Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Voraussetzungen
Im Folgenden sind die Voraussetzungen für die Integration von IAM Identity Center in Lake Formation aufgeführt.
-
IAM Identity Center aktivieren — Die Aktivierung von IAM Identity Center ist eine Voraussetzung für die Unterstützung von Authentifizierung und Identitätsweitergabe.
-
Wählen Sie Ihre Identitätsquelle — Nachdem Sie IAM Identity Center aktiviert haben, benötigen Sie einen Identitätsanbieter für die Verwaltung von Benutzern und Gruppen. Sie können entweder das integrierte Identity Center-Verzeichnis als Identitätsquelle verwenden oder einen externen IdP wie Microsoft Entra ID oder Okta verwenden.
Weitere Informationen finden Sie unter Ihre Identitätsquelle verwalten und Connect zu einem externen Identitätsanbieter herstellen im AWS IAM Identity Center Benutzerhandbuch.
-
Eine IAM-Rolle erstellen — Für die Rolle, die eine IAM Identity Center-Verbindung herstellt, sind Berechtigungen zum Erstellen und Ändern der Anwendungskonfiguration in Lake Formation und IAM Identity Center erforderlich, wie in der folgenden Inline-Richtlinie beschrieben.
Sie müssen Berechtigungen gemäß den Best Practices für IAM hinzufügen. Die spezifischen Berechtigungen werden in den folgenden Verfahren beschrieben. Weitere Informationen finden Sie unter Erste Schritte mit IAM Identity Center.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:CreateLakeFormationIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope", ], "Resource": [ "*" ] } ] }Wenn Sie Datenkatalogressourcen für externe Benutzer AWS-Konten oder Organisationen gemeinsam nutzen, benötigen Sie die AWS Resource Access Manager (AWS RAM) -Berechtigungen zum Erstellen von gemeinsamen Ressourcen. Weitere Informationen zu den Berechtigungen, die für die gemeinsame Nutzung von Ressourcen erforderlich sind, finden Sie unter Voraussetzungen für die kontoübergreifende gemeinsame Nutzung von Daten.
Die folgenden Inline-Richtlinien enthalten spezifische Berechtigungen, die zum Anzeigen, Aktualisieren und Löschen von Eigenschaften der Lake Formation Formation-Integration mit IAM Identity Center erforderlich sind.
-
Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle eine Lake Formation Formation-Integration mit IAM Identity Center anzeigen kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication" ], "Resource": [ "*" ] } ] } Verwenden Sie die folgende Inline-Richtlinie, damit eine IAM-Rolle eine Lake Formation Formation-Integration mit IAM Identity Center aktualisieren kann. Die Richtlinie umfasst auch optionale Berechtigungen, die für die gemeinsame Nutzung von Ressourcen mit externen Konten erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:UpdateLakeFormationIdentityCenterConfiguration", "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication", "sso:UpdateApplication", ], "Resource": [ "*" ] } ] }-
Verwenden Sie die folgende Inline-Richtlinie, um einer IAM-Rolle das Löschen einer Lake Formation Formation-Integration mit IAM Identity Center zu ermöglichen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DeleteLakeFormationIdentityCenterConfiguration", "sso:DeleteApplication", ], "Resource": [ "*" ] } ] } -
Informationen zu IAM-Berechtigungen, die erforderlich sind, um Data Lake-Berechtigungen für IAM Identity Center-Benutzer und -Gruppen zu gewähren oder zu widerrufen, finden Sie unter. IAM-Berechtigungen sind erforderlich, um Lake Formation Formation-Berechtigungen zu gewähren oder zu widerrufen
Beschreibung der Berechtigungen
-
lakeformation:CreateLakeFormationIdentityCenterConfiguration— Erzeugt die Lake Formation iDC-Konfiguration. -
lakeformation:DescribeLakeFormationIdentityCenterConfiguration— Beschreibt eine bestehende iDC-Konfiguration. -
lakeformation:DeleteLakeFormationIdentityCenterConfiguration— Ermöglicht das Löschen einer vorhandenen Lake Formation iDC-Konfiguration. -
lakeformation:UpdateLakeFormationIdentityCenterConfiguration— Wird verwendet, um eine bestehende Lake Formation Formation-Konfiguration zu ändern. sso:CreateApplication– Zur Erstellung einer IAM-Identity-Center-Anwendung verwendet.sso:DeleteApplication– Zum Löschen einer IAM-Identity-Center-Anwendung verwendet.sso:UpdateApplication– Zur Aktualisierung einer IAM-Identity-Center-Anwendung verwendet.sso:PutApplicationGrant– Zur Änderung der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.sso:PutApplicationAuthenticationMethod— Gewährt Lake Formation Formation-Authentifizierungszugriff.sso:GetApplicationGrant– Zum Auflisten der Informationen zu vertrauenswürdigen Token-Ausstellern verwendet.sso:DeleteApplicationGrant– Löscht die Informationen zum vertrauenswürdigen Token-Aussteller.-
sso:PutApplicationAccessScope— Fügt die Liste der autorisierten Ziele für einen IAM Identity Center-Zugriffsbereich für eine Anwendung hinzu oder aktualisiert sie. -
sso:PutApplicationAssignmentConfiguration— Wird verwendet, um zu konfigurieren, wie Benutzer Zugriff auf eine Anwendung erhalten.
