제로 ETL 통합의 대상 구성
제로 ETL 통합을 위해 대상을 구성할 때 AWS Glue에서 제공하는 몇 가지 옵션이 있습니다. 대상은 암호화된 Amazon Redshift 데이터 웨어하우스 또는 Amazon SageMaker의 Lakehouse 아키텍처일 수 있습니다.
제로 ETL 통합의 대상을 선택하기 전에 다음 대상 리소스 중 하나를 구성해야 합니다. 제로 ETL 통합의 대상에 대한 구성 옵션은 다음을 포함합니다.
Amazon SageMaker의 Lakehouse 아키텍처를 사용하는 범용 Amazon S3 버킷. 범용 S3 버킷 대상 구성을(를) 참조하세요.
Amazon SageMaker의 Lakehouse 아키텍처를 사용하는 범용 Amazon S3 Tables 버킷. Amazon S3 Tables 버킷 대상 구성을(를) 참조하세요.
Amazon SageMaker의 Lakehouse 아키텍처를 사용하는 Amazon Redshift 관리형 스토리지. Amazon Redshift 관리형 스토리지 대상 구성을(를) 참조하세요.
Redshift 네임스페이스로 식별되는 Amazon Redshift 데이터 웨어하우스. Amazon Redshift 데이터 웨어하우스 대상 구성을(를) 참조하세요.
참고
생성 후에는 제로 ETL 통합의 대상을 수정할 수 없습니다.
범용 S3 버킷 대상 구성
이 섹션에서는 Amazon SageMaker의 Lakehouse 아키텍처를 사용하여 제로 ETL 통합에서 대상의 스토리지로 범용 S3 버킷을 구성하는 데 필요한 사전 조건과 설정 단계에 대해 설명합니다.
범용 S3 스토리지를 사용하여 Amazon SageMaker의 Lakehouse 카탈로그와의 제로 ETL 통합을 생성하기 전에 다음 설정 작업을 완료해야 합니다.
AWS Glue 데이터베이스 설정
카탈로그 RBAC 정책 제공
대상 IAM 역할 생성
대상 역할, KMS(선택 사항), 연결(선택 사항)을 대상 리소스와 연결
(선택 사항) 대상 테이블 속성 구성
AWS Glue 데이터베이스 설정
Amazon S3 범용 버킷 위치를 사용하여 Data Catalog에서 대상 데이터베이스를 설정하려면 다음을 수행합니다.
AWS Glue 콘솔 홈 페이지의 Data Catalog에서 데이터베이스를 선택합니다.
오른쪽 상단 모서리에서 데이터 추가를 선택합니다. 데이터베이스를 이미 생성한 경우 Amazon S3 URI를 사용하는 위치가 데이터베이스에 대해 설정되어 있는지 확인합니다.
이름과 위치(Amazon S3 URI)를 입력합니다. 제로 ETL 통합에는 위치가 필요합니다. 완료되면 데이터베이스 생성을 클릭합니다.
참고
범용 Amazon S3 버킷은 AWS Glue 데이터베이스와 동일한 리전에 있어야 합니다.
AWS Glue에서 새 데이터베이스를 생성하는 방법에 대한 자세한 내용은 Data Catalog 시작하기를 참조하세요.
create-database CLI를 사용하여 AWS Glue에서 데이터베이스를 생성할 수도 있습니다. --database-input의 LocationUri는 필수입니다.
Iceberg 테이블 최적화
대상 데이터베이스에서 AWS Glue에 의해 테이블이 생성된 후 압축을 활성화하여 Amazon Athena에서 쿼리 속도를 높일 수 있습니다. 압축을 위한 리소스(IAM 역할) 설정에 대한 자세한 내용은 테이블 최적화 필수 조건을 참조하세요.
통합에 의해 생성된 AWS Glue 테이블에서 압축을 설정하는 방법에 대한 자세한 내용은 Iceberg 테이블 최적화를 참조하세요.
카탈로그 리소스 기반 액세스(RBAC) 정책 제공
AWS Glue 데이터베이스를 사용하는 통합의 경우 카탈로그 RBAC 정책에 다음 권한을 추가하여 소스와 대상 간의 통합을 허용합니다.
참고
교차 계정 통합의 경우 통합 역할 정책을 생성하는 사용자와 카탈로그 리소스 정책 모두 리소스에 대해 glue:CreateInboundIntegration을 허용해야 합니다. 동일한 계정의 경우에는 리소스 정책 또는 리소스에 대해 glue:CreateInboundIntegration을 허용하는 역할 정책으로 충분합니다. 두 시나리오 모두 여전히 glue:AuthorizeInboundIntegration에 대해 glue.amazonaws.com을 허용해야 합니다.
