버를 통해 클라이언트 애플리케이션에 전송합니다.
1. JDBC 또는 ODBC 드라이버는 AWS Security Token Service [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 작업을 호출하여 이 작업에 다음 파라미터를 전달합니다.
+ SAML 공급자의 ARN
+ 수임할 역할의 ARN
+ IdP의 SAML 어설션
자세한 내용은 *AWS Security Token Service API 참조*의 [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)을 참조하세요.
1. JDBC 또는 ODBC 드라이버를 통해 클라이언트 애플리케이션으로 보내는 API 응답에는 임시 보안 자격 증명이 포함됩니다.
1. 클라이언트 애플리케이션은 사용자가 Athena API 작업에 액세스할 수 있도록 임시 보안 자격 증명을 사용하여 Athena API 작업을 호출합니다.
## 절차: Athena API에 대한 SAML 기반 페더레이션 액세스 활성화
이 절차에서는 조직의 IdP와 AWS 계정 간에 신뢰를 확립하여 Amazon Athena API 작업에 대한 SAML 기반 연합 액세스를 활성화합니다.
**Athena API에 대한 연합 액세스를 활성화하려면:**
1. 조직에서 AWS를 IdP의 서비스 공급자(SP)로 등록합니다. 이 프로세스를 *신뢰 당사자 신뢰*라고 합니다. 자세한 내용은 *IAM 사용 설명서*의 [신뢰 당사자 신뢰로 SAML 2.0 IdP 구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_relying-party.html)을 참조하세요. 이 작업의 일부로 다음 단계를 수행합니다.
1. 다음 URL에서 샘플 SAML 메타데이터 문서를 가져옵니다. [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml).
1. 조직의 IdP(ADFS)에서 IdP를 AWS에 대한 자격 증명 공급자로 설명하는 동등한 메타데이터 XML 파일을 생성합니다. 메타데이터 파일에는 발행자 이름, 생성 날짜, 만료 날짜 및 AWS가 조직에서 오는 인증 응답의 유효성을 검증하는 데 사용할 수 있는 키가 포함되어야 합니다.
1. IAM 콘솔에서 SAML 자격 증명 공급자 개체를 생성합니다. 자세한 내용은 *IAM 사용 설명서*의 [SAML 자격 증명 공급자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)을 참조하세요. 이 단계의 일부로 다음을 포함합니다.
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 이 절차에서 1단계의 IdP(ADFS)가 생성한 SAML 메타데이터 문서를 업로드합니다.
1. IAM 콘솔에서 IdP에 대해 하나 이상의 IAM 역할을 생성합니다. 자세한 내용은 *IAM 사용 설명서*의 [서드 파티 자격 증명 공급자의 역할 만들기(연합)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html)을 참조하세요. 이 단계의 일부로 다음을 포함합니다.
+ 역할의 권한 정책에서 조직의 사용자가 AWS에서 수행할 수 있는 작업을 나열합니다.
+ 역할의 신뢰 정책에서 이 절차의 2단계에서 생성한 SAML 공급자 엔터티를 보안 주체로 설정합니다.
이렇게 하면 조직과 AWS 사이에 신뢰 관계가 설정됩니다.
1. 조직의 IdP(ADFS)에서 조직 내 사용자 또는 그룹을 IAM 역할에 매핑하는 어설션을 정의합니다. IAM 역할에 대한 사용자와 그룹의 매핑을 *클레임 규칙(claim rule)*이라고 합니다. 조직의 다양한 사용자 및 그룹은 서로 다른 IAM 역할에 매핑될 수 있다는 점에 유의하세요.
ADFS에서 매핑을 구성하는 방법에 대한 자세한 내용은 [Windows Active Directory, ADFS 및 SAML 2.0을 사용하여 AWS에 대한 연합 활성화](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 블로그 게시물을 참조하세요.
1. SAML 2.0 지원이 포함된 JDBC 또는 ODBC 드라이버를 설치하고 구성합니다. 자세한 내용은 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 단원을 참조하세요.
1. 애플리케이션에서 JDBC 또는 ODBC 드라이버로 연결을 지정합니다. 애플리케이션에서 사용해야 할 연결 문자열에 대한 자세한 내용은 *JDBC Driver Installation and Configuration Guide*의 *‘Using the Active Directory Federation Services (ADFS) Credentials Provider’* 또는 *ODBC Driver Installation and Configuration Guide*의 비슷한 주제를 참조하세요. [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md) 및 [ODBC로 Amazon Athena에 연결](connect-with-odbc.md) 주제에서 PDF로 다운로드할 수 있습니다.
다음은 드라이버에 연결 문자열을 구성하는 방법에 대한 개괄적인 요약입니다.
1. `AwsCredentialsProviderClass configuration`에서 `com.simba.athena.iamsupport.plugin.AdfsCredentialsProvider`를 설정하여 ADFS IdP를 통해 SAML 2.0 기반 인증을 사용합니다.
1. `idp_host`에 ADFS IdP 서버의 호스트 이름을 입력합니다.
1. `idp_port`에 ADFS IdP가 SAML 어설션 요청에 대해 수신 대기하는 포트 번호를 입력합니다.
1. `UID` 및 `PWD`에 AD 도메인 사용자 자격 증명을 제공합니다. Windows에서 드라이버를 사용하는 경우 `UID` 및 `PWD`를 입력하지 않으면 드라이버는 Windows 시스템에 로그인한 사용자의 사용자 자격 증명을 가져오려고 합니다.
1. 선택적으로 `ssl_insecure`를 `true`로 설정합니다. 이 경우 드라이버는 ADFS IdP 서버에 대한 SSL 인증서의 신뢰성을 확인하지 않습니다. 드라이버에서 신뢰할 수 있도록 ADFS IdP의 SSL 인증서를 구성하지 않은 경우 `true`로 설정해야 합니다.
1. 하나 이상의 IAM 역할에 대한 Active Directory 도메인 사용자 또는 그룹의 매핑을 활성화하려면(이 절차의 4단계에서 언급함) JDBC 또는 ODBC 연결에 대한 `preferred_role`에서 드라이버 연결을 수임할 IAM 역할(ARN)을 지정합니다. `preferred_role` 지정은 선택 사항이며 역할이 클레임 규칙에 나열된 첫 번째 역할이 아닌 경우에 유용합니다.
이 절차를 수행하면 다음 작업이 수행됩니다.
1. JDBC 또는 ODBC 드라이버가 AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API를 호출하고 [아키텍처 다이어그램](#access-federation-diagram)의 4단계와 같이 이 API에 어설션을 전달합니다.
1. AWS는 역할 수임 요청이 SAML 공급자 엔터티에서 참조된 IdP로부터 오는지 확인합니다.
1. 요청이 성공하면 AWS STS [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API 작업은 일련의 임시 보안 자격 증명을 반환하고 클라이언트 애플리케이션은 이 자격 증명을 사용하여 Athena에 대한 서명된 요청을 생성합니다.
이제 애플리케이션은 현재 사용자에 대한 정보를 갖추었으며 프로그래밍 방식으로 Athena에 액세스할 수 있습니다.
# Athena 로깅 및 모니터링
인시던트를 탐지하고 인시던트가 발생했을 때 경고를 받고 그에 응답하려면 Amazon Athena 옵션과 함께 다음 옵션을 사용하세요.
+ **AWS CloudTrail을 사용하여 Athena 모니터링** - [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)은 Athena의 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공합니다. 이 서비스는 Athena 콘솔에서 수행한 호출과 Athena API 작업에 대한 코드 호출을 캡처합니다. 이를 통해 Athena에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다. 자세한 내용은 [AWS CloudTrail을 사용하여 Amazon Athena API 직접 호출 로깅](monitor-with-cloudtrail.md) 섹션을 참조하세요.
Athena를 사용하여 Athena뿐만 아니라 다른 AWS 서비스에 대해서도 CloudTrail 로그 파일을 쿼리할 수 있습니다. 자세한 내용은 [AWS CloudTrail 로그 쿼리](cloudtrail-logs.md) 섹션을 참조하세요.
+ **CloudTrail 및 Amazon Quick으로 Athena 사용량 모니터링** – [Amazon Quick](https://aws.amazon.com/quicksight/)은 완전관리형의 클라우드 기반 비즈니스 인텔리전스 서비스로서 이를 통해 조직 구성원이 모든 장치에서 액세스할 수 있는 대화형 대시보드를 만들 수 있습니다. CloudTrail과 Amazon Quick을 사용하여 Athena 사용량을 모니터링하는 솔루션의 예는 AWS Big Data Blog 게시물 [How Realtor.com monitors Amazon Athena usage with AWS CloudTrail and Quick](https://aws.amazon.com/blogs/big-data/analyzing-amazon-athena-usage-by-teams-within-a-real-estate-company/)을 참조하세요.
+ **Athena에서 EventBridge 사용** - Amazon EventBridge는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 제공합니다. EventBridge는 이러한 운영 변경 발생 시 이를 인지하고 응답하며, 환경에 응답하기 위한 메시지를 전송하고, 함수를 활성화하며, 변경을 수행하고, 상태 정보를 기록하는 등 필요에 따라 교정 조치를 취합니다. 이벤트는 최선의 작업을 기반으로 발생됩니다. 자세한 내용은 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge 시작하기](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html)를 참조하세요.
+ **작업 그룹을 사용하여 사용자, 팀, 애플리케이션 또는 작업 부하를 분리하고 쿼리 제한을 설정하고 쿼리 비용을 통제** - 검색되는 데이터의 양에 대한 제한을 구성하고 임계값과 이러한 임계값이 위반되는 경우에 대해 Amazon SNS 경보와 같은 트리거 조치를 만들어 Amazon CloudWatch의 쿼리 관련 지표를 보고 쿼리 비용을 통제할 수 있습니다. 자세한 내용은 [작업 그룹을 사용하여 쿼리 액세스 및 비용 제어](workgroups-manage-queries-control-costs.md) 섹션을 참조하세요. 리소스 수준 IAM 권한을 사용하여 특정 작업 그룹에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 [IAM 정책을 사용하여 작업 그룹 액세스 제어](workgroups-iam-policy.md) 및 [CloudWatch 및 EventBridge를 사용하여 쿼리 모니터링 및 비용 제어](workgroups-control-limits.md) 단원을 참조하세요.
**Topics**
+ [
# AWS CloudTrail을 사용하여 Amazon Athena API 직접 호출 로깅
](monitor-with-cloudtrail.md)
# AWS CloudTrail을 사용하여 Amazon Athena API 직접 호출 로깅
Athena는 Athena에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공하는 서비스인 AWS CloudTrail과 통합됩니다.
CloudTrail은 Athena에 대한 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 Athena 콘솔로부터의 호출과 Athena API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 Athena 이벤트를 포함한 CloudTrail 이벤트를 지속적으로 Amazon S3 버킷에 배포할 수 있습니다. 추적을 구성하지 않은 경우에도 **이벤트 기록**에서 CloudTrail 콘솔의 최신 이벤트를 볼 수 있습니다.
CloudTrail에서 수집한 정보를 사용하여 Athena에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
CloudTrail에 대한 자세한 내용은 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
Athena를 사용하여 Athena 자체와 다른 AWS 서비스에서 CloudTrail 로그 파일을 쿼리할 수 있습니다. 자세한 내용은 [AWS CloudTrail 로그 쿼리](cloudtrail-logs.md), [Hive JSON SerDe](hive-json-serde.md), 및 AWS 빅 데이터 블로그 게시물 [Use CTAS statements with Amazon Athena to reduce cost and improve performance](https://aws.amazon.com/blogs/big-data/using-ctas-statements-with-amazon-athena-to-reduce-cost-and-improve-performance/)를 참조하세요. 이 블로그 게시물은 CloudTrail을 사용하여 Athena 사용량에 대한 심도 있는 정보를 제공합니다.
## CloudTrail에서 제공하는 Athena 정보
CloudTrail은 계정 생성 시 Amazon Web Services 계정에서 활성화됩니다. Athena에서 활동이 수행되면 해당 활동은 **이벤트 기록(Event history)**에서 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. Amazon Web Services 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 [CloudTrail 이벤트 기록을 사용하여 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
Athena에 대한 이벤트를 포함하여 Amazon Web Services 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 트레일을 생성하면 기본적으로 모든 AWS 리전에 트레일이 적용됩니다. 트레일은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 설명은 다음을 참조하세요.
+ [추적 생성 개요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 지원 서비스 및 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [CloudTrail에 대한 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [여러 리전에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) 및 [여러 계정에서 CloudTrail 로그 파일 받기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
모든 Athena 작업은 CloudTrail에서 로깅되며 [Amazon Athena API 참조](https://docs.aws.amazon.com/athena/latest/APIReference/)에 설명되어 있습니다. 예를 들어 [StartQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) 및 [GetQueryResults](https://docs.aws.amazon.com/athena/latest/APIReference/API_StartQueryExecution.html) 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. ID 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청을 루트로 했는지 아니면 AWS Identity and Access Management(IAM) 사용자 자격 증명으로 했는지 여부입니다.
+ 역할 또는 페더레이션 사용자에 대한 임시 보안 인증 정보를 사용하여 요청이 생성되었는지 여부.
