Amazon Redshift에서 데이터 공유 권한 부여 - Amazon Redshift

Amazon Redshift에서 데이터 공유 권한 부여

Amazon Redshift를 사용하면 지정된 소비자에 대한 권한을 부여하여 데이터 공유에 대한 액세스를 제어할 수 있습니다. 데이터 공유를 통해 동일하거나 다른 AWS 계정의 Amazon Redshift 클러스터 간에 실시간 데이터를 공유할 수 있으므로 원활한 방법으로 분석 데이터를 배포하고 사용합니다. 이 섹션에서는 Amazon Redshift에서 데이터 공유에 대한 소비자 액세스 권한을 부여하고 취소하기 위한 단계별 지침을 제공합니다.

참고

네임스페이스를 데이터 소비자로 추가하는 경우 권한 부여를 수행할 필요가 없습니다. 데이터 공유에 대한 권한을 부여하려면 데이터 공유에 데이터 소비자가 하나 이상 추가되어 있어야 합니다.

Console

콘솔에서 생산자 관리자는 데이터 공유에 대한 액세스 권한을 부여하거나 제거할 데이터 소비자를 선택할 수 있습니다. 권한이 부여된 데이터 소비자는 datashare에 대한 작업을 수행하라는 알림을 받습니다. 네임스페이스를 데이터 소비자로 추가하는 경우 권한 부여를 수행할 필요가 없습니다.

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/redshiftv2/에서 Amazon Redshift 콘솔을 엽니다.

  2. 탐색 메뉴에서 Datashares를 선택합니다. 여기에서 데이터 공유 소비자라는 목록을 볼 수 있습니다. 승인하려는 하나 이상의 소비자 클러스터를 선택합니다. 그런 다음 권한 부여(Authorize)를 선택합니다.

  3. 계정 권한 부여 대화 상자가 나타납니다. 몇 가지 권한 부여 유형 중에서 선택할 수 있습니다.

    • [클러스터 이름 또는 작업 그룹 이름]에 대해 읽기 전용 - 이 옵션은 데이터 공유 생성자가 쓰기 권한을 부여했더라도 소비자는 쓰기 권한을 사용할 수 없다는 뜻입니다.

    • [클러스터 이름 또는 작업 그룹 이름]에 대해 읽기 및 쓰기 - 이 옵션은 쓰기 권한을 포함하여 생산자가 부여한 모든 권한을 소비자가 사용할 수 있다는 뜻입니다.

  4. 저장을 선택합니다.

소비자로서 AWS Data Exchange 권한을 부여할 수도 있습니다.

  1. 데이터 공유를 생성할 때 Publish to AWS Glue Data Catalog(Glue 데이터 카탈로그에 게시)를 선택한 경우 데이터 공유 권한을 Lake Formation 계정에만 부여할 수 있습니다.

    AWS Data Exchange datashare의 경우 한 번에 하나의 datashare에만 권한을 부여할 수 있습니다.

    AWS Data Exchange datashare에 권한을 부여하면 AWS Data Exchange 서비스와 datashare를 공유하고 AWS Data Exchange에서 사용자를 대신하여 datashare에 대한 액세스를 관리하도록 허용합니다. AWS Data Exchange에서는 소비자가 제품을 구독할 때 AWS Data Exchange datashare에 소비자 계정을 데이터 소비자로 추가하여 소비자에 대한 액세스를 허용합니다. AWS Data Exchange에는 datashare에 대한 읽기 권한이 없습니다.

  2. 저장을 선택합니다.

권한을 부여 받은 데이터 소비자는 datashare 객체에 액세스하고 소비자 데이터베이스를 생성하여 데이터를 쿼리할 수 있습니다.

API

생산자 보안 관리자는 다음을 결정합니다.

  • 다른 계정이 데이터 공유에 액세스할 수 있는지 여부

  • 계정에 데이터 공유에 대한 액세스 권한이 있는 경우, 해당 계정에 쓰기 권한이 있는지 여부

데이터 공유 권한을 부여하려면 다음과 같은 IAM 권한이 필요합니다.

redshift:AuthorizeDataShare

CLI 호출 또는 API를 사용하여 사용 및 쓰기 권한을 부여할 수 있습니다.

authorize-data-share
--data-share-arn <value>
--consumer-identifier <value>
[--allow-writes | --no-allow-writes]

명령에 대한 자세한 내용은 authorize-data-share를 참조하세요.

소비자 식별자는 다음 중 하나일 수 있습니다.

  • 12자리 AWS 계정 ID

  • 네임스페이스 식별자 ARN

참고

권한 부여 단계에서는 쓰기 권한이 부여되지 않습니다. 데이터 공유에 쓰기 권한을 부여하면 데이터 공유 관리자가 부여한 쓰기 권한만 계정에 허용됩니다. 관리자가 쓰기를 허용하지 않는 경우 해당 소비자가 사용할 수 있는 권한은 SELECT, USAGE, EXECUTE뿐입니다.

다른 값으로 authorize-data-share를 다시 호출하여 데이터 공유 소비자의 권한 부여를 변경할 수 있습니다. 새로운 권한 부여가 이전의 권한 부여를 덮어씁니다. 즉, 처음에 쓰기 권한을 부여하고 허용했지만 다시 권한을 부여하고 no-allow-writes를 지정하거나 아니면 단순히 값을 지정하지 않는 경우 소비자의 쓰기 권한이 취소됩니다.