메뉴 닫기
  • Home
  • Amazon Redshift와 AWS Lake Formation을 위한 신뢰된 신원 전파 기반 접근 제어 자동화 방법
    •

Amazon Redshift와 AWS Lake Formation을 위한 신뢰된 신원 전파 기반 접근 제어 자동화 방법

user(acloud)/ /

기업의 데이터 아키텍처가 점점 현대화됨에 따라, 외부 IdP(Identity Provider)를 사용하는 사용자에 대해 보다 세분화된 접근 제어가 요구되고 있습니다. 이를 해결하기 위한 AWS의 새로운 기능 ― 신뢰할 수 있는 신원 전파(Trusted Identity Propagation)를 활용하면, Amazon Redshift와 AWS Lake Formation 간의 사용자 인증 및 권한 관리를 자동화하고, 보안성과 운영 효율을 크게 향상시킬 수 있습니다. 이번 포스팅에서는 신원 전파 기능을 활용한 데이터 접근 제어 자동화 및 활용 가이드를 상세히 설명합니다.

도입 배경

전통적으로 외부 IdP를 사용하는 기업은 AWS IAM 역할을 개별적으로 매핑해 사용자 그룹 별 접근 권한을 구성해야 했습니다. 이 접근 방식은 확장성이 떨어지고, 변경 관리가 복잡하며, 데이터 접근 이력을 서비스 단위로 추적하기도 어려웠습니다.

하지만 Amazon Redshift, Amazon QuickSight, AWS Lake Formation은 이제 AWS IAM Identity Center와 통합된 '신뢰할 수 있는 신원 전파' 기능을 지원합니다. 이 기능은 외부 IdP 사용자 인증을 한 번으로 통합(Single Sign-On)하며, 각 서비스 간 동일한 신원을 바탕으로 데이터 접근을 연결합니다. 이로 인해 분석 환경에서 실제 최종 사용자의 권한 별 데이터 접근 제어를 가능하게 합니다.

솔루션 아키텍처

IAM Identity Center를 신뢰된 사용자 인증 소스로 사용하고, Amazon Redshift와 Lake Formation을 연결함으로써, 서비스 전반에 걸쳐 IdP 기반 권한 제어와 중앙 집중식의 감사 로그 추적이 가능합니다.

신뢰된 신원 전파 아키텍처 다이어그램

활용사례 1: Redshift Spectrum과 Lake Formation 연동

Redshift Spectrum을 활용하면 Amazon S3에 있는 데이터를 외부 테이블로 쿼리할 수 있습니다. 여기서 IAM Identity Center 그룹에 기반한 세분화된 권한 설정을 위해 다음 단계를 설정합니다.

  • AWS Glue Crawler를 활용해 S3에 저장된 데이터를 ny_pub 외부 테이블로 자동 생성합니다.

    Glue Crawler를 통한 데이터 등록 구조

  • IAM Identity Center 기반 그룹에 데이터베이스와 테이블 권한을 부여해 접근 제어 정책을 정립합니다.

  • Amazon Redshift Query Editor v2에서 구성된 외부 스키마를 연동하고, IAM Identity Center 사용자로 로그인하면 개별 권한이 반영된 데이터 쿼리가 가능합니다.

Redshift Spectrum에서 외부 사용자 데이터 접근 쿼리 결과

활용사례 2: Redshift Data Sharing과 Lake Formation 연동

Redshift Data Sharing을 통해 계정 간 또는 클러스터 간 데이터 공유가 가능해지며, 이를 Lake Formation과 연동해 보안성과 추적 가능성을 높입니다.

  • 데이터 공유를 생성하고, 데이터 카탈로그를 통해 공유를 등록합니다.
  • 공유된 데이터베이스 및 테이블에 대해 IAM Identity Center 사용자 그룹에 권한을 부여합니다.
  • 타겟 클러스터에 외부 스키마를 생성하고 최종 사용자에게 SELECT 권한을 부여합니다.
  • 사용자는 IAM Identity Center 계정을 통해 로그인 후 공유된 테이블에 대해 질의를 실행합니다.

자동화 및 보안 감사

데이터 접근 요청은 Lake Formation 이벤트 로그를 통해 모두 추적되며, 각 접근 요청에 사용된 서비스, 사용자, 세션 ID, 쿼리 ID 등을 포함하고 있어 감사(Compliance)뿐만 아니라 보안 감시 측면에서도 높은 활용도를 제공합니다.

Lake Formation 감사 로그 예시

활용 효과 비교 및 기대 가치

구분 기존 IAM Role 매핑 방식 IAM Identity Center 기반 신뢰 전파 방식
권한 관리 수동 매핑, 복잡한 관리 자동화, 확장성 우수
사용자 추가 수동 권한 부여 필요 그룹 동기화 자동 배포
감사 로그 서비스 단위 제한적 사용자 단위 정밀 추적 가능
SSO 연결 제한적 통합된 로그인 경험 제공

결론

AWS IAM Identity Center와 연동한 Amazon Redshift, Lake Formation 접근 제어 자동화는 기업이 데이터 보안과 거버넌스를 강화하면서도 운영 효율과 사용자 편의성을 동시에 확보할 수 있도록 돕습니다. 본 가이드에서는 Trusted Identity Propagation 구조를 어떻게 구성하고 해당 기능을 활용하는지, 레퍼런스 아키텍처와 함께 자세히 소개했습니다. 향후 기업 내 역할 기반 접근 제어나 자동화된 권한 관리 체계를 고려하신다면 이 방식을 적극 추천드립니다.

https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/

AI, Cloud 관련한 문의는 아래 연락처로 연락주세요!

(주)에이클라우드
이메일 : acloud@a-cloud.co.kr
회사 번호 : 02-538-3988
회사 홈페이지 : https://www.a-cloud.co.kr/
문의하기


AI, Cloud 도입 상담 배너

Tagged , ,