將 Lake Formation 與 IAM Identity Center 連線

將 Lake Formation 與 IAM Identity Center 連線

1. 登入 AWS Management Console，然後在 開啟 Lake Formation 主控台https://console.aws.amazon.com/lakeformation/。

2. 在左側導覽窗格中，選取 IAM Identity Center 整合 。

   

3. （選用） 輸入一或多個有效的 IDs、 AWS 帳戶 IDs組織 和/或組織單位IDs，以允許外部帳戶存取 Data Catalog 資源。當 IAM Identity Center 使用者或群組嘗試存取 Lake Formation 受管 Data Catalog 資源時，Lake Formation 會擔任授權中繼資料存取IAM的角色。如果IAM角色屬於沒有 AWS Glue 資源政策和 AWS RAM 資源共用的外部帳戶，即使 IAM Identity Center 使用者和群組具有 Lake Formation 許可，也無法存取資源。

   Lake Formation 使用 AWS Resource Access Manager （AWS RAM） 服務與外部帳戶和組織共用資源。 AWS RAM 傳送邀請給受讓者帳戶，以接受或拒絕資源共用。

   如需詳細資訊，請參閱接受來自的資源共用邀請 AWS RAM。

   注意

   Lake Formation 允許外部帳戶IAM的角色代表 IAM Identity Center 使用者和群組擔任電信業者角色，以存取 Data Catalog 資源，但只能在擁有帳戶中的資料目錄資源上授予許可。如果您嘗試將許可授予外部帳戶中 Data Catalog 資源上的 IAM Identity Center 使用者和群組，Lake Formation 會擲出下列錯誤 -「委託人不支援跨帳戶授予。」

4. （選用） 在建立 Lake Formation 整合畫面上，指定可在向 Lake Formation 註冊ARNs的 Amazon S3 位置存取資料的第三方應用程式。Lake Formation 根據有效許可，以權 AWS STS 杖形式將暫時憑證範圍減少到已註冊的 Amazon S3 位置，以便授權應用程式可以代表使用者存取資料。

5. 選取提交。

   Lake Formation 管理員完成步驟並建立整合後，IAMIdentity Center 屬性會出現在 Lake Formation 主控台中。完成這些任務可讓 Lake Formation 成為啟用 IAM Identity Center 的應用程式。主控台內的屬性包括整合狀態。整合狀態會顯示完成Success的時間。此狀態會指示 IAM Identity Center 組態是否已完成。