+ 다른 AWS 서비스에서 요청했는지 여부
자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하세요.
## Athena 로그 파일 항목 이해
트레일이란 지정한 S3 버킷에 이벤트를 로그 파일로 입력할 수 있게 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.
**참고**
민감한 정보가 의도치 않게 공개되는 것을 방지하기 위해 `StartQueryExecution` 및 `CreateNamedQuery` 로그의 `queryString` 항목 값은 `***OMITTED***`입니다. 이것은 설계에 따른 것입니다. 실제 쿼리 문자열에 액세스하기 위해 Athena [GetQueryExecution](https://docs.aws.amazon.com/athena/latest/APIReference/API_GetQueryExecution.html) API를 사용하고 CloudTrail 로그에서 `responseElements.queryExecutionId`의 값을 전달할 수 있습니다.
다음 예는 다음에 대한 CloudTrail 로그 항목을 보여줍니다.
+ [StartQueryExecution(성공)](#startqueryexecution-successful)
+ [StartQueryExecution(실패)](#startqueryexecution-failed)
+ [CreateNamedQuery](#createnamedquery)
### StartQueryExecution(성공)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:23:55Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"requestParameters":{
"clientRequestToken":"16bc6e70-f972-4260-b18a-db1b623cb35c",
"resultConfiguration":{
"outputLocation":"s3://amzn-s3-demo-bucket/test/"
},
"queryString":"***OMITTED***"
},
"responseElements":{
"queryExecutionId":"b621c254-74e0-48e3-9630-78ed857782f9"
},
"requestID":"f5039b01-305f-11e7-b146-c3fc56a7dc7a",
"eventID":"c97cf8c8-6112-467a-8777-53bb38f83fd5",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### StartQueryExecution(실패)
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-04T00:21:57Z",
"eventSource":"athena.amazonaws.com",
"eventName":"StartQueryExecution",
"awsRegion":"us-east-1",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-internal/3",
"errorCode":"InvalidRequestException",
"errorMessage":"Invalid result configuration. Should specify either output location or result configuration",
"requestParameters":{
"clientRequestToken":"ca0e965f-d6d8-4277-8257-814a57f57446",
"queryString":"***OMITTED***"
},
"responseElements":null,
"requestID":"aefbc057-305f-11e7-9f39-bbc56d5d161e",
"eventID":"6e1fc69b-d076-477e-8dec-024ee51488c4",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
```
### CreateNamedQuery
```
{
"eventVersion":"1.05",
"userIdentity":{
"type":"IAMUser",
"principalId":"EXAMPLE_PRINCIPAL_ID",
"arn":"arn:aws:iam::123456789012:user/johndoe",
"accountId":"123456789012",
"accessKeyId":"EXAMPLE_KEY_ID",
"userName":"johndoe"
},
"eventTime":"2017-05-16T22:00:58Z",
"eventSource":"athena.amazonaws.com",
"eventName":"CreateNamedQuery",
"awsRegion":"us-west-2",
"sourceIPAddress":"77.88.999.69",
"userAgent":"aws-cli/1.11.85 Python/2.7.10 Darwin/16.6.0 botocore/1.5.48",
"requestParameters":{
"name":"johndoetest",
"queryString":"***OMITTED***",
"database":"default",
"clientRequestToken":"fc1ad880-69ee-4df0-bb0f-1770d9a539b1"
},
"responseElements":{
"namedQueryId":"cdd0fe29-4787-4263-9188-a9c8db29f2d6"
},
"requestID":"2487dd96-3a83-11e7-8f67-c9de5ac76512",
"eventID":"15e3d3b5-6c3b-4c7c-bc0b-36a8dd95227b",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
},
```
# 규정 준수 확인
타사 감사자는 여러 AWS 규정 준수 프로그램의 일환으로 보안 및 규정 준수를 평가합니다. 여기에는 SOC, PCI, FedRAMP 등이 포함됩니다.
특정 규정 준수 프로그램 범위에 속하는 AWS 서비스의 목록은 [규정 준수 프로그램 제공 AWS 서비스 범위 내](https://aws.amazon.com/compliance/services-in-scope/)를 참조하세요. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)을 참조하세요.
AWS Artifact를 사용하여 제3자 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 [AWS Artifact의 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)를 참조하세요.
사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 결정됩니다. AWS는 규정 준수를 지원할 다음과 같은 리소스를 제공합니다.
+ [보안 및 규정 준수 빠른 시작 가이드](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – 이 배포 가이드에서는 아키텍처 고려 사항에 대해 설명하고 보안 및 규정 준수에 중점을 둔 기본 AWS 환경을 배포하기 위한 단계를 제공합니다.
+ [Architecting for HIPAA security and compliance on Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) - 이 백서는 기업에서 AWS를 사용하여 HIPAA를 준수하는 애플리케이션을 생성하는 방법을 설명합니다.
+ [AWS 규정 준수 리소스](https://aws.amazon.com/compliance/resources/) – 사용자의 업계와 위치에 해당할 수 있는 워크북 및 가이드 모음입니다.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – 이 AWS 서비스로 리소스 구성이 내부 관행, 업계 지침 및 규정을 준수하는 정도를 평가할 수 있습니다.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) - 이 AWS 서비스는 보안 산업 표준 및 모범 사례 규정 준수 여부를 확인하는 데 도움이 되도록 AWS 내 보안 상태를 종합적으로 보여줍니다.
# Athena의 복원성
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전에서는 물리적으로 분리되고 격리된 다수의 가용 영역을 제공하며 이러한 가용 영역은 짧은 대기 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다. 가용 영역을 사용하면 중단 없이 가용 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라](https://aws.amazon.com/about-aws/global-infrastructure/)를 참조하세요.
AWS 글로벌 인프라뿐만 아니라 데이터 복원력과 백업 요구 사항을 지원하는 다양한 기능을 제공합니다.
Athena는 서버리스 서비스이므로 설정하거나 관리할 인프라가 없습니다. Athena는 가용성이 높으며 여러 가용 영역에서 컴퓨팅 리소스를 사용하여 쿼리를 실행하고 특정 가용 영역에 도달할 수 없는 경우 쿼리를 자동으로 라우팅합니다. Athena는 Amazon S3를 기본 데이터 저장소로 사용하기 때문에 데이터의 가용성과 내구성이 높습니다. Amazon S3는 중요한 데이터를 저장하기 위한 견고한 인프라를 제공하며 객체의 99.999999999%에 달하는 내구도로 설계되었습니다. 데이터가 여러 시설과 각 시설의 여러 디바이스에 중복 저장됩니다.
# Athena의 인프라 보안
관리형 서비스로서 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 [AWS 클라우드 보안](https://aws.amazon.com/security/)을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)를 참조하세요.
AWS 에서 게시한 API 직접 호출을 사용하여 네트워크를 통해 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
IAM 정책을 사용해 Athena 작업에 대한 액세스를 제한합니다. IAM 정책을 사용할 때는 항상 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
Athena [관리형 정책](security-iam-awsmanpol.md)은 사용하기 쉽고, 서비스가 향상됨에 따라 필요한 작업으로 자동 업데이트됩니다. 고객 관리형 및 인라인 정책을 사용하면 정책 내에서 보다 세분화된 Athena 작업을 지정하여 액세스를 세부 조정할 수 있습니다. 데이터의 Amazon S3 위치에 대한 적절한 권한을 부여합니다. Amazon S3 액세스 권한을 부여하는 방법에 대한 자세한 내용과 시나리오는 *Amazon Simple Storage Service 개발자 안내서*의 [예제 안내: 액세스 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access.html)를 참조하세요. 허용할 Amazon S3 작업에 대한 자세한 내용과 예는 [계정 간 액세스](cross-account-permissions.md)의 버킷 정책 예제를 참조하세요.
**Topics**
+ [
# 인터페이스 VPC 엔드포인트를 사용하여 Amazon Athena에 연결
](interface-vpc-endpoint.md)
# 인터페이스 VPC 엔드포인트를 사용하여 Amazon Athena에 연결
Virtual Private Cloud(VPC)의 [인터페이스 VPC 엔드드포인트(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)와 [AWS Glue VPC 엔드포인트](https://docs.aws.amazon.com/glue/latest/dg/vpc-endpoint.html)를 사용하여 VPC의 보안 태세를 개선할 수 있습니다. 인터페이스 VPC 엔드포인트에서는 VPC 내부에서 도달할 수 있는 대상을 제어하는 기능을 제공하여 보안을 개선합니다. 각 VPC 엔드포인트는 하나 이상의 [탄력적 네트워크 인터페이스](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)(ENI) 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결 없이 VPC를 Athena에 직접 연결합니다. VPC에 있는 인스턴스는 퍼블릭 IP 주소가 없어도 Athena API와 통신할 수 있습니다.
VPC를 통해 Athena를 사용하려면 VPC 내부에 있는 인스턴스에서 연결하거나 Amazon Virtual Private Network(VPN) 또는 Direct Connect를 사용하여 프라이빗 네트워크를 VPC에 연결해야 합니다. Amazon VPN에 대한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPN 연결](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)을 참조하세요. AWS Direct Connect에 대한 자세한 내용은 *Direct Connect 사용 설명서*의 [연결 생성](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html)을 참조하세요.
Athena는 [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region)와 [Athena](https://docs.aws.amazon.com/general/latest/gr/rande.html#athena)를 모두 이용할 수 있는 모든 AWS 리전에서 VPC 엔드포인트를 지원합니다.
AWS Management Console 또는 AWS Command Line Interface(AWS CLI) 명령을 사용하여 Athena에 연결할 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)을 참조하세요.
인터페이스 VPC 엔드포인트를 생성한 후 엔드포인트에 대해 [프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) 호스트 이름을 활성화하는 경우 기본 Athena 엔드포인트(https://athena.*리전*.amazonaws.com)는 VPC 엔드포인트로 귀결됩니다.
프라이빗 DNS 호스트 이름을 활성화하지 않은 경우, Amazon VPC는 다음 형식으로 사용할 수 있는 DNS 엔드포인트를 제공합니다.
```
VPC_Endpoint_ID.athena.Region.vpce.amazonaws.com
```
자세한 내용은 *Amazon VPC 사용 설명서*에서 [인터페이스 VPC 종단점(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)을 참조하세요.
Athena는 VPC 내부에 있는 모든 [API 작업](https://docs.aws.amazon.com/athena/latest/APIReference/API_Operations.html)에 대한 호출 수행을 지원합니다.
## Athena에 대한 VPC 엔드포인트 정책 생성
Athena에 대한 Amazon VPC 엔드포인트 정책을 생성하여 다음과 같은 제한 사항을 지정할 수 있습니다.
+ **보안 주체** - 작업을 수행할 수 있는 보안 주체.
+ **작업** - 수행할 수 있는 작업.
+ **리소스** - 작업을 수행할 있는 리소스.
+ **신뢰할 수 있는 ID만** - `aws:PrincipalOrgId` 조건을 사용하여 AWS 조직의 일부인 보안 인증으로만 액세스를 제한합니다. 이렇게 하면 의도하지 않은 보안 주체의 액세스를 방지할 수 있습니다.
+ **신뢰할 수 있는 리소스만** - `aws:ResourceOrgId` 조건을 사용하여 의도하지 않은 리소스에 대한 액세스를 방지합니다.
+ **신뢰할 수 있는 ID 및 리소스만** - 의도하지 않은 보안 주체 및 리소스에 대한 액세스를 방지할 수 있는 VPC 엔드포인트에 대한 결합된 정책을 생성합니다.
자세한 내용은 *Amazon VPC 사용 설명서*의 [엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) 및 AWS 백서 *Building a data perimeter on AWS*의 [Appendix 2 – VPC endpoint policy examples](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/appendix-2-vpc-endpoint-policy-examples.html)를 참조하세요.
**Example - VPC 엔드포인트 정책**
다음 예제에서는 조직 ID로 조직 리소스에 대한 요청을 허용하고 AWS 서비스 보안 주체의 요청을 허용합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "my-org-id",
"aws:ResourceOrgID": "my-org-id"
}
}
},
{
"Sid": "AllowRequestsByAWSServicePrincipals",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:PrincipalIsAWSService": "true"
}
}
}
]
}
```
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 공유 서브넷의 VPC 엔드포인트
공유하는 서브넷의 VPC 엔드포인트는 생성, 설명, 수정 또는 삭제할 수 없습니다. 그러나 공유하는 서브넷의 VPC 엔드포인트를 사용할 수는 있습니다. VPC 공유에 관한 자세한 내용은 *Amazon VPC 사용 설명서*의 [다른 계정과 VPC 공유](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)를 참조하십시오.
# Athena의 구성 및 취약성 분석
Athena는 서버가 없으므로 설정이나 관리의 대상이 되는 인프라가 없습니다. AWS가 게스트 운영 체제(OS), 데이터베이스 패치, 방화벽 구성, 재해 복구 등의 기본 보안 작업을 처리합니다. 적합한 제3자가 이 절차를 검토하고 인증하였습니다. 자세한 내용은 다음 AWS 리소스를 참조하세요.