Data Catalog에서 카탈로그 설정에 액세스할 수 있습니다. 계속해서 다음 권한을 제공하고 누락된 정보를 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/Alice" ] }, "Effect": "Allow", "Action": [ "glue:CreateInboundIntegration" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/database-name" ], "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:dynamodb:us-east-1:444455556666:table/table-name" } } }, { "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Effect": "Allow", "Action": [ "glue:AuthorizeInboundIntegration" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/database-name" ], "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:dynamodb:us-east-1:444455556666:table/table-name" } } } ] }
대상 IAM 역할 생성
다음과 같은 권한 및 신뢰 관계를 가진 대상 IAM 역할을 생성합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::amzn-s3-bucket", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*", "Effect": "Allow" }, { "Action": [ "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/database-name" ], "Effect": "Allow" }, { "Action": [ "glue:CreateTable", "glue:GetTable", "glue:GetTables", "glue:DeleteTable", "glue:UpdateTable", "glue:GetTableVersion", "glue:GetTableVersions", "glue:GetResourcePolicy" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog", "arn:aws:glue:us-east-1:111122223333:database/database-name", "arn:aws:glue:us-east-1:111122223333:table/database-name/*" ], "Effect": "Allow" }, { "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Glue/ZeroETL" } }, "Effect": "Allow" }, { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*", "Effect": "Allow" } ] }
AWS Glue 서비스가 역할을 수임할 수 있도록 다음 신뢰 정책을 추가합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
대상 역할, KMS(선택 사항), 연결(선택 사항)을 대상 리소스와 연결
위의 대상 역할을 대상 리소스, 즉 AWS Glue 데이터베이스와 연결합니다. 원하는 경우 대상 Iceberg 테이블에 저장하기 전에 데이터를 암호화하기 위한 KMS와 S3 버킷에 액세스하기 위한 연결 ARN을 대상 AWS Glue 데이터베이스에 대해 구성할 수 있습니다. 이렇게 하면 AWS Glue가 제공된 역할을 사용하여 대상 S3 위치의 데이터에 액세스하고 제공된 KMS 키를 사용하여 원하는 경우 암호화할 수 있습니다. 특정 VPC를 사용하여 대상 S3 버킷에 액세스할 수 있도록 구성된 경우 연결 ARN을 연결하여 AWS Glue가 해당 VPC 내에서 처리를 실행하도록 허용할 수 있습니다. VPC 설정에 대한 자세한 내용은 VPC 생성을 참조하세요.
또는 AWS Glue CLI/API 사용:
aws glue create-integration-resource-property \ --resource-arn arn:aws:glue:us-east-1:123456789012:database/database-name\ --target-processing-properties '{"RoleArn": "arn:aws:iam::123456789012:role/gmi_target_role"}' \ --region us-east-1
(선택 사항) 대상 테이블 속성 구성
원하는 경우 대상에 동기화될 대상 테이블의 대상 테이블 속성을 구성할 수 있습니다.
AWS Glue 콘솔에서 통합 생성 워크플로의 출력 설정 섹션에서 이러한 설정을 구성할 수 있습니다.
사용자 지정 파티션 키 지정을 선택하면 파티션 키와 해당 함수 및 변환 사양을 구성할 수 있습니다.
소스와 대상이 동일한 계정에 있는 경우 AWS Glue 콘솔 UI에서 통합 생성 워크플로의 일부로 이 구성을 수행할 수 있습니다. 그러나 대상이 다른 계정에 있는 경우 통합을 생성하기 전에 이 구성을 완료해야 합니다. CLI 또는 API를 사용하는 경우 소스와 대상이 모두 동일한 계정에 있더라도 Create-Integration API를 간접적으로 호출하기 전에 이 작업을 수행해야 합니다. AWS Glue 콘솔 UI는 동일한 계정 시나리오의 경우 이 API 직접 호출을 캡슐화합니다.
이것이 구성되지 않으면 테이블을 동기화할 때 기본값이 사용됩니다. 통합 생성 후 언제든지 이 구성을 변경할 수도 있습니다.
참고
통합 생성 후 이 속성이 업데이트되면 업데이트된 구성이 기존 구성과 충돌할 때 전체 테이블 재동기화가 트리거될 수 있습니다. 테이블 "un-nesting"을 'No-Unnest'에서 'Full-Unnest'로 업데이트하거나 파티션 열을 변경하는 경우를 예로 들 수 있습니다.
