Einschränkungen bei der IAM Identity Center-Integration

Mit AWS IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IdPs) herstellen und den Zugriff für Benutzer und Gruppen über AWS Analysedienste hinweg zentral verwalten. Sie können die Anwendung in IAM Identity Center AWS Lake Formation als aktivierte Anwendung konfigurieren, und Data Lake-Administratoren können autorisierten Benutzern und Gruppen detaillierte Berechtigungen für Ressourcen gewähren. AWS Glue Data Catalog

Die folgenden Einschränkungen gelten für die Integration von Lake Formation mit IAM Identity Center:

• Sie können IAM Identity Center-Benutzer und -Gruppen in Lake Formation nicht als Data Lake-Administratoren oder Administratoren mit Schreibschutz zuweisen.

  Benutzer und Gruppen von IAM Identity Center können verschlüsselte Datenkatalogressourcen abfragen, wenn Sie eine IAM-Rolle verwenden, die in Ihrem Namen die Verschlüsselung und Entschlüsselung des Datenkatalogs übernehmen AWS Glue kann. AWS verwaltete Schlüssel unterstützen keine vertrauenswürdige Identitätsweitergabe.

• Benutzer und Gruppen von IAM Identity Center können nur API-Operationen aufrufen, die in der von IAM Identity Center bereitgestellten AWSIAMIdentityCenterAllowListForIdentityContext Richtlinie aufgeführt sind.

• Lake Formation ermöglicht es IAM-Rollen von externen Konten, im Namen von IAM Identity Center-Benutzern und -Gruppen als Trägerrollen für den Zugriff auf Datenkatalogressourcen zu fungieren. Berechtigungen können jedoch nur für Datenkatalogressourcen innerhalb des Eigentümerkontos erteilt werden. Wenn Sie versuchen, Benutzern und Gruppen von IAM Identity Center Berechtigungen für Datenkatalogressourcen in einem externen Konto zu gewähren, gibt Lake Formation die folgende Fehlermeldung aus: „Kontoübergreifende Zuweisungen werden für den Prinzipal nicht unterstützt“.