권한 부여

S3 테이블을와 통합 AWS Lake Formation한 후 S3 테이블 카탈로그 및 카탈로그 객체(테이블 버킷, 데이터베이스, 테이블)에 대한 권한을 계정의 다른 IAM 역할 및 사용자에게 부여할 수 있습니다. Lake Formation 권한을 사용하면 Amazon Redshift Spectrum 및 Athena와 같은 통합 분석 엔진 사용자의 테이블, 열 및 행 수준 세부 수준에서 액세스 제어를 정의할 수 있습니다.

명명된 리소스 방법 또는 Lake Formation 태그 기반 액세스 제어(LF-TBAC) 방법을 사용하여 권한을 부여할 수 있습니다. LF 태그 및 LF 태그 표현식을 사용하여 권한을 부여하기 전에 해당 표현식을 정의하고 Data Catalog 객체에 할당해야 합니다.

자세한 내용은 메타데이터 액세스 제어를 위한 LF 태그 관리 단원을 참조하십시오.

외부 AWS 계정에 Lake Formation 권한을 부여하여 외부 계정과 데이터베이스 및 테이블을 공유할 수 있습니다. 그러면 사용자는 여러 계정의 테이블을 조인하고 쿼리하는 작업과 쿼리를 실행할 수 있습니다. 카탈로그 리소스를 다른 계정과 공유하는 경우 해당 계정의 보안 주체는 리소스가 데이터 카탈로그에 있는 것처럼 해당 리소스에서 작업할 수 있습니다.

데이터베이스 및 테이블을 외부 계정과 공유하는 경우 슈퍼 사용자 권한을 사용할 수 없습니다.

권한 부여에 대한 자세한 지침은 Lake Formation 권한 관리 섹션을 참조하세요.

AWS CLI Amazon S3 테이블에 대한 권한 부여 예제


aws lakeformation grant-permissions \
--cli-input-json \
'{
    "Principal": {
        "DataLakePrincipalIdentifier":"arn:aws:iam::111122223333:role/DataAnalystRole"
    },
    "Resource": {
        "Table": {
            "CatalogId":"111122223333:s3tablescatalog/amzn-s3-demo-bucket1",
            "DatabaseName":"S3 table bucket namespace <example_namespace>",
            "Name":"S3 table bucket table name <example_table>"
        }
    },
    "Permissions": [
        "SELECT"
    ]
}'

다음은 명령에 포함할 파라미터입니다.

DataLakePrincipalIdentifier – 권한을 부여하는 IAM 사용자, 역할 또는 그룹 ARN
CatalogId - 데이터 카탈로그를 소유한 12자리 AWS 계정 ID
DatabaseName - Amazon S3 테이블 버킷 이름 공간의 이름
이름 - Amazon S3 테이블 버킷 테이블 이름
권한 - 부여할 수 있는 권한입니다. 옵션에는 SELECT, INSERT, DELETE, DESCRIBE, ALTER, DROP, ALLL 및 SUPER가 포함됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

다른 AWS 계정에 Amazon S3 테이블 버킷 등록

공유 Amazon S3 테이블 액세스