CLI 또는 API 사용:
aws glue create-integration-table-properties \ --resource-arn arn:aws:glue:us-east-1:123456789012:database/database-name\ --table-nametable-name\ --target-table-config '{ "UnnestSpec":"TOPLEVEL"|"FULL"|"NOUNNEST", "PartitionSpec": [ { "FieldName":"string", "FunctionSpec":"string", "ConversionSpec":"string"} ... ], "TargetTableName":"string" }' \ --region us-east-1
범용 Amazon S3 버킷 스토리지로 Amazon SageMaker의 Lakehouse 아키텍처를 구성한 후 대상과의 통합 구성으로 이동하여 통합 설정을 완료할 수 있습니다.
Amazon S3 Tables 버킷 대상 구성
이 섹션에서는 Amazon SageMaker의 Lakehouse 아키텍처를 사용하여 제로 ETL 통합의 대상으로 Amazon S3 Tables를 구성하는 데 필요한 사전 조건과 설정 단계에 대해 설명합니다.
Amazon S3 Tables를 대상으로 하는 제로 ETL 통합을 생성하기 전에 다음 설정 작업을 완료해야 합니다.
Amazon S3 Tables 버킷 설정(및 분석 서비스 통합)
카탈로그 RBAC 정책 제공
대상 IAM 역할 생성
대상 역할, KMS(선택 사항), 연결(선택 사항)을 대상 리소스와 연결
(선택 사항) 대상 테이블 속성 구성
Amazon S3 Tables 버킷 설정(분석 서비스 통합 포함)
Amazon S3 Tables 시작하기의 지침에 따라 계정에 S3 Tables 버킷을 생성합니다.
Amazon S3 Tables와 AWS 서비스 통합 지침에 따라 S3 Tables 버킷과의 분석 통합을 사용하도록 설정합니다.
그러면 AWS Lake Formation에서 새 S3-Table Catalog가 생성됩니다.
카탈로그 RBAC 정책 제공
소스와 Amazon S3 Tables 카탈로그 대상 간의 통합을 허용하려면 카탈로그 RBAC 정책에 다음 권한을 추가해야 합니다.
대상 AWS Glue 카탈로그 리소스 정책에는 AuthorizeInboundIntegration에 대한 AWS Glue 서비스 권한이 포함되어야 합니다. 또한 통합을 생성하는 소스 보안 주체나 대상 AWS Glue 리소스 정책에는 CreateInboundIntegration 권한이 필요합니다.
참고
교차 계정 시나리오의 경우 소스 보안 주체와 대상 AWS Glue 카탈로그 리소스 정책 모두에 리소스에 대한 glue:CreateInboundIntegration 권한이 포함되어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::123456789012:user/Alice" ] }, "Effect": "Allow", "Action": [ "glue:CreateInboundIntegration" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog/s3tablescatalog/*" ], "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:dynamodb:us-east-1:444455556666:table/table-name" } } }, { "Principal": { "Service": [ "glue.amazonaws.com" ] }, "Effect": "Allow", "Action": [ "glue:AuthorizeInboundIntegration" ], "Resource": [ "arn:aws:glue:us-east-1:111122223333:catalog/s3tablescatalog/*" ], "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:dynamodb:us-east-1:444455556666:table/table-name" } } } ] }
참고
s3tablescatalogs3tablescatalog입니다.
대상 IAM 역할 생성
다음과 같은 권한 및 신뢰 관계를 가진 대상 IAM 역할을 생성합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3tables:ListTableBuckets", "s3tables:GetTableBucket", "s3tables:GetTableBucketEncryption", "s3tables:GetNamespace", "s3tables:CreateNamespace", "s3tables:ListNamespaces", "s3tables:CreateTable", "s3tables:DeleteTable", "s3tables:GetTable", "s3tables:GetTableEncryption", "s3tables:ListTables", "s3tables:GetTableMetadataLocation", "s3tables:UpdateTableMetadataLocation", "s3tables:GetTableData", "s3tables:PutTableData" ], "Resource": "arn:aws:s3tables:us-east-1:111122223333:bucket/s3-table-bucket", "Effect": "Allow" }, { "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/Glue/ZeroETL" } }, "Effect": "Allow" }, { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*", "Effect": "Allow" } ] }
대상 IAM 역할에 다음 신뢰 정책을 추가하여 AWS Glue 서비스가 역할을 수임할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
참고
S3 Tables 버킷 리소스 정책에 이 대상 IAM 역할에 대한 명시적인 거부 문이 없는지 확인합니다. 명시적으로 거부하면 모든 허용 권한이 무시되고 통합이 제대로 작동하지 않습니다.