+ [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [보안, 자격 증명 및 규정 준수를 위한 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/)
# Athena를 사용하여 AWS Lake Formation에 등록된 데이터 쿼리
[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)을 사용하면 Amazon S3에 저장된 데이터 또는 페더레이션된 데이터 소스를 통해 액세스하는 데이터를 읽는 Athena 쿼리를 사용할 때 데이터베이스, 테이블 및 열 수준 액세스 정책을 정의하고 적용할 수 있습니다. Lake Formation은 Amazon S3에 저장된 데이터 또는 페더레이션된 데이터 카탈로그에 대한 권한 및 거버넌스 계층을 제공합니다. Lake Formation의 권한 계층을 사용하여 데이터베이스, 테이블, 열과 같은 데이터 카탈로그 객체를 읽을 수 있는 권한을 부여하거나 취소할 수 있습니다. Lake Formation은 권한 관리를 단순화하며, 이를 통해 데이터에 대한 세분화된 액세스 제어를 구현할 수 있습니다.
Athena를 사용하여 Lake Formation에 등록된 데이터와 Lake Formation에 등록되지 않은 데이터를 모두 쿼리할 수 있습니다.
Lake Formation 권한은 Athena를 사용하여 Lake Formation에 등록된 Amazon S3 위치 또는 데이터 카탈로그에서 원본 데이터를 쿼리할 때 적용됩니다. Lake Formation 권한은 등록된 Amazon S3 데이터 위치 또는 데이터 카탈로그를 가리키는 데이터베이스 및 테이블을 생성할 때도 적용됩니다.
Lake Formation 권한은 객체를 쓸 때 적용되지 않으며 Lake Formation에 등록되지 않은 데이터나 메타데이터를 쿼리할 때도 적용되지 않습니다. Lake Formation에 등록되지 않은 원본 데이터와 메타데이터의 경우 액세스 권한이 IAM 권한 정책 및 AWS Glue 작업에 따라 결정됩니다. Amazon S3의 Athena 쿼리 결과 위치는 Lake Formation에 등록할 수 없으며, Amazon S3에 대한 IAM 권한 정책이 액세스 권한을 제어합니다. 또한 Lake Formation 권한은 Athena 쿼리 기록에 적용되지 않습니다. Athena 작업 그룹을 사용하여 쿼리 기록에 대한 액세스를 제어할 수 있습니다.
Lake Formation에 대한 자세한 내용은 [Lake Formation FAQ](https://aws.amazon.com/lake-formation/faqs/) 및 [AWS Lake Formation 개발자 안내서](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)를 참조하세요.
## 기존 데이터베이스 및 테이블에 Lake Formation 권한 적용
Athena를 처음 사용하고 Lake Formation을 사용하여 쿼리 데이터에 대한 액세스를 구성하는 경우 사용자가 데이터를 읽고 메타데이터를 생성할 수 있도록 IAM 정책을 구성할 필요가 없습니다. Lake Formation을 사용하여 권한을 관리할 수 있습니다.
Lake Formation에 데이터를 등록하고 IAM 권한 정책을 업데이트할 필요는 없습니다. 데이터가 Lake Formation에 등록되지 않은 경우에도 적절한 권한을 가진 Athena 사용자는 Lake Formation에 등록되지 않은 데이터를 계속 쿼리할 수 있습니다.
Lake Formation에 등록되지 않은 Amazon S3 데이터를 쿼리하는 기존 Athena 사용자가 있는 경우 Amazon S3(해당되는 경우 AWS Glue Data Catalog)에 대한 IAM 권한을 업데이트할 수 있으며 Lake Formation 권한을 사용하여 중앙에서 사용자 액세스를 관리할 수 있습니다. Amazon S3 데이터 위치 읽기 권한의 경우, 리소스 기반 정책 및 자격 증명 기반 정책을 업데이트하여 Amazon S3 권한을 수정할 수 있습니다. 메타데이터 액세스의 경우, AWS Glue를 사용하여 세분화된 액세스 제어를 위해 리소스 수준 정책을 구성하면 Lake Formation 권한을 사용하여 대신 액세스를 관리할 수 있습니다.
자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [AWS Glue Data Catalog의 데이터베이스 및 테이블에 대한 액세스 구성](fine-grained-access-to-glue-resources.md) 및 [AWS Lake Formation 모델로 AWS Glue 데이터 권한 업그레이드](https://docs.aws.amazon.com/lake-formation/latest/dg/upgrade-glue-lake-formation.html)를 참조하세요.
**Topics**
+ [
## 기존 데이터베이스 및 테이블에 Lake Formation 권한 적용
](#lf-athena-apply-lf-permissions-to-existing-databases-and-tables)
+ [데이터 액세스 작동 방식](lf-athena-access.md)
+ [고려 사항 및 제한 사항](lf-athena-limitations.md)
+ [크로스 계정 액세스](lf-athena-limitations-cross-account.md)
+ [사용자 권한 관리](lf-athena-user-permissions.md)
+ [페더레이션 액세스를 위해 Lake Formation과 JDBC 또는 ODBC 사용](security-athena-lake-formation-jdbc.md)
# Athena가 Lake Formation에 등록된 데이터에 액세스하는 방식
이 단원에서 설명하는 액세스 워크플로는 Lake Formation에 등록된 Amazon S3 위치, 데이터 카탈로그 또는 메타데이터 객체에 대해 Athena 쿼리를 실행할 때 적용됩니다. 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [데이터 레이크 등록](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)을 참조하세요. Lake Formation 관리자는 데이터 등록 이외에도 데이터 카탈로그의 메타데이터, AWS Glue Data Catalog 또는 Amazon S3의 데이터 위치에 대한 액세스 권한을 부여하거나 취소하는 Lake Formation 권한을 적용합니다. 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [메타데이터 및 데이터에 대한 보안 및 액세스 제어](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions)를 참조하세요.
Athena 보안 주체(사용자, 그룹 또는 역할)가 Lake Formation을 사용하여 등록된 데이터에 대해 쿼리를 실행할 때마다 Lake Formation은 해당 보안 주체가 쿼리에 적합한 데이터베이스, 테이블, 데이터 소스 위치에 대한 적절한 Lake Formation 권한을 가지고 있는지 확인합니다. 보안 주체에 액세스 권한이 있으면 Lake Formation이 일시적인 자격 증명을 Athena에 *발급(vend)*하고 쿼리가 실행됩니다.
다음 다이어그램은 Lake Formation에 등록된 Amazon S3 위치 또는 데이터 카탈로그가 있는 테이블에서 Athena의 자격 증명 발급이 가상 `SELECT` 쿼리에 대해 쿼리별로 작동하는 방식을 보여줍니다.
![\[Athena 테이블의 쿼리를 위한 보안 인증 벤딩 워크플로.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/lake-formation-athena-security.png)
1. 보안 주체가 Athena에서 `SELECT` 쿼리를 실행합니다.
1. Athena는 쿼리를 분석하고 Lake Formation 권한을 검사하여 보안 주체에게 테이블 및 테이블 열에 대한 액세스 권한이 부여되었는지 확인합니다.
1. 보안 주체에게 액세스 권한이 있는 경우 Athena는 Lake Formation으로부터 자격 증명을 요청합니다. 보안 주체에게 액세스 권한이 *없는* 경우 Athena에서 액세스 거부 오류가 발생합니다.
1. Lake Formation은 Amazon S3 또는 카탈로그에서 데이터를 읽을 때 사용할 자격 증명을, 허용된 열 목록과 함께 Athena에게 발급합니다.
1. Athena는 Lake Formation 임시 자격 증명을 사용하여 Amazon S3 또는 카탈로그에서 데이터를 쿼리합니다. 쿼리가 완료되면 Athena가 자격 증명을 삭제합니다.
# Lake Formation에 등록된 데이터를 쿼리할 때의 고려 사항 및 제한 사항
Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리할 때는 다음을 고려하세요. 추가 정보는 *AWS Lake Formation 개발자 안내서*의 [AWS Lake Formation의 알려진 문제](https://docs.aws.amazon.com/lake-formation/latest/dg/limitations.html)를 참조하세요.
**Topics**
+ [일부 상황에서 열에 대한 데이터 권한이 없는 사용자에게 표시되는 열 메타데이터](#lf-athena-limitations-column-metadata)
+ [뷰에 대한 Lake Formation 권한 작업](#lf-athena-limitations-permissions-to-views)
+ [
## Iceberg DDL 지원
](#lf-athena-limitations-iceberg-ddl-operations)
+ [
## Lake Formation 세분화된 액세스 제어 및 Athena 작업 그룹
](#lf-athena-limitations-fine-grained-access-control)
+ [Lake Formation에 등록되지 않은 Amazon S3의 Athena 쿼리 결과 위치](#lf-athena-limitations-query-results-location)
+ [Athena 작업 그룹을 사용하여 쿼리 기록에 대한 액세스 제한](#lf-athena-limitations-use-workgroups-to-limit-access-to-query-history)
+ [Lake Formation에 등록된 CSE-KMS Amazon S3 위치를 Athena에서 쿼리할 수 없음](#lf-athena-limitations-cse-kms)
+ [Lake Formation에 등록된 분할된 데이터 위치는 테이블 하위 디렉터리에 있어야 함](#lf-athena-limitations-partioned-data-locations)
+ [CTAS(Create Table As Select) 쿼리에 Amazon S3 쓰기 권한 필요](#lf-athena-limitations-ctas-queries)
+ [
## 기본 데이터베이스에 대해 DESCRIBE 권한 필요
](#lf-athena-limitations-describe-default)
## Avro 및 Custom SerDe를 사용하여 일부 상황에서 권한이 없는 사용자에게 표시되는 열 메타데이터
Lake Formation 열 수준 권한 부여를 통해 사용자가 Lake Formation 권한이 없는 열의 데이터에 액세스하는 것을 방지할 수 있습니다. 그러나 특정 상황에서 사용자는 데이터에 대한 권한이 없는 열을 포함하여 테이블의 모든 열을 설명하는 메타데이터에 액세스할 수 있습니다.
이 현상은 열 메타데이터가 Apache Avro 스토리지 형식을 사용하거나 테이블 스키마가 SerDe(Serializer/Deserializer) 정의와 함께 테이블 속성에 정의된 사용자 지정 SerDe를 사용하는 테이블의 테이블 속성에 저장될 때 발생합니다. Lake Formation과 함께 Athena를 사용할 때는 Lake Formation에 등록한 테이블 속성의 콘텐츠를 검토하고, 가능한 경우 테이블 속성에 저장된 정보를 제한하여 민감한 메타데이터가 사용자에게 표시되지 않도록 하는 것이 좋습니다.
## Lake Formation 및 뷰 이해
Lake Formation에 등록된 데이터의 경우 Athena 사용자는 `VIEW`가 기반으로 하는 테이블, 열 및 소스 Amazon S3 데이터 위치에 대한 Lake Formation 권한이 있는 경우에만 `VIEW`를 생성할 수 있습니다. Athena에서 `VIEW`를 생성한 후 Lake Formation 권한을 `VIEW`에 적용할 수 있습니다. `VIEW`에는 열 수준 권한을 사용할 수 없습니다. `VIEW`에 대한 Lake Formation 권한은 있지만 뷰의 기반이 되는 테이블 및 열에 대한 권한이 없는 사용자는 `VIEW`를 사용하여 데이터를 쿼리할 수 없습니다. 그러나 이러한 혼합 권한이 있는 사용자는 `DESCRIBE VIEW`, `SHOW CREATE VIEW` 및 `SHOW COLUMNS`와 같은 문을 사용하여 `VIEW` 메타데이터를 볼 수 있습니다. 그러므로 각 `VIEW`에 대한 Lake Formation 권한을 기본 테이블 권한에 맞춰야 합니다. 테이블에 정의된 셀 필터는 해당 테이블의 `VIEW`에 적용되지 않습니다. 리소스 링크 이름이 원래 계정의 리소스와 같아야 합니다. 크로스 계정 설정에서 뷰 작업을 수행할 때 추가 제한 사항이 있습니다. 계정 간에 공유되는 뷰에 대한 권한 설정에 대한 자세한 내용은 [크로스 계정 데이터 카탈로그 액세스 구성](lf-athena-limitations-cross-account.md)을 참조하세요.
## Iceberg DDL 지원
Athena는 현재 Lake Formation에 위치가 등록된 Iceberg 테이블에 대한 DDL 작업을 지원하지 않습니다. 이러한 Iceberg 테이블 중 하나에서 DDL 쿼리를 실행하려고 하면 Amazon S3 액세스 거부 오류가 반환되거나 쿼리 시간 초과로 실패할 수 있습니다. Iceberg 테이블에서 DDL 작업을 수행하려면 사용자가 Iceberg 테이블 위치에 직접 액세스할 수 있는 Amazon S3 권한이 있어야 합니다.
## Lake Formation 세분화된 액세스 제어 및 Athena 작업 그룹
동일한 Athena 작업 그룹의 사용자는 Lake Formation 세분화된 액세스 제어를 통해 작업 그룹에 액세스할 수 있도록 구성한 데이터를 볼 수 있습니다. Lake Formation에서 세분화된 액세스 제어를 사용하는 방법에 대한 자세한 내용은 *AWS 빅 데이터 블로그*의 [AWS Lake Formation을 사용하여 세분화된 액세스 제어 관리](https://aws.amazon.com/blogs/big-data/manage-fine-grained-access-control-using-aws-lake-formation/)를 참조하세요.
