IAMEinschränkungen bei der Identity Center-Integration

Mit AWS IAM Identity Center können Sie eine Verbindung zu Identitätsanbietern (IdPs) herstellen und den Zugriff für Benutzer und Gruppen über AWS Analysedienste hinweg zentral verwalten. Sie können die Anwendung in IAM Identity Center AWS Lake Formation als aktivierte Anwendung konfigurieren, und Data Lake-Administratoren können autorisierten Benutzern und Gruppen detaillierte Berechtigungen für Ressourcen gewähren. AWS Glue Data Catalog

Die folgenden Einschränkungen gelten für die Integration von Lake Formation mit IAM Identity Center:

• Sie können IAM Identity Center-Benutzer und -Gruppen in Lake Formation nicht als Data Lake-Administratoren oder Administratoren mit Schreibschutz zuweisen.

  IAMIdentity Center-Benutzer und -Gruppen können verschlüsselte Datenkatalogressourcen abfragen, wenn Sie eine IAM Rolle verwenden, die in Ihrem Namen für die Verschlüsselung und Entschlüsselung des Datenkatalogs übernommen werden AWS Glue kann. AWS verwaltete Schlüssel unterstützen keine Weitergabe vertrauenswürdiger Identitäten.

• IAMIdentity Center-Benutzer und -Gruppen können nur API Operationen aufrufen, die in der von IAM Identity Center bereitgestellten AWSIAMIdentityCenterAllowListForIdentityContext Richtlinie aufgeführt sind.

• Lake Formation ermöglicht es IAM Rollen von externen Konten, im Namen von IAM Identity Center-Benutzern und Gruppen als Trägerrollen für den Zugriff auf Datenkatalogressourcen zu fungieren. Berechtigungen können jedoch nur für Datenkatalogressourcen innerhalb des Eigentümerkontos erteilt werden. Wenn Sie versuchen, IAM Identity Center-Benutzern und Gruppen Berechtigungen für Datenkatalogressourcen in einem externen Konto zu gewähren, gibt Lake Formation den folgenden Fehler aus: „Kontoübergreifende Zuweisungen werden für den Prinzipal nicht unterstützt“.