AWS Glue 리소스를 하이브리드 리소스로 변환

Lake Formation에 등록되지 않은 데이터 위치에 대해 하이브리드 액세스 모드를 활성화하려면

1. Amazon S3 위치를 등록하여 하이브리드 액세스 모드를 활성화합니다.

   Console

   1. Lake Formation 콘솔에 데이터 레이크 관리자로 로그인합니다.

   2. 탐색 창의 관리에서 데이터 레이크 위치를 선택합니다.

   3. 위치 등록을 선택합니다.

      

   4. 위치 등록 창에서 Lake Formation에 등록하려는 Amazon S3 경로를 선택합니다.

   5. IAM 역할의 경우 AWSServiceRoleForLakeFormationDataAccess 서비스 연결 역할(기본값) 또는 위치를 등록하는 데 사용되는 역할에 대한 요구 사항의 요구 사항을 충족하는 사용자 지정 IAM 역할을 선택합니다.

   6. 하이브리드 액세스 모드를 선택하면 등록된 위치를 가리키는 옵트인 보안 주체와 데이터 카탈로그 데이터베이스 및 테이블에 세분화된 Lake Formation 액세스 제어 정책을 적용할 수 있습니다.


      Lake Formation이 등록된 위치에 대한 액세스 요청을 승인하도록 허용하려면 Lake Formation을 선택합니다.


   7. 위치 등록을 선택합니다.

   AWS CLI

   다음은 HybridAccessEnabled:true/false를 사용하여 Lake Formation에 데이터 위치를 등록하는 예제입니다. HybridAccessEnabled 파라미터의 기본값은 false입니다. Amazon S3 경로, 역할 이름 및 AWS 계정 ID를 유효한 값으로 바꿉니다.

   aws lakeformation register-resource --cli-input-json file:file path
   json:
       {
           "ResourceArn": "arn:aws:s3:::s3-path",
           "UseServiceLinkedRole": false,
           "RoleArn": "arn:aws:iam::<123456789012>:role/<role-name>",
           "HybridAccessEnabled": true
       }        

2. 하이브리드 액세스 모드의 리소스에 대해 Lake Formation 권한을 사용하도록 권한을 부여하고 보안 주체를 옵트인합니다.

   하이브리드 액세스 모드에서 보안 주체 및 리소스를 옵트인하기 전에 하이브리드 액세스 모드에서 Lake Formation에 등록된 위치가 있는 데이터베이스 및 테이블에 IAMAllowedPrincipals 그룹화에 대한 Super 또는 All 권한이 있는지 확인합니다.

   참고

   데이터베이스 내에서는 IAMAllowedPrincipals 그룹에 All tables에 대한 권한을 부여할 수 없습니다. 드롭다운 메뉴에서 각 테이블을 개별적으로 선택하고 권한을 부여해야 합니다. 또한 데이터베이스에 새 테이블을 생성할 때 데이터 카탈로그 설정에서 Use only IAM access control for new tables in new databases를 사용하도록 선택할 수 있습니다. 이 옵션은 데이터베이스 내에 새 테이블을 생성할 때 IAMAllowedPrincipals 그룹에 자동으로 Super 권한을 부여합니다.

   Console

   1. Lake Formation 콘솔의 데이터 카탈로그에서 카탈로그, 데이터베이스 또는 테이블을 선택합니다.

   2. 목록에서 카탈로그, 데이터베이스 또는 테이블을 선택하고 작업 메뉴에서 부여를 선택합니다.

   3. 명명된 리소스 방법 또는 LF 태그를 사용하여 데이터베이스, 테이블 및 열에 대한 권한을 부여할 보안 주체를 선택합니다.

      또는 데이터 권한을 선택하고 목록에서 권한을 부여할 보안 주체를 선택한 다음 권한 부여를 선택합니다.

      데이터 권한 부여에 대한 자세한 내용은 데이터 카탈로그 리소스에 대한 권한 부여 섹션을 참조하세요.

      참고

      보안 주체에게 테이블 생성 권한을 부여하는 경우 보안 주체에 데이터 위치 권한(DATA_LOCATION_ACCESS)도 부여해야 합니다. 테이블을 업데이트하는 데는 이 권한이 필요하지 않습니다.

      자세한 내용은 데이터 위치 권한 부여 단원을 참조하십시오.

   4. 명명된 리소스 방법을 사용하여 권한을 부여하는 경우 데이터 권한 부여 페이지의 하단 섹션에서 보안 주체 및 리소스를 옵트인하는 옵션을 사용할 수 있습니다.

      Lake Formation 권한을 즉시 적용을 선택하여 보안 주체 및 리소스에 대해 Lake Formation 권한을 활성합니다.

      

   5. 권한 부여를 선택합니다.

      데이터 위치를 가리키는 테이블 A에서 보안 주체 A를 옵트인하면 데이터 위치가 하이브리드 모드로 등록된 경우 보안 주체 A가 Lake Formation 권한을 사용하여 이 테이블의 위치에 액세스할 수 있습니다.

   AWS CLI

   다음은 하이브리드 액세스 모드에서 보안 주체와 테이블을 옵트인하기 위한 예제입니다. 역할 이름, AWS 계정 ID, 데이터베이스 이름 및 테이블 이름을 유효한 값으로 바꾸세요.

   aws lakeformation create-lake-formation-opt-in --cli-input-json file://file path
   json:
     {
           "Principal": {
               "DataLakePrincipalIdentifier": "arn:aws:iam::<123456789012>:role/<hybrid-access-role>"
           },
           "Resource": {
               "Table": {
                   "CatalogId": "<123456789012>",
                   "DatabaseName": "<hybrid_test>",
                   "Name": "<hybrid_test_table>"
               }
           }
       }              

   1. 권한을 부여하기 위해 LF 태그를 선택하는 경우, 보안 주체가 별도의 단계에서 Lake Formation 권한을 사용하도록 옵트인할 수 있습니다. 왼쪽 탐색 표시줄의 권한 아래에서 하이브리드 액세스 모드를 선택하여 이 작업을 수행할 수 있습니다.

   2. 하이브리드 액세스 모드 페이지의 하단에서 추가를 선택하여 하이브리드 액세스 모드에 리소스와 보안 주체를 추가합니다.

   3. 리소스 및 보안 주체 추가 페이지에서 하이브리드 액세스 모드에 등록된 카탈로그, 데이터베이스 및 테이블을 선택합니다.

      데이터베이스에서 All tables를 선택하여 액세스 권한을 부여할 수 있습니다.

      

   4. 하이브리드 액세스 모드에서 Lake Formation 권한을 사용하려면 보안 주체 옵트인을 선택합니다.

      • 보안 주체 - 동일한 계정 또는 다른 계정에서 IAM 사용자 및 역할을 선택할 수 있습니다. SAML 사용자 및 그룹을 선택할 수도 있습니다.

      • 속성 - 속성을 선택하여 속성을 기반으로 권한을 부여합니다.

        

      • 키-값 페어를 입력하여 속성을 기반으로 권한 부여를 생성합니다. 콘솔에서 Cedar 정책 표현식을 검토합니다. Cedar에 대한 자세한 내용은 Cedar란 무엇인가요?를 참조하세요. | Cedar 정책 언어 참조 GuideLink.

      • 추가를 선택합니다.

        일치하는 속성을 가진 모든 IAM 역할/사용자에게 액세스 권한이 부여됩니다.

   5. 추가를 선택합니다.