## Lake Formation에 등록되지 않은 Amazon S3의 Athena 쿼리 결과 위치
Amazon S3의 Athena 쿼리 결과 위치는 Lake Formation에 등록할 수 없습니다. Lake Formation 권한은 이러한 위치에 대한 액세스를 제한하지 않습니다. 액세스를 제한하지 않는 한 Athena 사용자는 데이터에 대한 Lake Formation 권한이 없어도 쿼리 결과 파일과 메타데이터에 액세스할 수 있습니다. 이를 방지하려면 작업 그룹을 사용하여 쿼리 결과의 위치를 지정하고 작업 그룹 구성원에 맞게 Lake Formation 권한을 조정하는 것이 좋습니다. 그런 다음 IAM 권한 정책을 사용하여 쿼리 결과 위치에 대한 액세스를 제한할 수 있습니다. 쿼리 결과에 대한 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요.
## Athena 작업 그룹을 사용하여 쿼리 기록에 대한 액세스 제한
Athena 쿼리 기록은 저장된 쿼리 및 전체 쿼리 문자열 목록을 드러냅니다. 작업 그룹을 사용하여 쿼리 기록에 대한 액세스를 분리하지 않으면 Lake Formation에서 데이터를 쿼리할 권한이 없는 Athena 사용자가 열 이름, 선택 기준 등을 비롯해 해당 데이터에 대해 실행되는 쿼리 문자열을 볼 수 있습니다. 작업 그룹을 사용하여 쿼리 기록을 분리하고 Athena 작업 그룹 구성원에 맞게 Lake Formation 권한을 조정하여 액세스를 제한하는 것이 좋습니다. 자세한 내용은 [작업 그룹을 사용하여 쿼리 액세스 및 비용 제어](workgroups-manage-queries-control-costs.md) 섹션을 참조하세요.
## Lake Formation에 등록된 CSE\$1KMS 암호화 테이블 쿼리
다음과 같은 특성을 가진 Apache Iceberg와 같은 OTF(오픈 테이블 형식) 테이블은 Athena로 쿼리할 수 없습니다.
+ 테이블은 Lake Formation에 등록된 Amazon S3 데이터 위치를 기반으로 합니다.
+ Amazon S3의 객체가 CSE(클라이언트 측 암호화)를 사용하여 암호화됩니다.
+ 암호화에서는 AWS KMS 고객 관리형 키(`CSE_KMS`)를 사용합니다.
`CSE_KMS` 키로 암호화된 OTF가 아닌 테이블을 쿼리하려면 CSE 암호화에 사용하는 AWS KMS 키의 정책에 다음 블록을 추가하세요. **은 데이터를 암호화하는 AWS KMS 키의 ARN입니다. **은 Lake Formation에 Amazon S3 위치를 등록하는 IAM 역할의 ARN입니다.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "kms:Decrypt",
"Resource": "",
"Condition": {
"ArnLike": {
"aws:PrincipalArn": ""
}
}
}
```
## Lake Formation에 등록된 분할된 데이터 위치는 테이블 하위 디렉터리에 있어야 함
Lake Formation에 등록된 분할된 테이블은 Amazon S3 테이블의 하위 디렉터리인 디렉터리에 분할된 데이터가 있어야 합니다. 예를 들어, 위치가 `s3://amzn-s3-demo-bucket/mytable`이고 파티션이 `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/mytable/dt=2019-07-12` 등인 테이블은 Lake Formation에 등록하고 Athena를 사용하여 쿼리할 수 있습니다. 반면, 위치가 `s3://amzn-s3-demo-bucket/mytable`이고 파티션이 `s3://amzn-s3-demo-bucket/dt=2019-07-11`, `s3://amzn-s3-demo-bucket/dt=2019-07-12` 등인 테이블은 Lake Formation에 등록할 수 없습니다. 이러한 파티션은 `s3://amzn-s3-demo-bucket/mytable`의 하위 디렉토리가 아니기 때문에 Athena에서 읽을 수도 없습니다.
## CTAS(Create Table As Select) 쿼리에 Amazon S3 쓰기 권한 필요
CTAS(Create Table As Statements)에는 테이블의 Amazon S3 위치에 대한 쓰기 액세스 권한이 필요합니다. Lake Formation에 등록된 데이터에 대해 CTAS 쿼리를 실행하려면 Athena 사용자는 데이터 위치를 읽을 수 있는 적절한 Lake Fomation 권한과 더불어 테이블의 Amazon S3 위치에 쓸 수 있는 IAM 권한이 있어야 합니다. 자세한 내용은 [쿼리 결과에서 테이블 생성(CTAS)](ctas.md) 단원을 참조하세요.
## 기본 데이터베이스에 대해 DESCRIBE 권한 필요
Lake Formation에서 볼 수 있으려면 `default` 데이터베이스에 대한 Lake Formation `DESCRIBE` 권한이 필요합니다. 다음 예제에서는 AWS CLI 명령으로 AWS 계정 `111122223333`의 `datalake_user1` 사용자에게 `default` 데이터베이스에 대한 `DESCRIBE` 권한을 부여합니다.
```
aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Database": {"Name":"default"}}
```
자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [DESCRIBE](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html#perm-describe)를 참조하세요.
# 크로스 계정 데이터 카탈로그 액세스 구성
다른 계정의 데이터 카탈로그에 액세스하기 위해 Athena의 계정 간 AWS Glue 기능을 사용하거나 또는 Lake Formation에서 계정 간 액세스를 설정할 수 있습니다.
## 옵션 A: Athena에서 크로스 계정 데이터 카탈로그 액세스 구성
Athena의 계정 간 AWS Glue 카탈로그 기능을 사용해 자신의 계정에 카탈로그를 등록할 수 있습니다. 이 기능은 Athena 엔진 버전 2 이상 버전에서만 사용할 수 있으며 계정 간 동일한 리전 사용으로 제한됩니다. 자세한 내용은 [다른 계정의 데이터 카탈로그 등록](data-sources-glue-cross-account.md) 섹션을 참조하세요.
공유할 Data Catalog에 AWS Glue에서 구성된 리소스 정책이 있는 경우 AWS Resource Access Manager에 액세스할 수 있도록 업데이트해야 하고 계정 A의 Data Catalog를 사용할 수 있는 권한을 계정 B에 부여해야 합니다.
자세한 내용은 [AWS Glue 데이터 카탈로그에 대한 크로스 계정 액세스 구성](security-iam-cross-account-glue-catalog-access.md) 섹션을 참조하세요.
## 옵션 B: Lake Formation에서 크로스 계정 액세스 구성
AWS Lake Formation에서는 하나의 계정을 사용하여 중앙 데이터 카탈로그를 관리할 수 있습니다. 이 기능을 사용해 [계정 간 액세스](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)를 데이터 카탈로그 메타데이터 및 기본 데이터에 구현할 수 있습니다. 예를 들어 소유자 계정은 다른 (수신자) 계정에게 테이블에 대한 `SELECT` 권한을 부여할 수 있습니다.
Athena 쿼리 편집기에 표시되는 공유 데이터베이스 또는 테이블의 경우 Lake Formation에서 공유 데이터베이스 또는 테이블에 연결되는 [리소스 링크를 생성](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)합니다. Lake Formation의 수신자 계정이 소유자의 테이블을 쿼리하면 [CloudTrail](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)은 수신자 계정과 소유자 계정의 로그에 데이터 액세스 이벤트를 추가합니다.
공유된 뷰의 경우 다음 사항에 유의하십시오.
+ 쿼리는 소스 테이블이나 뷰가 아닌 대상 리소스 링크에서 실행되며 출력이 대상 계정에 공유됩니다.
+ 뷰만 공유하는 것으로는 충분하지 않습니다. 뷰 생성과 관련된 모든 테이블은 계정 간 공유의 일부여야 합니다.
+ 공유된 리소스에 생성된 리소스 링크의 이름이 소유자 계정의 리소스 이름과 일치해야 합니다. 이름이 일치하지 않으면 Failed analyzing stored view 'awsdatacatalog.*my-lf-resource-link*.*my-lf-view*': line 3:3: Schema *schema\$1name* does not exist와 같은 오류 메시지가 표시됩니다.
Lake Formation에서 계정 간 액세스에 대한 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 다음 리소스를 참조하세요.
[교차 계정 액세스](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-cross-account.html)
[Lake Formation에서 리소스 링크가 작동하는 방식](https://docs.aws.amazon.com/lake-formation/latest/dg/resource-links-about.html)
[계정 간 CloudTrail 로깅](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-logging.html)
# Lake Formation 및 Athena 사용자 권한 관리
Lake Formation은 Lake Formation에 등록된 Amazon S3 데이터 스토어 또는 페더레이션된 카탈로그를 쿼리할 수 있도록 자격 증명을 공급합니다. 이전에 IAM 정책을 사용하여 Amazon S3에서 카탈로그 또는 데이터 위치를 읽을 수 있는 권한을 허용하거나 거부한 경우 Lake Formation 권한을 대신 사용할 수 있습니다. 그러나 다른 IAM 권한이 여전히 필요합니다.
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
다음 단원에서는 Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리하는 데 필요한 권한을 요약합니다. 자세한 정보는 *AWS Lake Formation 개발자 안내서*의 [AWS Lake Formation의 보안](https://docs.aws.amazon.com/lake-formation/latest/dg/security.html)을 참조하세요.
**Topics**
+ [
## Lake Formation 및 Athena에 대한 자격 증명 기반 권한
](#lf-athena-user-permissions-identity-based)
+ [
## Athena 쿼리 결과 위치에 대한 Amazon S3 권한
](#lf-athena-user-permissions-query-results-locations)
+ [
## 쿼리 기록에 대한 Athena 작업 그룹 멤버십
](#lf-athena-user-permissions-workgroup-memberships-query-history)
+ [
## 데이터에 대한 Lake Formation 권한
](#lf-athena-user-permissions-data)
+ [
## Amazon S3 위치에 쓸 수 있는 IAM 권한
](#lf-athena-user-permissions-s3-write)
+ [
## 암호화된 데이터, 메타데이터 및 Athena 쿼리 결과에 대한 권한
](#lf-athena-user-permissions-encrypted)
+ [
## 외부 계정의 Amazon S3 버킷에 대한 리소스 기반 권한(선택 사항)
](#lf-athena-user-permissions-s3-cross-account)
## Lake Formation 및 Athena에 대한 자격 증명 기반 권한
Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리하는 사용자는 `lakeformation:GetDataAccess` 작업을 허용하는 IAM 권한 정책이 있어야 합니다. 이 작업을 허용하는 정책은 [AWS 관리형 정책: AmazonAthenaFullAccess](security-iam-awsmanpol.md#amazonathenafullaccess-managed-policy)입니다. 인라인 정책을 사용하는 경우 이 작업을 허용하도록 권한 정책을 업데이트하세요.
Lake Formation에서 *데이터 레이크 관리자*는 데이터베이스 및 테이블과 같은 메타데이터 객체를 생성하고, 다른 사용자에게 Lake Formation 권한을 부여하며, 새로운 Amazon S3 위치 또는 데이터 카탈로그를 등록할 수 있는 권한이 있습니다. 새 위치를 등록하려면 Lake Formation의 서비스 연결 역할에 대한 권한이 필요합니다. 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [데이터 레이크 관리자 생성](https://docs.aws.amazon.com/lake-formation/latest/dg/getting-started-setup.html#create-data-lake-admin) 및 [Lake Formation의 서비스 연결 역할 권한](https://docs.aws.amazon.com/lake-formation/latest/dg/service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
Lake Formation 사용자는 Athena를 사용하여 데이터 레이크 관리자가 부여한 Lake Formation 권한에 따라 데이터베이스, 테이블, 테이블 열, 기본 Amazon S3 데이터 스토어 또는 카탈로그를 쿼리할 수 있습니다. 사용자는 데이터베이스나 테이블을 만들거나 Lake Formation에 새 Amazon S3 위치를 등록할 수 없습니다. 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [데이터 레이크 사용자 생성](https://docs.aws.amazon.com/lake-formation/latest/dg/cloudtrail-tut-create-lf-user.html)을 참조하세요.
Athena에서 Athena 작업 그룹에 대한 권한을 포함하여 자격 증명 기반 권한 정책은 여전히 Amazon Web Services 계정 사용자의 Athena 작업에 대한 액세스를 제어합니다. 또한 Athena 드라이버에서 사용할 수 있는 SAML 기반 인증을 통해 연합 액세스가 제공될 수 있습니다. 자세한 내용은 [작업 그룹을 사용하여 쿼리 액세스 및 비용 제어](workgroups-manage-queries-control-costs.md), [IAM 정책을 사용하여 작업 그룹 액세스 제어](workgroups-iam-policy.md), [Athena API에 대한 페더레이션 액세스 활성화](access-federation-saml.md) 단원을 참조하세요.
