IAM Identity Center 集成限制 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 集成限制

借 Amazon IAM Identity Center助,您可以连接到身份提供商 (IdPs),并集中管理 Amazon 分析服务中用户和群组的访问权限。您可以在 IAM Identity Center 中配置 Amazon Lake Formation 为已启用的应用程序,数据湖管理员可以向授权用户和群组授予对 Amazon Glue Data Catalog 资源的精细权限。

以下限制适用于 Lake Formation 与 IAM Identity Center 的集成:

  • 您无法在 Lake Formation 中将 IAM Identity Center 用户和组分配为数据湖管理员或只读管理员。

    如果您使用的是可以代表您加密和解密数据目录的 IAM 角色,则 IAM Identity Center 用户和群组 Amazon Glue 可以查询加密的数据目录资源。 Amazon 托管密钥不支持可信身份传播。

  • IAM Identity Center 用户和组只能调用 IAM Identity Center 提供的 AWSIAMIdentityCenterAllowListForIdentityContext 策略中列出的 API 操作。

  • Lake Formation 允许来自外部账户的 IAM 角色代表 IAM Identity Center 用户和群组充当运营商角色来访问数据目录资源,但只能对拥有者账户内的数据目录资源授予权限。如果您尝试向外部账户中的 IAM Identity Center用户和群组授予对数据目录资源的权限,Lake Formation 会抛出以下错误:“委托人不支持跨账户授权。”