기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM Identity Center AWS Lake Formation 로 설정
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)은 AWS에서 데이터 레이크의 생성과 관리를 간소화해주는 관리형 서비스입니다. 데이터 수집, 카탈로그 작성 및 보안을 자동화하고, 다양한 데이터 유형을 저장하고 분석하기 위한 중앙 집중식 리포지토리를 제공합니다. Lake Formation은 세분화된 액세스 제어를 제공하고 다양한 AWS 분석 서비스와 통합되어 조직이 데이터 레이크에서 인사이트를 효율적으로 설정, 보호 및 도출할 수 있도록 합니다.
Lake Formation이 IAM Identity Center 및 신뢰할 수 있는 ID 전파를 사용하여 사용자 자격 증명을 기반으로 데이터 권한을 부여하도록 하려면 다음 단계에 따릅니다.
## 사전 조건
이 자습서를 시작하려면 먼저 다음을 설정해야 합니다.
+ [IAM Identity Center를 활성화합니다](enable-identity-center.md). [조직 인스턴스](organization-instances-identity-center.md)를 권장합니다. 자세한 내용은 [필수 조건 및 고려 사항](trustedidentitypropagation-overall-prerequisites.md) 단원을 참조하십시오.
## 신뢰할 수 있는 ID 전파를 설정하기 위한 단계
1. **[Lake Formation과 IAM Identity Center 연결](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html)의 지침에 따라 IAM Identity Center를 AWS Lake Formation과 통합합니다**.
**중요**
** AWS Glue Data Catalog 테이블이 없는 경우** AWS Lake Formation 을 사용하여 IAM Identity Center 사용자 및 그룹에 액세스 권한을 부여하려면 테이블을 생성해야 합니다. 자세한 내용은 [AWS Glue Data Catalog에서 객체 생성](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html)을 참조하세요.
1. **데이터 레이크 위치를 등록합니다**.
Glue 테이블의 데이터가 저장되는 [S3 위치를 등록합니다](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html). 이렇게 하면 Lake Formation은 테이블을 쿼리할 때 필요한 S3 위치에 대한 임시 액세스 권한을 프로비저닝하기 때문에 서비스 역할(예: WorkGroup에 구성된 Athena 서비스 역할)에 S3 권한을 포함할 필요가 없습니다.
1. AWS Lake Formation 콘솔의 탐색 창에서 **관리** 섹션 아래에 있는 **데이터 레이크 위치로** 이동합니다. **위치 등록**을 선택합니다.
이렇게 하면 Lake Formation이 S3 데이터 위치에 액세스하는 데 필요한 권한으로 임시 IAM 자격 증명을 프로비저닝할 수 있습니다.
![\[1단계: Lake Formation 콘솔에 데이터 레이크 위치 등록.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. **Amazon S3 경로** 필드에 AWS Glue 테이블의 데이터 위치에 해당하는 S3 경로를 입력합니다.
1. 신뢰할 수 있는 ID 전파와 함께 사용하려면 **IAM 역할** 섹션에서 서비스 연결 역할을 선택하지 않습니다. 다음 권한을 가진 별도의 역할을 만듭니다.
이 정책을 사용하려면 정책 예제의 *기울임꼴의 자리표시자 텍스트*를 본인의 정보로 대체합니다. 추가 지침은 [정책 생성](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) 또는 [정책 편집](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)을 참조하세요. 권한 정책은 다음 경로에 지정된 S3 위치에 대한 액세스 권한을 부여해야 합니다.
1. **권한 정책**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **신뢰 관계**: 여기에는 신뢰할 수 있는 ID 전파에 필요한`sts:SectContext`가 포함되어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**참고**
마법사에서 생성한 IAM 역할은 서비스 연결 역할이며 `sts:SetContext`를 포함하지 않습니다.
1. IAM 역할을 생성했으면 **위치 등록**을 선택합니다.
## Lake Formation을 통한 신뢰할 수 있는 ID 전파 AWS 계정
AWS Lake Formation 는 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html)를 사용하여에서 테이블을 공유할 수 있도록 지원 AWS 계정 하며 AWS Organizations, 권한 부여자 계정과 피부여자 계정이 동일한 AWS 리전에 있는 경우 신뢰할 수 있는 자격 증명 전파와 함께 작동하고 IAM Identity Center의 동일한 조직 인스턴스를 공유합니다. 자세한 내용은 [Lake Formation에서의 교차 계정 데이터 공유](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html)를 참조하세요.