자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [Lake Formation 권한 부여](https://docs.aws.amazon.com/lake-formation/latest/dg/lake-formation-permissions.html)를 참조하세요.
## Athena 쿼리 결과 위치에 대한 Amazon S3 권한
Amazon S3의 Athena 쿼리 결과 위치는 Lake Formation에 등록할 수 없습니다. Lake Formation 권한은 이러한 위치에 대한 액세스를 제한하지 않습니다. 액세스를 제한하지 않는 한 Athena 사용자는 데이터에 대한 Lake Formation 권한이 없어도 쿼리 결과 파일과 메타데이터에 액세스할 수 있습니다. 이를 방지하려면 작업 그룹을 사용하여 쿼리 결과의 위치를 지정하고 작업 그룹 구성원에 맞게 Lake Formation 권한을 조정하는 것이 좋습니다. 그런 다음 IAM 권한 정책을 사용하여 쿼리 결과 위치에 대한 액세스를 제한할 수 있습니다. 쿼리 결과에 대한 자세한 내용은 [쿼리 결과 및 최근 쿼리 작업](querying.md) 단원을 참조하세요.
## 쿼리 기록에 대한 Athena 작업 그룹 멤버십
Athena 쿼리 기록은 저장된 쿼리 및 전체 쿼리 문자열 목록을 드러냅니다. 작업 그룹을 사용하여 쿼리 기록에 대한 액세스를 분리하지 않으면 Lake Formation에서 데이터를 쿼리할 권한이 없는 Athena 사용자가 열 이름, 선택 기준 등을 비롯해 해당 데이터에 대해 실행되는 쿼리 문자열을 볼 수 있습니다. 작업 그룹을 사용하여 쿼리 기록을 분리하고 Athena 작업 그룹 구성원에 맞게 Lake Formation 권한을 조정하여 액세스를 제한하는 것이 좋습니다. 자세한 내용은 [작업 그룹을 사용하여 쿼리 액세스 및 비용 제어](workgroups-manage-queries-control-costs.md) 섹션을 참조하세요.
## 데이터에 대한 Lake Formation 권한
Lake Formation을 사용할 수 있는 기본 권한 외에도 Athena 사용자는 쿼리하는 리소스에 액세스할 수 있는 Lake Formation 권한이 있어야 합니다. 이러한 권한은 Lake Formation 관리자가 부여하고 관리합니다. 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [메타데이터 및 데이터에 대한 보안 및 액세스 제어](https://docs.aws.amazon.com/lake-formation/latest/dg/security-data-access.html#security-data-access-permissions)를 참조하세요.
## Amazon S3 위치에 쓸 수 있는 IAM 권한
Amazon S3에 대한 Lake Formation 권한에는 Amazon S3에 쓸 수 있는 권한이 포함되어 있지 않습니다. CTAS(Create Table As Statements)에는 테이블의 Amazon S3 위치에 대한 쓰기 액세스 권한이 필요합니다. Lake Formation에 등록된 데이터에 대해 CTAS 쿼리를 실행하려면 Athena 사용자는 데이터 위치를 읽을 수 있는 적절한 Lake Fomation 권한과 더불어 테이블의 Amazon S3 위치에 쓸 수 있는 IAM 권한이 있어야 합니다. 자세한 내용은 [쿼리 결과에서 테이블 생성(CTAS)](ctas.md) 단원을 참조하세요.
## 암호화된 데이터, 메타데이터 및 Athena 쿼리 결과에 대한 권한
Amazon S3의 기본 소스 데이터와 Lake Formation에 등록된 카탈로그의 메타데이터를 암호화할 수 있습니다. Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리할 때 Athena가 쿼리 결과의 암호화를 처리하는 방식에는 변화가 없습니다. 자세한 내용은 [Amazon S3에 저장된 Athena 쿼리 결과 암호화](encrypting-query-results-stored-in-s3.md) 섹션을 참조하세요.
+ **소스 데이터 암호화** – Amazon S3 데이터 위치 소스 데이터의 암호화가 지원됩니다. Lake Formation에 등록된 암호화 Amazon S3 위치를 쿼리하는 Athena 사용자는 데이터를 암호화하고 해독할 수 있는 권한이 필요합니다. 요구 사항에 대한 자세한 내용은 [지원되는 Amazon S3 암호화 옵션](encryption.md#encryption-options-S3-and-Athena) 및 [Amazon S3의 암호화 데이터 권한](encryption.md#permissions-for-encrypting-and-decrypting-data) 섹션을 참조하세요.
+ **메타데이터 암호화** - AWS Glue Data Catalog의 메타데이터를 암호화할 수 있습니다. Athena를 사용하는 보안 주체의 경우, 자격 증명 기반 정책에서 메타데이터 암호화에 사용된 키에 대한 `"kms:GenerateDataKey"`, `"kms:Decrypt"` 및 `"kms:Encrypt"` 작업을 허용해야 합니다. 자세한 내용은 *AWS Glue 개발자 안내서*의 [데이터 카탈로그 암호화](https://docs.aws.amazon.com/glue/latest/dg/encrypt-glue-data-catalog.html)와 [Athena에서 AWS Glue Data Catalog의 암호화된 메타데이터에 대한 액세스 구성](access-encrypted-data-glue-data-catalog.md) 단원을 참조하세요.
## 외부 계정의 Amazon S3 버킷에 대한 리소스 기반 권한(선택 사항)
다른 계정에서 Amazon S3 데이터 위치를 쿼리하려면 리소스 기반 IAM 정책(버킷 정책)이 해당 위치에 대한 액세스를 허용해야 합니다. 자세한 내용은 [Athena에서 Amazon S3 버킷에 대한 크로스 계정 액세스 구성](cross-account-permissions.md) 섹션을 참조하세요.
다른 계정의 카탈로그에 액세스하는 방법에 대한 자세한 내용은 [옵션 A: Athena에서 크로스 계정 데이터 카탈로그 액세스 구성](lf-athena-limitations-cross-account.md#lf-athena-limitations-cross-account-glue) 섹션을 참조하세요.
# Athena에 대한 페더레이션 액세스를 위해 Lake Formation과 JDBC 또는 ODBC 드라이버 사용
Athena JDBC 및 ODBC 드라이버는 Okta 및 Microsoft Active Directory Federation Services(AD FS) 자격 증명 공급자를 사용하여 Athena에 SAML 2.0 연합을 지원합니다. Amazon Athena와 AWS Lake Formation이(가) 통합되면서 기업 자격 증명으로 Athena에 대한 SAML 기반 인증이 가능해졌습니다. Lake Formation과 AWS Identity and Access Management(IAM)을(를) 사용하면 SAML 사용자가 사용할 수 있는 데이터에 대해 세분화된 열 수준 액세스 제어를 유지할 수 있습니다. Athena JDBC 및 ODBC 드라이버가 있으면 도구 또는 프로그래밍 방식 액세스에 연합 액세스를 이용할 수 있습니다.
Athena 사용하여 Lake Formation에서 제어하는 데이터 원본에 액세스하려면 자격 증명 공급자(IdP)와 AWS Identity and Access Management(IAM) 역할을 구성하여 SAML 2.0 연합을 활성화해야 합니다. 자세한 단계는 [자습서: Lake Formation 및 JDBC를 사용하여 Athena에 대한 Okta 사용자의 페더레이션 액세스 구성](security-athena-lake-formation-jdbc-okta-tutorial.md) 단원을 참조하세요.
## 사전 조건
연합 액세스를 위해 Amazon Athena 및 Lake Formation을 사용하려면 다음 요구 사항을 충족해야 합니다.
+ Okta 또는 Microsoft AD FS(Active Directory Federation Services) 등의 기존 SAML 기반 자격 증명 공급자를 이용하여 회사 자격 증명을 관리합니다.
+ AWS Glue Data Catalog를 메타데이터 스토어로 사용합니다.
+ AWS Glue Data Catalog의 데이터베이스, 테이블 및 열에 액세스할 수 있는 권한을 Lake Formation에서 정의하고 관리합니다. 자세한 내용은 [AWS Lake Formation 개발자 안내서](https://docs.aws.amazon.com/lake-formation/latest/dg/)를 참조하세요.
+ [Athena JDBC 드라이버](https://docs.aws.amazon.com/athena/latest/ug/connect-with-jdbc.html) 버전 2.0.14 이상 또는 [Athena ODBC 드라이버](connect-with-odbc.md) 버전 1.1.3 이상을 사용합니다.
## 고려 사항 및 제한 사항
Athena JDBC 또는 ODBC 드라이버와 Lake Formation을 사용하여 Athena 대한 연합 액세스를 구성할 때는 다음 사항에 유의해야 합니다.
+ 현재 Athena JDBC 및 ODBC 드라이버는 Okta, Microsoft Active Directory Federation Services(AD FS) 및 Azure AD ID 제공업체를 지원합니다. Athena JDBC 드라이버에는 다른 자격 증명 공급자를 사용할 수 있게 확장 가능한 일반 SAML 클래스가 있지만 Athena에 사용할 다른 자격 증명 공급자(IdP)를 활성화하는 사용자 지정 익스텐션에 대한 지원이 제한될 수 있습니다.
+ JDBC 및 ODBC 드라이버를 사용한 연동 액세스는 IAM Identity Center의 신뢰할 수 있는 ID 전파 기능과 호환되지 않습니다.
+ 현재는 Athena 콘솔을 사용하여 Athena에서의 IdP 및 SAML 사용 지원을 구성할 수 없습니다. 이 지원을 구성하려면 서드 파티 자격 증명 공급자, Lake Formation 및 IAM 관리 콘솔, JDBC 또는 ODBC 드라이버 클라이언트를 사용합니다.
+ 개발자는 Lake Formation 및 Athena에 사용할 자격 증명 공급자 및 SAML을 구성하기 전에 [SAML 2.0 사양](https://www.oasis-open.org/standards#samlv2.0)을 이해하고 자신의 자격 증명 공급자에서 어떻게 작동하는지 파악해야 합니다.
+ SAML 공급자와 Athena JDBC 및 ODBC 드라이버는 서드 파티에서 제공하므로 그 사용과 관련된 문제에 대해 AWS를 통한 지원은 제한될 수 있습니다.
**Topics**
+ [
## 사전 조건
](#security-athena-lake-formation-jdbc-prerequisites)
+ [
## 고려 사항 및 제한 사항
](#security-athena-lake-formation-jdbc-considerations-and-limitations)
+ [
# 자습서: Lake Formation 및 JDBC를 사용하여 Athena에 대한 Okta 사용자의 페더레이션 액세스 구성
](security-athena-lake-formation-jdbc-okta-tutorial.md)
# 자습서: Lake Formation 및 JDBC를 사용하여 Athena에 대한 Okta 사용자의 페더레이션 액세스 구성
이 자습서에서는 Athena의 SAML 기반 연합 사용을 활성화하기 위해 Okta, AWS Lake Formation, AWS Identity and Access Management 권한 및 Athena JDBC 드라이버를 구성하는 방법을 보여줍니다 Lake Formation은 SAML 기반 사용자에게 Athena에서 사용 가능한 데이터에 대해 세분화된 액세스 제어를 제공합니다. 이 구성을 설정하기 위해 자습서에서는 Okta 개발자 콘솔, AWS IAM 및 Lake Formation 콘솔, SQL Workbench/J tool을 사용합니다.
**사전 조건**
이 자습서는 다음을 이미 완료했다고 가정합니다.
+ Amazon Web Services 계정을 생성했습니다. 계정을 만들려면 [Amazon Web Services 홈페이지](https://aws.amazon.com/)를 방문하세요.
+ Amazon S3에서 Athena에 대한 [쿼리 결과 위치를 설정](query-results-specify-location.md)했습니다.
+ Lake Formation에 [Amazon S3 데이터 버킷 위치를 등록](https://docs.aws.amazon.com/lake-formation/latest/dg/register-data-lake.html)했습니다.
+ Amazon S3의 데이터를 가리키는 [AWS Glue 데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)의 [데이터베이스](https://docs.aws.amazon.com/glue/latest/dg/define-database.html) 및 [테이블](https://docs.aws.amazon.com/glue/latest/dg/tables-described.html)을 정의했습니다.
+ 테이블을 아직 정의하지 않았다면 [AWS Glue 크롤러를 실행](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html)하거나 Athena를 사용해 액세스하려는 데이터에 대해 [하나의 데이터베이스와 하나 이상의 테이블을 정의](work-with-data.md)합니다.
+ 이 자습서는 [뉴욕시 택시 이동 데이터 집합](https://registry.opendata.aws/nyc-tlc-trip-records-pds/)에 기반한 테이블을 사용합니다. 이 테이블은 [Registry of Open Data on AWS](https://registry.opendata.aws/)에 제공되어 있습니다. 이 자습서에서는 데이터베이스 이름 `tripdb`와 테이블 이름 `nyctaxi`를 사용합니다.
