Collegamento di Lake Formation con IAM Identity Center

Per connettere Lake Formation con IAM Identity Center

1. Accedi a AWS Management Console, e apri la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/.

2. Nel riquadro di navigazione a sinistra, seleziona IAMIdentity Center integration.

   

3. (Facoltativo) Inserisci una o più organizzazioni IDs e/o unità organizzative valide Account AWS IDs IDs per consentire agli account esterni di accedere alle risorse del Data Catalog. Quando gli utenti o i gruppi di IAM Identity Center tentano di accedere alle risorse del Data Catalog gestite da Lake Formation, Lake Formation si assume il IAM ruolo di autorizzare l'accesso ai metadati. Se il IAM ruolo appartiene a un account esterno che non dispone di una politica AWS Glue delle risorse e di una condivisione di AWS RAM risorse, gli utenti e i gruppi IAM dell'Identity Center non saranno in grado di accedere alla risorsa anche se dispongono delle autorizzazioni di Lake Formation.

   Lake Formation utilizza il servizio AWS Resource Access Manager (AWS RAM) per condividere la risorsa con account e organizzazioni esterni. AWS RAM invia un invito all'account del beneficiario per accettare o rifiutare la condivisione delle risorse.

   Per ulteriori informazioni, consulta Accettazione di un invito alla condivisione di risorse da AWS RAM.

   Nota

   Lake Formation consente ai IAM ruoli di account esterni di agire come portatori per conto degli utenti e dei gruppi di IAM Identity Center per l'accesso alle risorse del Data Catalog, ma le autorizzazioni possono essere concesse solo sulle risorse del Data Catalog all'interno dell'account proprietario. Se provi a concedere le autorizzazioni agli utenti e ai gruppi di IAM Identity Center sulle risorse di Data Catalog in un account esterno, Lake Formation genera il seguente errore: «Le sovvenzioni tra account non sono supportate per il principale».

4. (Facoltativo) Nella schermata di integrazione Create Lake Formation, specifica le applicazioni ARNs di terze parti che possono accedere ai dati nelle località Amazon S3 registrate con Lake Formation. Lake Formation fornisce credenziali temporanee limitate sotto forma di token alle sedi Amazon S3 registrate in base AWS STS alle autorizzazioni effettive, in modo che le applicazioni autorizzate possano accedere ai dati per conto degli utenti.

5. Selezionare Invia.

   Dopo che l'amministratore di Lake Formation ha completato i passaggi e creato l'integrazione, le proprietà di IAM Identity Center vengono visualizzate nella console di Lake Formation. Il completamento di queste attività rende Lake Formation un'applicazione abilitata per IAM Identity Center. Le proprietà della console includono lo stato dell'integrazione. Lo stato dell'integrazione indica Success quando è completata. Questo stato indica se la configurazione di IAM Identity Center è stata completata.