本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与服务相关的角色限制
服务相关角色是一种特殊类型的 IAM 角色,可直接关联到。 Amazon Lake Formation此角色具有预定义的权限,允许 Lake Formation 代表您跨 Amazon 服务执行操作。
使用服务相关角色 (SLR) 向 Lake Formation 注册数据位置时,存在以下限制。
-
服务相关角色策略一经创建,便无法修改。
服务关联角色不支持跨账户共享加密目录资源。加密资源需要特定的 Amazon KMS 密钥权限。服务相关角色具有预定义的权限,其中不包括跨账户使用加密目录资源的功能。
-
注册多个 Amazon S3 地点时,使用服务相关角色可能会导致您快速超出 IAM 策略限制。之所以发生这种情况,是因为对于与服务相关的角色,它会为你 Amazon 编写策略,然后它会增加为一个包含你所有注册的大块。您可以更高效地编写客户管理的策略,在多个策略之间分配权限,或者为不同的区域使用不同的角色。
-
Amazon EMR EC2 无法访问您使用服务相关角色注册数据位置的数据。
-
服务相关角色操作会绕过您的 Amazon 服务控制策略。
-
当您向服务相关角色注册数据位置时,它会以最终一致性更新 IAM 策略。有关更多信息,请参阅 IAM 用户指南中的疑难解答 IAM 文档。