**Topics**
+ [
## 1단계: Okta 계정 생성
](#security-athena-lake-formation-jdbc-okta-tutorial-step-1-create-an-okta-account)
+ [
## 2단계: Okta에 사용자 및 그룹 추가
](#security-athena-lake-formation-jdbc-okta-tutorial-step-2-set-up-an-okta-application-for-saml-authentication)
+ [
## 3단계: SAML 인증을 위한 Okta 애플리케이션 설정
](#security-athena-lake-formation-jdbc-okta-tutorial-step-3-set-up-an-okta-application-for-saml-authentication)
+ [
## 4단계: AWS SAML 자격 증명 공급자 및 Lake Formation 액세스 IAM 역할 생성
](#security-athena-lake-formation-jdbc-okta-tutorial-step-4-create-an-aws-saml-identity-provider-and-lake-formation-access-IAM-role)
+ [
## 5단계: Okta 애플리케이션에 IAM 역할 및 SAML 자격 증명 공급자 추가
](#security-athena-lake-formation-jdbc-okta-tutorial-step-5-update-the-okta-application-with-the-aws-role-and-saml-identity-provider)
+ [
## 6단계: AWS Lake Formation을(를) 통해 사용자 및 그룹 권한 부여
](#security-athena-lake-formation-jdbc-okta-tutorial-step-6-grant-permissions-through-aws-lake-formation)
+ [
## 7단계: Athena JDBC 클라이언트를 통해 액세스 권한 확인
](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)
+ [
## 결론
](#security-athena-lake-formation-jdbc-okta-tutorial-conclusion)
+ [
## 관련 리소스
](#security-athena-lake-formation-jdbc-okta-tutorial-related-resources)
## 1단계: Okta 계정 생성
이 자습서는 Okta를 SAML 기반 자격 증명 공급자로 사용합니다. 아직 Okta 계정이 없다면 무료로 계정을 생성할 수 있습니다. SAML 인증을 위한 Okta 애플리케이션을 만들려면 Okta 계정이 필요합니다.
**Okta 계정을 생성하려면**
1. Okta를 사용하려면 [Okta 개발자 가입 페이지](https://developer.okta.com/signup/)를 탐색해 무료 Okta 평가판 계정을 만듭니다. 개발자 에디션 서비스는 Okta가 [developer.okta.com/pricing](https://developer.okta.com/pricing)에 지정한 한도까지 무료입니다.
1. 활성화 이메일을 받으면 계정을 활성화하세요.
Okta 도메인 이름이 할당됩니다. 참조용으로 도메인 이름을 저장합니다. 나중에 Athena에 연결하는 JDBC 문자열에 이 도메인 이름(**)을 사용합니다.
## 2단계: Okta에 사용자 및 그룹 추가
이 단계에서는 Okta 콘솔을 사용하여 다음 작업을 수행합니다.
+ 2개의 Okta 사용자를 만듭니다.
+ 2개의 Okta 그룹을 만듭니다.
+ 각 Okta 그룹에 1개의 Okta 사용자를 추가합니다.
**Okta에 사용자를 추가하려면**
1. Okta 계정을 활성화한 후 할당된 Okta 도메인에 관리 사용자로 로그인합니다.
1. 왼쪽 탐색 창에서 **디렉터리(Directory)**와 **사람(People)**을 차례로 선택합니다.
1. **사람 추가(Add Person)**를 선택해 JDBC 드라이버를 통해 Athena에 액세스할 새 사용자를 추가합니다.
![\[사람 추가(Add Person)를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-3.png)
1. **사람 추가(Add Person)** 대화 상자에 필수 정보를 입력합니다.
+ **이름(First name)**과 **성(Last name)**에 값을 입력합니다. 이 자습서에서는 *athena-okta-user*를 사용합니다.
+ **사용자 이름(Username)**과 **기본 이메일(Primary email)**을 입력합니다. 이 자습서에서는 *athena-okta-user@anycompany.com*을 사용합니다.
+ **암호(Password)**에서 **관리자별 설정(Set by admin)**을 선택한 다음 암호를 제공합니다. 이 자습서에서는 **사용자가 첫 로그인할 때 암호를 변경해야 함(User must change password on first login)** 옵션을 선택 취소했습니다. 각자의 보안 요구 사항은 다를 수 있습니다.
![\[Okta 애플리케이션에 사용자 추가\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4.png)
1. **다른 사용자 저장 및 추가(Save and Add Another)**를 선택합니다.
1. 다른 사용자에 대한 정보를 입력합니다. 이 예제에서는 비즈니스 분석가 사용자 *athena-ba-user@anycompany.com*를 추가합니다.
![\[Okta 애플리케이션에 사용자 추가\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4a.png)
1. **저장(Save)**을 선택합니다.
다음 절차에서는 “비즈니스 분석가” 그룹과 “개발자” 그룹을 추가하여 Athena JDBC 드라이버를 통해 두 Okta 그룹에 대한 액세스를 제공합니다.
**Okta 그룹을 추가하려면**
1. Okta 탐색 창에서 **디렉터리(Directory)**와 **그룹(Groups)**을 차례로 선택합니다.
1. **그룹(Groups)** 페이지에서 **그룹 추가(Add Group)**를 선택합니다.
![\[Add Group(그룹 추가)을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4c.png)
1. **그룹 추가(Add Group)** 대화 상자에 필수 정보를 입력합니다.
+ **이름(Name)**에 *lf-business-analyst*를 입력합니다.
+ **그룹 설명(Group Description)**에 *비즈니스 분석가*를 입력합니다.
![\[Okta 그룹 추가\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4d.png)
1. **Add Group(그룹 추가)**을 선택합니다.
1. **그룹(Groups)** 페이지에서 **그룹 추가(Add Group)**를 다시 선택합니다. 이번에는 개발자 그룹에 대한 정보를 입력합니다.
1. 필요한 정보를 입력합니다.
+ **이름(Name)**에 *lf-developer*를 입력합니다.
+ **그룹 설명(Group Description)**에 *개발자*를 입력합니다.
1. **Add Group(그룹 추가)**을 선택합니다.
이제 두 사용자와 두 그룹이 있으므로 각 그룹에 사용자를 추가할 준비가 되었습니다.
**그룹에 사용자를 추가하려면**
1. **그룹(Groups)** 페이지에서 방금 생성한 **lf-developer** 그룹을 선택합니다. 개발자로 생성한 Okta 사용자 중 하나를 이 그룹에 추가합니다.
![\[lf-developer를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4f.png)
1. **사람 관리(Manage People)**를 선택합니다.
![\[사람 관리(Manage People)를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4g.png)
1. **구성원 아님(Not Members)** 목록에서 **athena-okta-user**를 선택합니다.
![\[구성원 목록에 추가할 사용자를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4h.png)
사용자에 대한 항목이 왼쪽에 있는 **구성원 아님(Not Members)** 목록에서 오른쪽의 **구성원(Members)** 목록으로 이동합니다.
![\[Okta 사용자가 Okta 그룹에 추가되었습니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4i.png)
1. **저장**을 선택합니다.
1. **그룹으로 돌아가기(Back to Group)**를 선택하거나 **디렉터리(Directory)**를 선택한 다음 **그룹(Groups)**을 선택합니다.
1. **lf-business-analyst** 그룹을 선택합니다.
1. **사람 관리(Manage People)**를 선택합니다.
1. **athena-ba-user**를 **lf-business-analyst** 그룹의 **구성원** 목록에 추가한 다음 **저장(Save)**을 선택합니다.
1. **그룹으로 돌아가기(Back to Group)**를 선택하거나 **디렉터리(Directory)**, **그룹(Groups)**을 선택합니다.
이제 **그룹(Groups)** 페이지에서 각 그룹에 한 명의 Okta 사용자가 있는 것을 볼 수 있습니다.
![\[Okta 콘솔의 각 Okta 그룹에 한 명의 사용자가 추가되었습니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-4j.png)
## 3단계: SAML 인증을 위한 Okta 애플리케이션 설정
이 단계에서는 Okta 개발자 콘솔을 사용하여 다음 작업을 수행합니다.
+ AWS에 사용할 SAML 애플리케이션을 추가합니다.
+ Okta 사용자에게 애플리케이션을 할당합니다.
+ Okta 그룹에게 애플리케이션을 할당합니다.
+ 나중에 AWS에 사용할 수 있도록 최종적인 자격 증명 공급자 메타데이터를 다운로드합니다.
**SAML 인증을 위한 애플리케이션을 추가하려면**
1. Okta 탐색 창에서 **애플리케이션(Applications)**, **애플리케이션(Applications)**을 선택하여 Athena에 대한 SAML 인증용 Okta 애플리케이션을 구성할 수 있습니다.
1. **앱 카탈로그 찾아보기(Browse App Catalog)**를 클릭합니다.
1. 검색 상자에 **Redshift**을(를) 입력합니다.
1. **Amazon Web Services Redshift**를 선택합니다. 이 자습서의 Okta 애플리케이션은 Amazon Redshift를 위한 기존의 SAML 통합을 사용합니다.
![\[Amazon Web Services Redshift를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-7.png)
1. **Amazon Web Services Redshift** 페이지에서 **추가(Add)**를 선택해 Amazon Redshift용 SAML 기반 애플리케이션을 생성합니다.
![\[추가(Add)를 선택해 SAML 기반 애플리케이션을 생성합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-8.png)
1. **애플리케이션 레이블(Application label)**에 `Athena-LakeFormation-Okta`를 입력하고 **완료(Done)**를 선택합니다.
![\[Okta 애플리케이션의 이름을 입력합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-9.png)
이제 Okta 애플리케이션을 생성되었고, 생성한 사용자 및 그룹에 이 애플리케이션을 할당할 수 있습니다.
**애플리케이션을 사용자 및 그룹에 할당하려면**
1. **애플리케이션(Applications)** 페이지에서 **Athena-LakeFormation-Okta** 애플리케이션을 선택합니다.
1. **할당(Assignments)** 탭에서 **할당(Assign)**, **사람에게 할당(Assign to People)**을 차례로 선택합니다.
![\[할당(Assign), 사람에게 할당(Assign to People)을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-10.png)
1. **Athena-LakeFormation-Okta를 사람에게 할당(Assign Athena-LakeFormation-Okta to People)** 대화 상자에서 이전에 생성했던 **athena-okta-user** 사용자를 찾습니다.
1. **할당(Assign)**을 선택해 사용자를 애플리케이션에 할당합니다.
![\[할당을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-11.png)
1. **저장하고 돌아가기(Save and Go Back)**를 선택합니다.
1. **완료**를 선택합니다.
1. **Athena-LakeFormation-Okta** 애플리케이션에 대한 **할당(Assignments)** 탭에서 **할당(Assign)**, **그룹에게 할당(Assign to Groups)**을 차례로 선택합니다.
1. **lf-business-analyst**에서 **할당(Assign)**을 선택해 **Athena-LakeFormation-Okta** 애플리케이션을 **lf-business-analyst** 그룹에 할당한 다음 **완료(Done)**를 선택합니다.
![\[Okta 사용자 그룹에 Okta 애플리케이션 할당\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12b.png)
해당 그룹이 애플리케이션의 그룹 목록에 나타납니다.
![\[Okta 애플리케이션이 Okta 그룹에 할당됩니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-12c.png)
이제 AWS에 사용할 자격 증명 공급자 애플리케이션 메타데이터를 다운로드할 준비가 되었습니다..
**애플리케이션 메타데이터를 다운로드하려면**
1. Okta 애플리케이션 **로그인(Sign On)** 탭을 선택한 다음 **자격 증명 공급자 메타데이터(Identity Provider metadata)**를 마우스 오른쪽 버튼으로 클릭합니다.
![\[자격 증명 공급자 메타데이터(Identity Provider metadata)를 마우스 오른쪽 버튼으로 클릭합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-13.png)
1. **다른 이름으로 링크 저장(Save Link As)**을 선택해 XML 형식의 자격 증명 공급자 메타데이터를 파일에 저장합니다. 알아볼 수 있는 이름을 지정합니다(예:`Athena-LakeFormation-idp-metadata.xml`).
![\[자격 증명 공급자 메타데이터 저장\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-14.png)
## 4단계: AWS SAML 자격 증명 공급자 및 Lake Formation 액세스 IAM 역할 생성
이 단계에서는 AWS Identity and Access Management(IAM) 콘솔을 사용하여 다음 작업을 수행합니다.
+ AWS에 대한 자격 증명 공급자를 생성합니다.
+ Lake Formation 액세스를 위한 IAM 역할을 생성합니다.
+ AmazonAthenaFullAccess 관리형 정책을 역할에 추가합니다.
+ Lake Formation 및 AWS Glue에 대한 정책을 역할에 축가합니다.
+ Athena 쿼리 결과에 대한 정책을 역할에 추가합니다.
**AWS SAML 자격 증명 공급자를 생성하려면**
1. **Amazon Web Services 계정** **콘솔**에 **Amazon Web Services 계정 관리자**로 로그인하고 **IAM** 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 탐색합니다.
1. 탐색 창에서 **자격 증명 공급자(Identity providers)**를 선택한 다음 **공급자 추가(Add provider)**를 클릭합니다.
1. **공급자 구성(Configure provider)** 화면에 다음 정보를 입력합니다.
+ **공급자 유형(Provider type)**에 **SAML**을 선택합니다.
+ **공급자 이름(Provider name)**에 `AthenaLakeFormationOkta`를 입력합니다.
