IAM과 Lake Formation이 Glue REST Catalog 및 S3 테이블에 대해 어떻게 작동하는지 검증
이 글은 AWS Glue REST Catalog와 S3 Tables 엔드포인트가 Iceberg 테이블과 상호 작용할 때 나타나는 서로 다른 권한 부여 동작을 살펴봅니다. Glue 엔드포인트는 IAM 정책과 Lake Formation 권한 부여를 모두 사용하는 반면, S3 Tables 엔드포인트는 권한 부여를 위해 IAM만을 사용합니다. IAM 권한과 Lake Formation 권한 부여를 변경하여 결과를 관찰하기 위한 테스트가 수행되었습니다. IAM 및 Lake Formation 권한이 모두 설정된 기준 시나리오는 두 엔드포인트 모두에서 성공적인 200 응답을 반환했습니다. Lake Formation 권한 부여가 제거되었을 때, Glue 엔드포인트는 Lake Formation에 대한 의존성을 나타내는 403 오류를 반환한 반면, S3 Tables 엔드포인트는 200 응답으로 접근 가능한 상태를 유지했습니다. 반대로, s3tables IAM 작업을 제거했을 때 두 엔드포인트 모두에서 403 오류가 발생했습니다. CloudTrail 로그는 권한 부여 흐름을 추적하는 데 사용되었으며, Glue가 궁극적으로 거부되더라도 Lake Formation 평가를 위해 GetDataAccess를 호출하는 것을 보여주었습니다. 그러나 S3 Tables 엔드포인트는 GetDataAccess 호출을 트리거하지 않습니다. 이는 Glue 엔드포인트가 먼저 IAM을 확인한 다음 Lake Formation에 위임하는 두 단계 권한 부여 프로세스를 조정하는 반면, S3 Tables 엔드포인트는 단일 IAM 권한 부여 검사를 수행함을 확인합니다.
GetDataAccess를 호출하는 것을 보여주었습니다. 그러나 S3 Tables 엔드포인트는GetDataAccess호출을 트리거하지 않습니다. 이는 Glue 엔드포인트가 먼저 IAM을 확인한 다음 Lake Formation에 위임하는 두 단계 권한 부여 프로세스를 조정하는 반면, S3 Tables 엔드포인트는 단일 IAM 권한 부여 검사를 수행함을 확인합니다.