本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過 AWS IAM Identity Center,您可以連線至身分提供者 (IdPs),並集中管理 AWS 分析服務中使用者和群組的存取權。您可以在 IAM Identity Center 中將 AWS Lake Formation 設定為已啟用的應用程式,而資料湖管理員可以將精細許可授予 AWS Glue Data Catalog 資源上的授權使用者和群組。
下列限制適用於 Lake Formation 與 IAM Identity Center 整合:
您無法在 Lake Formation 中將 IAM Identity Center 使用者和群組指派為資料湖管理員或唯讀管理員。
IAM 如果您使用 AWS Glue 可代表您的角色來加密和解密 Data CatalogIAM,Identity Center 使用者和群組可以查詢加密 Data Catalog 資源。 AWS 受管金鑰不支援受信任的身分傳播。
-
IAM Identity Center 使用者和群組只能叫用 IAM Identity Center 所提供
AWSIAMIdentityCenterAllowListForIdentityContext
政策中列出的API操作。 -
Lake Formation 允許外部帳戶IAM的角色代表 IAM Identity Center 使用者和群組擔任電信業者角色,以存取 Data Catalog 資源,但只能在擁有帳戶中的資料目錄資源上授予許可。如果您嘗試將許可授予外部帳戶中 Data Catalog 資源上的 IAM Identity Center 使用者和群組,Lake Formation 會擲出下列錯誤 -「委託人不支援跨帳戶授予。」