대상 역할, KMS(선택 사항), 연결(선택 사항)을 대상 리소스와 연결
위의 대상 역할을 대상 리소스와 연결합니다. 원하는 경우 대상 Iceberg 테이블에 저장하기 전에 데이터를 암호화하기 위한 KMS와 대상 S3 버킷에 액세스하기 위한 연결 ARN을 구성할 수 있습니다. 특정 VPC를 사용하여 대상 S3 버킷에 액세스할 수 있도록 구성된 경우 연결 ARN을 연결하여 AWS Glue가 해당 VPC 내에서 처리를 실행하도록 허용할 수 있습니다. VPC 설정에 대한 자세한 내용은 VPC 생성을 참조하세요.
AWS Glue CLI/API 사용:
aws glue create-integration-resource-property \ --resource-arn arn:aws:glue:us-east-1:123456789012:catalog/s3tablescatalog/S3 table bucket name\ --target-processing-properties '{ "RoleArn": "arn:aws:iam::123456789012:role/target_role" }' \ --region us-east-1
(선택 사항) 대상 테이블 속성 구성
원하는 경우 대상에 동기화될 대상 테이블의 대상 테이블 속성을 구성할 수 있습니다. 범용 S3 대상 섹션에 설명된 것과 동일한 규칙이 적용됩니다.
CLI 또는 API 사용:
aws glue create-integration-table-properties \ --resource-arn arn:aws:glue:us-east-1:123456789012:catalog/s3tablescatalog/S3 table bucket name\ --table-nametable-name\ --target-table-config '' \ --region us-east-1
Amazon SageMaker의 Lakehouse 아키텍처를 사용하여 Amazon S3 Tables 스토리지를 구성한 후 대상과의 통합 구성으로 이동하여 통합 설정을 완료할 수 있습니다.
Amazon Redshift 관리형 스토리지 대상 구성
이 섹션에서는 Amazon SageMaker의 Lakehouse 아키텍처를 사용하여 Amazon Redshift 관리형 스토리지(RMS)를 제로 ETL 통합의 대상으로 구성하기 위한 사전 조건 및 설정 단계에 대해 설명합니다.
Redshift 관리형 스토리지를 사용하여 Amazon SageMaker의 Lakehouse 아키텍처와의 제로 ETL 통합을 생성하기 전에 다음 설정 작업을 완료해야 합니다.
Amazon Redshift 클러스터 또는 서버리스 작업 그룹 설정
Lake Formation과의 Amazon Redshift 통합 등록
Lake Formation에서 관리형 카탈로그 생성
IAM 권한 구성
Amazon Redshift 관리형 스토리지 설정
제로 ETL 통합을 위한 Amazon Redshift 관리형 스토리지를 설정하려면 다음을 수행합니다.
기존 Amazon Redshift 클러스터 또는 서버리스 작업 그룹을 생성하거나 사용합니다. 통합을 성공적으로 수행하려면 대상 Amazon Redshift 작업 그룹이나 클러스터에서
enable_case_sensitive_identifier파라미터가 켜져 있는지 확인합니다. 대소문자 구분 활성화에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 데이터 웨어하우스에 대/소문자 구분 기능 사용 설정을 참조하세요.Redshift에서 AWS Lake Formation의 카탈로그로 통합을 등록합니다. 데이터 카탈로그에 Amazon Redshift 클러스터 및 네임스페이스 등록을 참조하세요.
AWS Lake Formation에서 페더레이션 또는 관리형 카탈로그를 생성합니다. 자세한 내용은 다음을 참조하세요.
대상 역할에 대한 IAM 권한을 구성합니다. 이 역할에는 Redshift 및 Lake Formation 리소스 모두에 액세스할 수 있는 권한이 필요합니다. 이 역할에는 적어도 다음 사항이 있어야 합니다.
Redshift 클러스터 또는 작업 그룹에 액세스할 수 있는 권한
Lake Formation 카탈로그에 액세스할 수 있는 권한
카탈로그에서 테이블을 생성하고 관리할 수 있는 권한
모니터링을 위한 CloudWatch 및 CloudWatch Logs 권한
Amazon Redshift 관리형 스토리지로 Amazon SageMaker Lakehouse 카탈로그를 구성한 후 대상과의 통합 구성으로 이동하여 통합 설정을 완료할 수 있습니다.
Amazon Redshift 데이터 웨어하우스 대상 구성
이 섹션에서는 제로 ETL 통합을 위한 대상으로 Amazon Redshift 데이터 웨어하우스를 구성하는 데 필요한 사전 조건과 설정 단계에 대해 설명합니다.
