Lake Formation と IAM Identity Center の接続

Lake Formation を IAM Identity Center に接続するには

1. にサインインし AWS Management Console、 で Lake Formation コンソールを開きますhttps://console.aws.amazon.com/lakeformation/。

2. 左側のナビゲーションペインで、IAMIdentity Center 統合 を選択します。

   

3. （オプション) 1 つ以上の有効な AWS アカウント IDs、組織、および/または組織単位IDsを入力してIDs、外部アカウントが Data Catalog リソースにアクセスできるようにします。IAM Identity Center ユーザーまたはグループが Lake Formation マネージド Data Catalog リソースにアクセスしようとすると、Lake Formation はメタデータアクセスを承認するIAMロールを引き受けます。IAM ロールがリソースポリシーと AWS Glue リソース AWS RAM 共有を持たない外部アカウントに属する場合、IAMIdentity Center のユーザーとグループは Lake Formation アクセス許可があってもリソースにアクセスできません。

   Lake Formation は AWS Resource Access Manager （AWS RAM) サービスを使用して、リソースを外部アカウントや組織と共有します。 は、リソース共有を承諾または拒否するための招待を被付与者アカウント AWS RAM に送信します。

   詳細については、「からのリソース共有の招待の承諾 AWS RAM」を参照してください。

   注記

   Lake Formation は、外部アカウントからのIAMロールが、Data Catalog リソースにアクセスするための IAM Identity Center ユーザーおよびグループに代わってキャリアロールとして機能することを許可しますが、アクセス許可は、所有アカウント内の Data Catalog リソースに対してのみ付与できます。外部アカウントの Data Catalog リソースに対するアクセス許可を IAM Identity Center のユーザーとグループに付与しようとすると、Lake Formation は次のエラーをスローします。「Cross-account grants are not supported for the principal」。

4. （オプション) Lake Formation 統合の作成画面で、Lake Formation に登録されている Amazon ARNs S3 ロケーションのデータにアクセスできるサードパーティーアプリケーションの を指定します。 Amazon S3 Lake Formation は、有効なアクセス許可に基づいて、登録された Amazon S3 ロケーションに AWS STS トークンの形式でスコープダウンされた一時的な認証情報を提供し、承認されたアプリケーションがユーザーに代わってデータにアクセスできるようにします。

5. [Submit] (送信) を選択します。

   Lake Formation 管理者がステップを完了して統合を作成すると、IAMIdentity Center プロパティが Lake Formation コンソールに表示されます。これらのタスクを完了すると、Lake Formation は IAM Identity Center 対応アプリケーションになります。コンソールのプロパティには統合ステータスが含まれます。統合が完了すると、統合ステータスに Success と表示されます。このステータスは、IAMIdentity Center の設定が完了したかどうかを示します。