借助 AWS IAM Identity Center,您可以连接到身份提供者(IdP)并跨 AWS 分析服务集中管理用户和组的访问权限。您可以在 IAM Identity Center 中将 AWS Lake Formation 配置为已启用的应用程序,并且数据湖管理员可以向授权用户和组授予对 AWS Glue Data Catalog 资源的精细权限。
以下限制适用于 Lake Formation 与 IAM Identity Center 的集成:
您无法在 Lake Formation 中将 IAM Identity Center 用户和组分配为数据湖管理员或只读管理员。
如果您使用的是 AWS Glue 可以为加密和解密数据目录而代表您代入的 IAM 角色,则 IAM Identity Center 用户和组可以查询加密的数据目录资源。AWS 托管式密钥不支持可信身份传播。
-
IAM Identity Center 用户和组只能调用 IAM Identity Center 提供的
AWSIAMIdentityCenterAllowListForIdentityContext
策略中列出的 API 操作。 -
Lake Formation 允许外部账户中的 IAM 角色代表 IAM Identity Center 用户和组作为访问数据目录资源的载体角色,但只能在所有者账户内授予对数据目录资源的权限。如果您尝试在外部账户中向 IAM Identity Center 用户和组授予对数据目录资源的权限,那么 Lake Formation 会引发以下错误:“主体不支持跨账户授权。”