Amazon Redshift 데이터 웨어하우스 대상과 제로 ETL 통합을 생성하기 전에 다음 설정 작업을 완료해야 합니다.
Amazon Redshift 클러스터 또는 서버리스 작업 그룹 설정
대/소문자 구분 구성
IAM 권한 구성
Amazon Redshift 데이터 웨어하우스 설정
제로 ETL 통합을 위한 Amazon Redshift 데이터 웨어하우스를 설정하려면 다음 단계를 따르세요.
Amazon Redshift 콘솔
로 이동하여 클러스터 생성을 클릭하거나 기존 클러스터를 사용합니다. Amazon Redshift 클러스터를 생성하려면 클러스터 생성을 참조하세요. Amazon Redshift Serverless의 경우 작업 그룹 생성을 클릭합니다. Amazon Redshift Serverless 작업 그룹을 생성하려면 네임스페이스가 있는 작업 그룹 생성을 참조하세요. 새 클러스터를 생성하는 경우 적절한 클러스터 크기를 선택하고 클러스터가 암호화되어 있는지 확인합니다. 서버리스의 경우 요구 사항에 따라 작업 그룹 설정을 구성합니다.
통합을 성공적으로 수행하려면 대상 Amazon Redshift 작업 그룹이나 클러스터에서
enable_case_sensitive_identifier파라미터가 켜져 있는지 확인합니다. 대소문자 구분 활성화에 대한 자세한 내용은 Amazon Redshift 관리 안내서의 데이터 웨어하우스에 대소문자 구분 기능 사용 설정을 참조하세요.제로 ETL 통합이 Amazon Redshift 데이터 웨어하우스에 액세스할 수 있도록 IAM 권한을 구성합니다. 다음 권한이 있는 IAM 역할을 생성해야 합니다.
Amazon Redshift 클러스터 또는 작업 그룹에 액세스할 수 있는 권한
Amazon Redshift에서 데이터베이스 및 테이블을 생성하고 관리할 수 있는 권한
모니터링을 위한 CloudWatch 및 CloudWatch Logs 권한
Amazon Redshift 작업 그룹 또는 클러스터 설정이 완료되면 제로 ETL 통합을 위해 데이터 웨어하우스를 구성해야 합니다. 자세한 내용은 Amazon Redshift 관리 안내서의 제로 ETL 통합 시작하기를 참조하세요.
참고
Amazon Redshift 데이터 웨어하우스를 대상으로 사용하는 경우 통합은 지정된 데이터베이스에 복제된 데이터를 저장하기 위한 스키마를 생성합니다. 스키마 이름은 통합 이름에서 파생됩니다.
참고
통합에 성공하려면 대상 Amazon Redshift 작업 그룹 또는 클러스터에 enable_case_sensitive_identifier 파라미터가 켜져 있어야 합니다.
Amazon Redshift 데이터 웨어하우스를 구성한 후 대상과의 통합 구성(으)로 이동하여 통합 설정을 완료할 수 있습니다.
대상과의 통합 구성
소스 리소스와 대상 리소스를 구성한 후 다음 단계에 따라 통합 설정을 완료합니다.
'제로 ETL 통합' 페이지로 이동하여 통합 생성 워크플로를 시작합니다.
이전 단계에서 구성한 소스 리소스를 선택합니다.
이전 단계에서 구성한 대상 리소스(동일한 계정 또는 교차 계정)를 선택하거나 지정합니다.
이전에 구성한 대상 IAM 역할을 선택합니다.
나 대신 수정 옵션을 선택합니다(대상이 동일한 계정에 있는 경우에만 사용 가능).
일반 Amazon S3(AWS Glue 데이터베이스) 및 S3-Table(카탈로그) 대상의 경우 이 옵션을 선택하면 다음과 같이 됩니다.
대상 카탈로그 리소스 정책에서 권한 있는 서비스 보안 주체를 적용합니다.
대상 카탈로그 리소스 정책에 권한 있는 AWS Glue 소스 보안 주체를 적용합니다.
Amazon Redshift 대상의 경우 다음과 같은 결과로 이어집니다.
Amazon Redshift 클러스터 또는 서버리스 작업 그룹에 권한이 있는 서비스 보안 주체를 적용합니다.
Amazon Redshift 클러스터 또는 서버리스 작업 그룹에 권한이 있는 AWS Glue 소스 ARN을 적용합니다.
enable_case_sensitive_identifier = true를 사용하여 새 파라미터 그룹을 연결합니다.
API 또는 CLI를 통해 통합을 생성하려면 CreateIntegration API를 사용합니다.
