IAM Identity Center AWS Lake Formation 로 설정 - AWS IAM Identity Center
사전 조건신뢰할 수 있는 ID 전파를 설정하기 위한 단계Lake Formation을 통한 신뢰할 수 있는 ID 전파 AWS 계정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center AWS Lake Formation 로 설정

AWS Lake Formation은 AWS에서 데이터 레이크의 생성과 관리를 간소화해주는 관리형 서비스입니다. 데이터 수집, 카탈로그 작성 및 보안을 자동화하고, 다양한 데이터 유형을 저장하고 분석하기 위한 중앙 집중식 리포지토리를 제공합니다. Lake Formation은 세분화된 액세스 제어를 제공하고 다양한 AWS 분석 서비스와 통합하여 조직이 데이터 레이크에서 인사이트를 효율적으로 설정, 보호 및 도출할 수 있도록 합니다.

Lake Formation이 IAM Identity Center 및 신뢰할 수 있는 ID 전파를 사용하여 사용자 자격 증명을 기반으로 데이터 권한을 부여하도록 하려면 다음 단계에 따릅니다.

사전 조건

이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.

신뢰할 수 있는 ID 전파를 설정하기 위한 단계

  1. Lake Formation과 IAM Identity Center 연결의 지침에 따라 IAM Identity Center를 AWS Lake Formation과 통합합니다.

    중요

    AWS Glue Data Catalog 테이블이 없는 경우 AWS Lake Formation 을 사용하여 IAM Identity Center 사용자 및 그룹에 액세스 권한을 부여하려면 테이블을 생성해야 합니다. 자세한 내용은 AWS Glue Data Catalog에서 객체 생성을 참조하세요.

  2. 데이터 레이크 위치를 등록합니다.

    Glue 테이블의 데이터가 저장되는 S3 위치를 등록합니다. 이렇게 하면 Lake Formation은 테이블을 쿼리할 때 필요한 S3 위치에 대한 임시 액세스 권한을 프로비저닝하기 때문에 서비스 역할(예: WorkGroup에 구성된 Athena 서비스 역할)에 S3 권한을 포함할 필요가 없습니다.

    1. AWS Lake Formation 콘솔의 탐색 창에서 관리 섹션 아래의 데이터 레이크 위치로 이동합니다. 위치 등록을 선택합니다.

      이렇게 하면 Lake Formation이 S3 데이터 위치에 액세스하는 데 필요한 권한으로 임시 IAM 자격 증명을 프로비저닝할 수 있습니다.

      1단계: Lake Formation 콘솔에 데이터 레이크 위치 등록.

    2. Amazon S3 경로 필드에 AWS Glue 테이블의 데이터 위치에 해당하는 S3 경로를 입력합니다.

    3. 신뢰할 수 있는 ID 전파와 함께 사용하려면 IAM 역할 섹션에서 서비스 연결 역할을 선택하지 않습니다. 다음 권한을 가진 별도의 역할을 만듭니다.

      이 정책을 사용하려면 정책 예제의 기울임꼴의 자리표시자 텍스트를 본인의 정보로 대체합니다. 추가 지침은 정책 생성 또는 정책 편집을 참조하세요. 권한 정책은 다음 경로에 지정된 S3 위치에 대한 액세스 권한을 부여해야 합니다.

      1. 권한 정책:

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket/*"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::Your-S3-Bucket"
            ]
        },
        {
            "Sid": "LakeFormationDataAccessServiceRolePolicy",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        }
    ]
}

      2. 신뢰 관계: 여기에는 신뢰할 수 있는 ID 전파에 필요한sts:SectContext가 포함되어야 합니다.

        JSON
        {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": "lakeformation.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ]
        }
    ]
}
        참고

        마법사에서 생성한 IAM 역할은 서비스 연결 역할이며 sts:SetContext를 포함하지 않습니다.

    4. IAM 역할을 생성했으면 위치 등록을 선택합니다.

Lake Formation을 통한 신뢰할 수 있는 ID 전파 AWS 계정

AWS Lake Formation 는 AWS Resource Access Manager (RAM)를 사용하여에서 테이블을 공유할 수 있도록 지원 AWS 계정 하며 AWS Organizations, 권한 부여자 계정과 피부여자 계정이 동일한 AWS 리전에 있는 경우 신뢰할 수 있는 자격 증명 전파와 함께 작동하고 IAM Identity Center의 동일한 조직 인스턴스를 공유합니다. 자세한 내용은 Lake Formation에서의 교차 계정 데이터 공유를 참조하세요.