+ **메타데이터 문서(Metadata document)**에서 **파일 선택(Choose file)** 옵션을 사용하여 다운로드한 자격 증명 공급자(IdP) 메타데이터 XML 파일을 업로드합니다.
1. **공급자 추가(Add Provider)**를 선택합니다.
다음으로 AWS Lake Formation 액세스를 위한 IAM 역할을 생성합니다. 역할에 두 개의 인라인 정책을 추가합니다. 한 정책은 Lake Formation 및 AWS Glue API에 액세스할 수 있는 권한을 제공합니다. 다른 정책은 Athena와 Amazon S3의 Athena 쿼리 결과 위치에 대한 액세스 권한을 제공합니다.
**AWS Lake Formation 액세스를 위한 IAM 역할을 생성하려면**
1. IAM 콘솔의 탐색 창에서 **역할(Roles)**을 선택하고 **역할 생성(Create role)**을 선택합니다.
1. **역할 생성(Create role)** 페이지에서 다음 단계를 수행합니다.
![\[SAML 2.0을 사용하기 위한 IAM 역할을 구성합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-20.png)
1. **신뢰할 수 있는 엔터티 유형 선택(Select type of trusted entity)**에서 **SAML 2.0 연합(SAML 2.0 Federation)**을 선택합니다.
1. **SAML 공급자(SAML provider)**에서 **AthenaLakeFormationOkta**를 선택합니다.
1. **SAML 공급자**에서 **프로그래밍 방식 및 AWS Management Console 액세스 허용** 옵션을 선택합니다.
1. **다음: 권한**을 선택합니다.
1. **권한 정책 연결(Attach Permissions policies)** 페이지에서 **필터 정책(Filter policies)**에 **Athena**를 입력합니다.
1. **AmazonAthenaFullAccess** 관리형 정책을 선택하고 **다음: 태그(Next: Tags)**를 선택합니다.
![\[AmazonAthenaFullAccess 관리형 정책을 IAM 역할에 연결\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-21.png)
1. **Add tags(태그 추가)** 페이지에서 **Next: Review(다음: 검토)**를 선택합니다.
1. **검토(Review)** 페이지에서 **역할 이름(Role name)**에 역할의 이름(예: *Athena-LakeFormation-OktaRole*)을 입력한 다음 **역할 생성(Create role)**을 선택합니다.
![\[IAM 역할의 이름을 입력합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-22.png)
그런 다음 Lake Formation에 대한 액세스를 허용하는 인라인 정책, AWS Glue API, Amazon S3의 Athena 쿼리 결과를 추가합니다.
IAM 정책을 사용할 때마다 IAM 모범 사례를 따라야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
**Lake Formation 및 AWS Glue에 대한 역할에 인라인 정책을 추가하려면**
1. IAM 콘솔의 역할 목록에서 새로 생성된 `Athena-LakeFormation-OktaRole`을 선택합니다.
1. 역할에 대한 **요약(Summary)** 페이지의 **권한(Permissions)** 탭에서 **인라인 정책 추가(Add inline policy)**를 선택합니다.
1. **정책 생성** 페이지에서 **JSON**을 선택합니다.
1. Lake Formation 및 AWS Glue API에 대한 액세스 권한을 제공하는 다음과 같은 인라인 정책을 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess",
"glue:GetTable",
"glue:GetTables",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:CreateDatabase",
"glue:GetUserDefinedFunction",
"glue:GetUserDefinedFunctions"
],
"Resource": "*"
}
}
```
------
1. **정책 검토**를 선택합니다.
1. **이름(Name)**에 정책의 이름을 입력합니다(예: **LakeFormationGlueInlinePolicy**).
1. **정책 생성(Create policy)**을 선택합니다.
**Athena 쿼리 결과 위치에 대한 역할에 인라인 정책을 추가하려면**
1. `Athena-LakeFormation-OktaRole` 역할에 대한 **요약(Summary)** 페이지의 **권한(Permissions)** 탭에서 **인라인 정책 추가(Add inline policy)**를 선택합니다.
1. **정책 생성** 페이지에서 **JSON**을 선택합니다.
1. Athena 쿼리 결과 위치에 대한 역할 액세스를 허용하는 다음과 같은 인라인 정책을 추가합니다. 예제의 ** 자리 표시자를 해당 Amazon S3 버킷의 이름으로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AthenaQueryResultsPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::",
"arn:aws:s3:::/*"
]
}
]
}
```
------
1. **정책 검토**를 선택합니다.
1. **이름(Name)**에 정책의 이름을 입력합니다(예: **AthenaQueryResultsInlinePolicy**).
1. **정책 생성(Create policy)**을 선택합니다.
그런 다음 Lake Formation 액세스 역할의 ARN과 생성한 SAML 공급자의 ARN을 복사합니다. 이 정보는 자습서의 다음 단원에서 Okta SAML 애플리케이션을 구성할 때 필요합니다.
**역할 ARN 및 SAML 자격 증명 공급자 ARN을 복사하려면**
1. IAM 콘솔의 **요약(Summary)** 페이지에서 `Athena-LakeFormation-OktaRole` 역할에 대해 **역할 ARN(Role ARN)** 옆에 있는 **클립보드로 복사(Copy to clipboard)**를 선택합니다. ARN의 형식은 다음과 같습니다.
```
arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
1. 나중에 참조할 수 있도록 전체 ARN을 안전하게 저장합니다.
1. IAM 콘솔 탐색 창에서 **자격 증명 공급자(Identity providers)**를 선택합니다.
1. **AthenaLakeFormationOkta** 공급자를 선택합니다.
1. **요약(Summary)** 페이지에서 **공급자 ARN(Provider ARN)** 옆의 **클립보드로 복사(Copy to clipboard)** 아이콘을 선택합니다. ARN은 다음과 같은 양식이어야 합니다.
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta
```
1. 나중에 참조할 수 있도록 전체 ARN을 안전하게 저장합니다.
## 5단계: Okta 애플리케이션에 IAM 역할 및 SAML 자격 증명 공급자 추가
이 단계에서는 Okta 개발자 콘솔로 돌아가서 다음 작업을 수행합니다.
+ Okta 애플리케이션에 사용자 및 그룹 Lake Formation URL 속성을 추가합니다.
+ 자격 증명 공급자의 ARN과 IAM 역할의 ARN을 Okta 애플리케이션에 추가합니다.
+ Okta 애플리케이션 ID를 복사합니다. Okta 애플리케이션 ID는 Athena에 연결하는 JDBC 프로파일에 필요합니다.
**Okta 애플리케이션에 사용자 및 그룹 Lake Formation URL 속성을 추가하려면**
1. Okta 개발자 콘솔에 로그인합니다.
1. **애플리케이션(Applications)** 탭을 선택한 다음 `Athena-LakeFormation-Okta` 애플리케이션을 선택합니다.
1. 애플리케이션에 대한 **로그인(Sign On)** 탭을 선택한 다음 **편집(Edit)**을 선택합니다.
![\[Okta 애플리케이션을 편집합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-24.png)
1. **속성(선택 사항)(Attributes (optional))**을 클릭하여 확장합니다.
![\[Okta 애플리케이션에 사용자 Lake Formation URL 속성을 추가합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25.png)
1. **속성 문(선택 사항)(Attribute Statements (optional))**에 다음 속성을 추가합니다.
+ **이름**에 **https://lakeformation.amazon.com/SAML/Attributes/Username**를 입력합니다.
+ [**값(Value)**]에 **user.login**을 입력합니다.
1. **그룹 속성 문(선택 사항)(Group Attribute Statements (optional))**에 다음 속성을 추가합니다.
+ **이름**에 **https://lakeformation.amazon.com/SAML/Attributes/Groups**를 입력합니다.
+ **이름 형식(Name format)**에 **Basic**을 입력합니다.
+ **필터(Filter)**에서 **정규식 일치(Matches regex)**를 선택한 다음 필터 상자에 **.\$1**을 입력합니다.
![\[Okta 애플리케이션에 그룹 Lake Formation URL 속성을 추가합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-25a.png)
1. **고급 로그인 설정(Advanced Sign-On Settings)** 섹션까지 아래로 스크롤하고, 여기서 자격 증명 공급자 및 IAM 역할 ARN을 Okta 애플리케이션에 추가합니다.
**자격 증명 공급자 및 IAM 역할의 ARN을 Okta 애플리케이션에 추가하려면**
1. **Idp ARN 및 역할 ARN(Idp ARN and Role ARN)**에 AWS 자격 증명 공급자 ARN과 역할 ARN을 **,** 형식의 쉼표로 구분된 값으로 입력합니다. 결합된 문자열은 다음과 같아야 합니다.
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta,arn:aws:iam:::role/Athena-LakeFormation-OktaRole
```
![\[Okta 애플리케이션에서 자격 증명 공급자 ARN 및 IAM 역할 ARN을 입력합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-26.png)
1. **저장**을 선택합니다.
다음으로 Okta 애플리케이션 ID를 복사합니다. 나중에 Athena에 연결하는 JDBC 문자열에 이 정보가 필요합니다.
**Okta 애플리케이션 ID를 찾고 복사하려면**
1. Okta 애플리케이션의 **일반(General)** 탭을 선택합니다.
![\[Okta 애플리케이션의 일반(General) 탭을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-27.png)
1. 아래로 스크롤하여 **앱 포함 링크(App Embed Link)** 섹션으로 이동합니다.
1. **포함 링크(Embed Link)**에서 URL의 Okta 애플리케이션 ID 부분을 복사하고 안전하게 저장합니다. Okta 애플리케이션 ID는 URL에서 `amazon_aws_redshift/` 뒤부터 다음 슬래시 앞까지의 부분입니다. 예를 들어, URL에 `amazon_aws_redshift/aaa/bbb`가 포함된 경우 애플리케이션 ID는 `aaa`입니다.
![\[Okta 애플리케이션의 ID를 복사합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-28.png)
**참고**
포함 링크(Embed link)를 사용하여 Athena 콘솔에 직접 로그인하여 데이터베이스를 볼 수 없습니다. SAML 사용자 및 그룹에 대한 Lake Formation 권한은 JDBC 또는 ODBC 드라이버를 사용하여 Athena 쿼리를 제출할 때만 인식됩니다. JDBC 드라이버를 사용하여 Athena에 연결하는 SQL Workbench/J 도구를 사용하여 데이터베이스를 볼 수 있습니다. SQL Workbench/J 도구는 [7단계: Athena JDBC 클라이언트를 통해 액세스 권한 확인](#security-athena-lake-formation-jdbc-okta-tutorial-step-7-verify-access-through-athena-jdbc-client)에서 다룹니다.
## 6단계: AWS Lake Formation을(를) 통해 사용자 및 그룹 권한 부여
이 단계에서는 Lake Fomation 콘솔을 사용하여 SAML 사용자 및 그룹에게 테이블에 대한 권한을 부여합니다. 다음 작업을 수행할 수 있습니다.
+ Okta SAML 사용자의 ARN 및 테이블에 대한 연결된 사용자 권한을 지정합니다.
+ Okta SAML 사용자의 ARN 및 테이블에 대한 연결된 사용자 권한을 지정합니다.
+ 부여한 권한을 확인합니다.
**Lake Formation에서 Okta 사용자에 대해 권한을 부여하려면**
1. 데이터 레이크 관리자로 AWS Management Console에 로그인합니다.
1. Lake Formation 콘솔([https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/))을 엽니다.
1. 탐색 창에서 **테이블(Tables)**을 선택한 다음 권한을 부여할 테이블을 선택합니다. 이 자습서에서는 `tripdb` 데이터베이스의 `nyctaxi` 테이블을 사용합니다.
![\[권한을 부여할 테이블을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-29.png)
1. **작업(Actions)**에서 **권한 부여(Grant)**를 선택합니다.
![\[권한 부여(Grant)를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-30.png)
1. **권한 부여(Grant permissions)** 대화 상자에 다음 정보를 입력합니다.
1. **SAML 및 Amazon Quick 사용자 및 그룹**에 다음 형식으로 Okta SAML 사용자 ARN을 입력합니다.
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:user/@
```
1. **열(Columns)**에서 **필터 유형을 선택**하고, **열 포함(Include columns)** 또는 **열 제외(Exclude columns)** 옵션을 선택합니다.
1. 필터 아래의 **하나 이상의 열 선택(Choose one or more columns)** 드롭다운을 사용하여 사용자에 대해 포함하거나 제외할 열을 지정합니다.
1. **테이블 권한(Table permissions)**에서 **선택(Select)**을 선택합니다. 이 자습서에서는 `SELECT` 권한만 부여하며, 각자의 요구 사항은 다를 수 있습니다.
![\[Okta 사용자에게 테이블 및 열 수준 권한을 부여합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31.png)
1. **권한 부여(Grant)**를 선택합니다.
이제 Okta 그룹에 대해 비슷한 단계를 수행합니다.
**Lake Formation에서 Okta 사용자에 대해 권한을 부여하려면**
1. Lake Formation 콘솔의 **테이블(Tables)** 페이지에서 **nyctaxi** 테이블이 계속 선택되어 있는지 확인합니다.
1. **작업(Actions)**에서 **권한 부여(Grant)**를 선택합니다.
