Prasyarat untuk integrasi IAM Identity Center dengan Lake Formation - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk integrasi IAM Identity Center dengan Lake Formation

Berikut ini adalah prasyarat untuk mengintegrasikan IAM Identity Center dengan Lake Formation.

  1. Aktifkan Pusat Identitas IAM - Mengaktifkan IAM Identity Center adalah prasyarat untuk mendukung otentikasi dan propagasi identitas.

  2. Pilih sumber identitas Anda — Setelah mengaktifkan Pusat Identitas IAM, Anda harus memiliki penyedia identifikasi untuk mengelola pengguna dan grup. Anda dapat menggunakan direktori Pusat Identitas bawaan sebagai sumber identitas atau menggunakan iDP eksternal, seperti Microsoft Entra ID atau Okta.

    Untuk informasi selengkapnya, lihat Mengelola sumber identitas Anda dan Connect ke penyedia identitas eksternal di Panduan AWS IAM Identity Center Pengguna.

  3. Buat peran IAM — Peran yang membuat koneksi IAM Identity Center memerlukan izin untuk membuat dan memodifikasi konfigurasi aplikasi di Lake Formation dan IAM Identity Center seperti dalam kebijakan inline berikut.

    Anda perlu menambahkan izin per praktik terbaik IAM. Izin khusus dirinci dalam prosedur berikut. Untuk informasi selengkapnya, lihat Memulai Pusat Identitas IAM.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

    Jika Anda berbagi sumber daya Katalog Data dengan eksternal Akun AWS atau organisasi, Anda harus memiliki izin AWS Resource Access Manager (AWS RAM) untuk membuat pembagian sumber daya. Untuk informasi selengkapnya tentang izin yang diperlukan untuk berbagi sumber daya, lihat Prasyarat berbagi data lintas akun.

Kebijakan inline berikut berisi izin khusus yang diperlukan untuk melihat, memperbarui, dan menghapus properti integrasi Lake Formation dengan IAM Identity Center.

  • Gunakan kebijakan inline berikut untuk mengizinkan peran IAM untuk melihat integrasi Lake Formation dengan IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Gunakan kebijakan inline berikut untuk mengizinkan peran IAM memperbarui integrasi Lake Formation dengan IAM Identity Center. Kebijakan ini juga mencakup izin opsional yang diperlukan untuk berbagi sumber daya dengan akun eksternal.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Gunakan kebijakan inline berikut untuk mengizinkan peran IAM menghapus integrasi Lake Formation dengan IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Untuk izin IAM yang diperlukan untuk memberikan atau mencabut izin data lake bagi pengguna dan grup Pusat Identitas IAM, lihat. Izin IAM diperlukan untuk memberikan atau mencabut izin Lake Formation

Deskripsi izin

  • lakeformation:CreateLakeFormationIdentityCenterConfiguration— Membuat konfigurasi iDC Lake Formation.

  • lakeformation:DescribeLakeFormationIdentityCenterConfiguration— Menjelaskan konfigurasi IDC yang ada.

  • lakeformation:DeleteLakeFormationIdentityCenterConfiguration— Memberikan kemampuan untuk menghapus konfigurasi Lake Formation IDC yang ada.

  • lakeformation:UpdateLakeFormationIdentityCenterConfiguration— Digunakan untuk mengubah konfigurasi Lake Formation yang ada.

  • sso:CreateApplication— Digunakan untuk membuat aplikasi IAM Identity Center.

  • sso:DeleteApplication— Digunakan untuk menghapus aplikasi IAM Identity Center.

  • sso:UpdateApplication— Digunakan untuk memperbarui aplikasi Pusat Identitas IAM.

  • sso:PutApplicationGrant— Digunakan untuk mengubah informasi penerbit token tepercaya.

  • sso:PutApplicationAuthenticationMethod— Memberikan akses otentikasi Lake Formation.

  • sso:GetApplicationGrant— Digunakan untuk mencantumkan informasi penerbit token tepercaya.

  • sso:DeleteApplicationGrant— Menghapus informasi penerbit token kepercayaan.

  • sso:PutApplicationAccessScope— Menambahkan atau memperbarui daftar target resmi untuk ruang lingkup akses Pusat Identitas IAM untuk aplikasi.

  • sso:PutApplicationAssignmentConfiguration— Digunakan untuk mengkonfigurasi bagaimana pengguna mendapatkan akses ke aplikasi.