AWS IAM Identity Center을 사용하면 자격 증명 공급자(IdP)에 연결하고 AWS 분석 서비스 전반에서 사용자 및 그룹의 액세스를 중앙에서 관리할 수 있습니다. IAM Identity Center에서 활성화된 애플리케이션으로 AWS Lake Formation을 구성할 수 있으며, 데이터 레이크 관리자는 AWS Glue Data Catalog 리소스에 대해 승인된 사용자 및 그룹에 세분화된 권한을 부여할 수 있습니다.
Lake Formation과 IAM Identity Center 통합에는 다음과 같은 제한 사항이 적용됩니다.
Lake Formation에서는 IAM Identity Center 사용자 및 그룹을 데이터 레이크 관리자 또는 읽기 전용 관리자로 할당할 수 없습니다.
IAM Identity Center 사용자 및 그룹은 사용자를 대신하여 데이터 카탈로그를 암호화하고 해독하기 위해 AWS Glue가 수임할 수 있는 IAM 역할을 사용할 경우 암호화된 데이터 카탈로그 리소스를 쿼리할 수 있습니다. AWS 관리형 키는 신뢰할 수 있는 ID 전파를 지원하지 않습니다.
-
IAM Identity Center 사용자 및 그룹은 IAM Identity Center에서 제공하는
AWSIAMIdentityCenterAllowListForIdentityContext
정책에 나열된 API 작업만 호출할 수 있습니다. -
Lake Formation은 외부 계정의 IAM 역할이 데이터 카탈로그 리소스에 액세스하기 위한 IAM Identity Center 사용자 및 그룹을 대신하여 통신 사업자 역할을 수행하도록 허용하지만 소유 계정 내의 데이터 카탈로그 리소스에 대해서만 권한을 부여할 수 있습니다. 외부 계정의 데이터 카탈로그 리소스에 대한 IAM Identity Center 사용자 및 그룹에 권한을 부여하려고 할 경우 Lake Formation에서 “보안 주체에 대해 교차 계정 권한 부여가 지원되지 않습니다.” 오류가 발생합니다.