BLOG
오늘 자 포스팅에선 Amazon QuickSight의 액세스 제어 기능에 대해 다뤄볼 예정인데요, AWS ID 및 IAM이 허용하는 리소스에 대해 이제 세분화된 액세스 제어가 가능하다는 소식을 전해드리게 되어 기쁩니다. 이 세분화된 액세스 제어를 통해 Amazon QuickSight 계정 관리자는 연결된 AWS 리소스에 대한 작성자의 기본 액세스를 제어 할 수 있습니다. 또한 IAM 정책을 사용하여 액세스 권한을 범위를 좁히고 AWS 리소스 내의 특정 항목에 대한 특정 작성자의 액세스를 제한 할 수 있습니다. 관리자는 이제 이 새로운 수준의 액세스 제어를 Amazon S3, Amazon Athena 및 Amazon RDS / Redshift 데이터베이스 검색에 적용할 수 있습니다.
세분화된 액세스 제어 설정
다음은 Amazon QuickSight에서 세분화된 액세스 제어가 작동하는 방식입니다.
Acme라는 AWS 고객이 있다고 가정해 보겠습니다. 이 Acme의 계정에는 B1, B2 및 B3이라는 3개의 S3 버킷이 있고, Amazon QuickSight는 Athena를 통해 데이터를 읽도록 구성됩니다. Acme의 관리자는 해당 세 가지 버킷 모두에 액세스 할 수 있는 Amazon QuickSight 서비스 역할 권한을 구성했다고 한다면, 앞서 소개한 신규 기본 액세스 설정을 통해 관리자는 기본적으로 모든 사용자에 대해 Acme의 데이터에 대한 액세스를 제한할 수 있습니다. 관리자는 IAM 정책을 통해 Acme 내의 개별 사용자 또는 그룹의 특정 버킷 (B1, B2, B3)에 대한 액세스 권한을 부여합니다.
아래의 다이어그램과 같이 Acme 사용자 A, 사용자 B, 그룹 X에 할당된 정책은 버킷 1, 2 및 3에 대한 액세스 권한을 부여하고, 그룹 Y는 할당되지 않습니다.
사용자 A가 버킷 1에서 Athena를 통해 데이터를 읽으려고 하면 AWS는 사용자와 관련된 IAM 정책을 평가합니다. 사용자 A에게 할당된 정책이 버킷 1에 대한 액세스를 허용하기 때문에 쿼리가 성공합니다. 그렇게 되면 사용자 A는 버킷 1의 데이터에 액세스 할 수 있습니다. 마찬가지로 사용자 B와 그룹 X의 사용자는 각각 버킷 2 및 버킷 3의 데이터에 액세스 할 수 있습니다.
그러나 그룹 Y의 사용자가 버킷 2에 액세스하려고 하면 QuickSight에서 데이터에 대한 액세스를 허용하지 않습니다. 그룹 Y에는 사용자 수준 할당이 없기 때문이죠. 아래의 다이어그램처럼 Amazon QuickSight은 데이터에 액세스 할 수 있는 명시적인 권한을 요구하므로, Y 그룹의 사용자는 버킷 2에 대한 액세스가 거부됩니다.
S3 데이터 레이크에서 Amazon QuickSight를 통해 관리자는 IAM 정책을 사용하여 각 작성자의 데이터 액세스를 제한 할 수 있습니다. Amazon QuickSight 외부의 다른 AWS 메커니즘은 정책 자체의 수정을 제공합니다. 이 세분화된 액세스 제어는 기본 IAM 정책 평가 인프라에 의존합니다. 런타임에 함께 연결하여 사용자의 권한을 평가할 수 있는 정책에는 현재 10가지의 정책 제한이 있습니다.
Amazon QuickSight는 AWS 권한 관리를 위해 업데이트된 UI를 제공합니다. 관리자는 이제 아래의 스크린 샷과 같이 계정의 기본 리소스 설정에 액세스 할 수 있습니다.
관리 모델에 따라 기본 리소스 액세스를 허용 또는 거부로 설정할 수 있습니다. 적절한 옵션을 선택하고 ‘Update’를 누릅니다. (진행하지 않으려면 ‘Cancel’를 누릅니다.)
이전과 마찬가지로 새 UI를 통해 Amazon QuickSight 계정에 대한 AWS 리소스 권한을 지정할 수 있습니다. 다음 스크린 샷과 같이 화면의 오른쪽에 있는 체크박스에서 리소스를 선택하십시오.
다음 스크린 샷에서 볼 수 있듯이 S3 액세스는 AWS 계정 또는 다른 AWS 계정 내의 버킷에 부여 될 수 있습니다.
특정 사용자 또는 그룹에 대한 액세스를 제어하려면 다음 스크린 샷과 같이 새로 나온 세분화된 액세스 제어 기능을 사용하십시오.
IAM policy assignments(IAM 정책 할당)의 버튼을 클릭하면 계정의 모든 할당을 표시하는 페이지로 넘어가고 다음 스크린 샷과 같이, 새로운 할당을 만들 수 있습니다.
새 정책 할당을 만드는 과정은 다음의 두 단계만 거치면 됩니다.
-
- AWS 계정 목록에 있는 IAM 정책에서 선택하십시오.
- 특정 사용자 또는 그룹에 할당하십시오.
Amazon QuickSight에서 아직 그룹을 구성하지 않은 경우, SSO 또는 Amazon QuickSight 고유의 자격 증명을 사용하는 계정에 대해 AWS API를 사용하여 그룹을 구성할 수 있습니다. 그룹은 AD 연결 계정에서도 기본적으로 사용할 수 있습니다.
Amazon QuickSight의 세분화된 액세스 제어를 S3 및 Athena의 데이터와 결합하면 조직 전체에서 데이터 탐색을 위한 보안 환경을 설정할 수 있습니다. 이 기능은 현재 지원되는 모든 AWS 지역의 Amazon QuickSight Enterprise Edition에서 사용할 수 있습니다.
원문 URL: https://aws.amazon.com/ko/blogs/big-data/introducing-amazon-quicksight-fine-grained-access-control-over-amazon-s3-and-amazon-athena
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.