1. **권한 부여(Grant permissions)** 대화 상자에 다음 정보를 입력합니다.
1. **SAML 및 Amazon Quick 사용자 및 그룹**에 다음 형식으로 Okta SAML 그룹 ARN을 입력합니다.
```
arn:aws:iam:::saml-provider/AthenaLakeFormationOkta:group/lf-business-analyst
```
1. **열(Columns)**에서 **필터 유형을 선택**하고, **열 포함(Include columns)**을 선택합니다.
1. **하나 이상의 열 선택(Choose one or more columns)**에서 테이블의 첫 3개 열을 선택합니다.
1. **테이블 권한(Table permissions)**에서 부여할 특정 액세스 권한을 선택합니다. 이 자습서에서는 `SELECT` 권한만 부여하며, 각자의 요구 사항은 다를 수 있습니다.
![\[Okta 그룹에 테이블 권한 부여\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-31b.png)
1. **권한 부여(Grant)**를 선택합니다.
1. 부여한 권한을 확인하려면 **작업(Actions)**, **권한 보기(View permissions)**를 선택합니다.
![\[부여한 권한을 확인하려면 [권한 보기(View permissions)]를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-32.png)
`nyctaxi` 테이블에 대한 **데이터 권한** 페이지에 **athena-okta-user** 및 **lf-business-analyst** 그룹에 대한 권한이 표시됩니다.
![\[Okta 사용자 및 그룹에 부여된 권한 보기\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-33.png)
## 7단계: Athena JDBC 클라이언트를 통해 액세스 권한 확인
이제 Okta SAML 사용자로서 Athena 테스트 연결을 수행하기 위해 JDBC 클라이언트를 사용할 준비가 되었습니다.
이 단원에서는 다음 작업을 수행합니다.
+ 테스트 클라이언트 준비 - Athena JDBC 드라이버를 다운로드하고 SQL 워크벤치를 설치한 다음 드라이버를 워크벤치에 추가합니다. 이 자습서에서는 SQL 워크벤치를 사용하여 Okta 인증을 통해 Athena 액세스하고 Lake Formation 권한을 확인합니다.
+ SQL Workbench에서:
+ Athena Okta 사용자에 대한 연결을 만듭니다.
+ Athena Okta 사용자로 테스트 쿼리를 실행합니다.
+ 비즈니스 분석가 사용자에 대한 연결을 만들고 테스트합니다.
+ Okta 콘솔에서 비즈니스 분석가 사용자를 개발자 그룹에 추가합니다.
+ Lake Formation 콘솔에서 개발자 그룹에 대한 테이블 권한을 구성합니다.
+ SQL 워크벤치에서 비즈니스 분석가 사용자로 테스트 쿼리를 실행하고 권한 변경이 결과에 어떤 영향을 미치는지 확인합니다.
**테스트 클라이언트를 준비하려면**
1. Lake Formation 호환 Athena JDBC 드라이버(버전 2.0.14 이상)를 다운로드하고 [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md)에서 추출합니다.
1. 수정된 Apache 2.0 라이선스에 따라 제공되는 무료 [SQL Workbench/J](https://www.sql-workbench.eu/index.html) SQL 쿼리 도구를 다운로드하고 설치합니다.
1. SQL Workbench에서 **파일(File)**을 선택한 후 **드라이버 관리(Manage Drivers)**를 선택합니다.
![\[Manage Drivers를 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-1.png)
1. **드라이버 관리(Manage Drivers)** 대화 상자에서 다음 단계를 수행합니다.
1. 새 드라이버 아이콘을 선택합니다.
1. **이름**에 **Athena**를 입력합니다.
1. **라이브러리(Library)**에서 방금 다운로드한 Simba Athena JDBC `.jar` 파일을 찾아서 선택합니다.
1. **확인**을 선택합니다.
![\[Athena JDBC 드라이버를 SQL Workbench에 추가합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-2.png)
이제 Athena Okta 사용자에 대한 연결을 생성하고 테스트할 준비가 되었습니다.
**Okta 사용자에 대한 연결을 만들려면**
1. **파일(File)**, **연결 창(Connect window)**을 선택합니다.
![\[연결 창(Connect window)을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-3.png)
1. **연결 프로파일(Connection profile)** 대화 상자에서 다음 정보를 입력하여 연결을 생성합니다.
+ 이름 상자에 **Athena\$1Okta\$1User\$1Connection**을 입력합니다.
+ **드라이버(Driver)**에서 Simba Athena JDBC 드라이버를 선택합니다.
+ **VPC**에 대해 다음 중 하나를 수행합니다.
+ 연결 URL을 사용하려면 단일 행의 연결 문자열을 입력합니다. 다음 예제에서는 가독성을 위해 줄 바꿈이 추가되었습니다.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-okta-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-app-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ AWS 프로파일 기반 URL을 사용하려면 다음 단계를 수행합니다.
1. 다음 예제처럼 AWS 자격 증명 파일이 있는 [AWS 프로파일](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html)을 구성합니다.
```
[athena_lf_dev]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-app-id
uid=athena-okta-user@anycompany.com
pwd=password
```
1. 다음 예제와 같이 **URL**에 단일 행의 연결 문자열을 입력합니다. 예제에는 가독성을 위해 줄 바꿈이 추가되었습니다.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_dev;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
이 예제는 Athena 연결하는 데 필요한 URL의 기본 표현입니다. URL에서 지원되는 파라미터의 전체 목록은 [JDBC 설명서](connect-with-jdbc.md)를 참조하세요.
다음 이미지는 연결 URL을 사용하는 SQL 워크벤치 연결 프로파일을 보여 줍니다.
![\[SQL 워크벤치의 연결 프로파일.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-4.png)
이제 Okta 사용자에 대한 연결을 설정했으므로 일부 데이터를 검색하여 테스트할 수 있습니다.
**Okta 사용자에 대한 연결을 테스트하려면**
1. **테스트(Test)**를 선택한 다음 연결이 성공하는지 확인합니다.
1. SQL 워크벤치의 **문(Statement)** 창에서 다음 SQL `DESCRIBE` 명령을 실행합니다. 모든 열이 표시되는지 확인합니다.
```
DESCRIBE "tripdb"."nyctaxi"
```
![\[모든 열이 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-5.png)
1. SQL 워크벤치의 **문(Statement)** 창에서 다음 SQL `SELECT` 명령을 실행합니다. 모든 열이 표시되는지 확인합니다.
```
SELECT * FROM tripdb.nyctaxi LIMIT 5
```
![\[모든 열이 표시되는지 확인합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-6.png)
다음으로 **lf-business-analyst** 그룹의 구성원인 **athena-ba-user**가 앞서 Lake Formation에서 지정한 테이블의 첫 3개 열에 대해서만 액세스 권한을 갖는지 확인합니다.
****athena-ba-user**의 액세스 권한을 확인하려면**
1. SQL 워크벤치의 **연결 프로파일(Connection profile)** 대화 상자에서 다른 연결 프로파일을 만듭니다.
+ 연결 프로파일 이름에 ** Athena\$1Okta\$1Group\$1Connection**을 입력합니다.
+ **드라이버(Driver)**에서 Simba Athena JDBC 드라이버를 선택합니다.
+ **VPC**에 대해 다음 중 하나를 수행합니다.
+ 연결 URL을 사용하려면 단일 행의 연결 문자열을 입력합니다. 다음 예제에서는 가독성을 위해 줄 바꿈이 추가되었습니다.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
AwsCredentialsProviderClass=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider;
user=athena-ba-user@anycompany.com;
password=password;
idp_host=okta-idp-domain;
App_ID=okta-application-id;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
+ AWS 프로파일 기반 URL을 사용하려면 다음 단계를 수행합니다.
1. 다음 예제처럼 자격 증명 파일이 있는 AWS 프로파일을 구성합니다.
```
[athena_lf_ba]
plugin_name=com.simba.athena.iamsupport.plugin.OktaCredentialsProvider
idp_host=okta-idp-domain
app_id=okta-application-id
uid=athena-ba-user@anycompany.com
pwd=password
```
1. 다음과 같이 **URL**에 단일 행의 연결 문자열을 입력합니다. 예제에는 가독성을 위해 줄 바꿈이 추가되었습니다.
```
jdbc:awsathena://AwsRegion=region-id;
S3OutputLocation=s3://amzn-s3-demo-bucket/athena_results;
profile=athena_lf_ba;
SSL_Insecure=true;
LakeFormationEnabled=true;
```
1. **테스트(Test)**를 선택해 연결이 성공적인지 확인합니다.
1. **SQL 문(SQL Statement)** 창에서 전에 수행했던 것과 동일한 `DESCRIBE` 및 `SELECT` SQL 명령을 실행하고 결과를 조사합니다.
**athena-ba-user**는 **lf-business-analyst** 그룹의 구성원이기 때문에 Lake Formation 콘솔에서 지정한 첫 3개의 열만 반환됩니다.
![\[첫 3개의 열만 반환됩니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-7.png)
![\[첫 3개 열의 데이터.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-8.png)
다음으로 Okta 콘솔로 돌아가 `athena-ba-user`를 `lf-developer` Okta 그룹에 추가합니다.
**lf-developer 그룹에 athena-ba-user를 추가하려면**
1. 할당된 Okta 도메인의 관리 사용자로 Okta 콘솔에 로그인합니다.
1. **디렉터리(Directory)**를 선택한 후 **그룹(Groups)**을 선택합니다.
1. 그룹(Groups) 페이지에서 **lf-developer** 그룹을 선택합니다.
![\[lf-developer 그룹을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-9.png)
1. **사람 관리(Manage People)**를 선택합니다.
1. **구성원 아님(Not Members)** 목록에서 **athena-ba-user**를 선택해 **lf-developer group**에 추가합니다.
1. **저장**을 선택합니다.
이제 Lake Formation 콘솔로 돌아가 **lf-developer** 그룹에 대한 테이블 권한을 구성합니다.
**lf-developer-group에 대한 테이블 권한을 구성하려면**
1. Lake Formation 콘솔에 데이터 레이크 관리자로 로그인합니다.
1. 탐색 창에서 **테이블**을 선택합니다.
1. **nyctaxi** 테이블을 선택합니다.
1. **작업(Actions)**, **권한 부여(Grant)**를 선택합니다.
1. **권한 부여(Grant Permissions)** 대화 상자에 다음 정보를 입력합니다.
+ **SAML 및 Amazon Quick의 사용자 및 그룹**에 다음 형식으로 Okta SAML lf-developer 그룹 ARN을 입력합니다.
+ **열(Columns)**에서 **필터 유형을 선택**하고, **열 포함(Include columns)**을 선택합니다.
+ **trip\$1type** 열을 선택합니다.
+ **테이블 권한(Table permissions)**에 **SELECT**를 선택합니다.
1. **권한 부여(Grant)**를 선택합니다.
이제 SQL 워크벤치를 사용하여 **lf-developer** 그룹에 대한 권한 변경을 확인할 수 있습니다. **athena-ba-user**는 이제 **lf-developer** 그룹의 구성원이므로 사용 가능한 데이터에 변경이 반영되어야 합니다.
**athena-ba-user에 대한 권한 변경을 확인하려면**
1. SQL 워크벤치 프로그램을 닫은 다음 다시 엽니다.
1. **athena-ba-user**의 프로파일에 연결합니다.
1. **문(Statement)** 창에서 이전에 실행한 것과 동일한 SQL 문을 실행합니다.
이번에는 **trip\$1type** 열이 표시됩니다.
![\[네 번째 열을 쿼리에 사용할 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-10.png)
**athena-ba-user**가 이제 **lf-developer** 및 **lf-business-analyst** 그룹 모두의 구성원이므로 이 그룹들에 대한 Lake Formation 권한 조합이 반환되는 열을 결정합니다.
![\[데이터 결과의 네 번째 열.\]](http://docs.aws.amazon.com/ko_kr/athena/latest/ug/images/security-athena-lake-formation-jdbc-okta-tutorial-verify-access-11.png)
## 결론
이 자습서에서는 Okta를 SAML 공급자로 사용해 Athena와 AWS Lake Formation의 통합을 구성했습니다. 데이터 레이크 AWS Glue 데이터 카탈로그에서 SAML 사용자가 사용 가능한 리소스를 제어하는 데에는 Lake Formation 및 IAM이 사용되었습니다.
## 관련 리소스
관련 내용은 다음 리소스를 참조하세요.
+ [JDBC로 Amazon Athena에 연결](connect-with-jdbc.md)
+ [Athena API에 대한 페더레이션 액세스 활성화](access-federation-saml.md)
+ [AWS Lake Formation 개발자 안내서](https://docs.aws.amazon.com/lake-formation/latest/dg/)
+ *AWS Lake Formation 개발자 안내서*의 [데이터 카탈로그 권한 부여 및 취소](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html).
+ *IAM 사용 설명서*의 [자격 증명 공급자 및 연동](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html).
+ *IAM 사용 설명서*의 [IAM SAML 자격 증명 공급자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html).
+ *AWS 보안 블로그*의 [Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/).