本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务相关角色限制
服务相关角色是一种特殊类型的 IAM 角色,可直接关联到。 Amazon Lake Formation此角色具有预定义的权限,允许 Lake Formation 代表您跨 Amazon 服务执行操作。
使用服务相关角色(SLR)向 Lake Formation 注册数据位置时,存在以下限制。
-
服务相关角色策略一经创建,就无法修改。
服务相关角色不支持跨账户共享加密目录资源。加密资源需要特定的 Amazon KMS 密钥权限。服务相关角色具有预定义的权限,其中不包括跨账户处理加密目录资源的能力。
-
注册多个 Amazon S3 位置时,使用服务相关角色可能会导致您快速超出 IAM 策略限制。之所以发生这种情况,是因为对于与服务相关的角色,它会为你 Amazon 编写策略,然后它会增加为一个包含你所有注册的大块。您可以更高效地编写客户管理型策略,在多个策略之间分配权限,或者为不同的区域使用不同的角色。
-
Amazon EMR EC2 无法访问您使用服务相关角色注册数据位置的数据。
-
服务相关角色操作会绕过您的 Amazon 服务控制策略。
-
当您使用服务相关角色注册数据位置时,该角色会以最终一致性方式更新 IAM 策略。有关更多信息,请参阅《IAM 用户指南》中的 IAM 故障排除文档。
-
当使用服务相关角色且使用的是 IAM Identity Center 时,您无法在 Lake Formation 数据湖设置中设置
SET_CONTEXT = TRUE。原因是服务相关角色具有不可变的信任策略,这些策略与使用 IAM Identity Center 主体进行SetContext审计所需的可信身份传播不兼容。