Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conectando Lake Formation con IAM Identity Center
Antes de poder usar IAM Identity Center para administrar identidades y conceder acceso a los recursos del catálogo de datos mediante Lake Formation, debe completar los siguientes pasos. Puede crear la integración de IAM Identity Center mediante la consola de Lake Formation o AWS CLI.
- AWS Management Console
-
Para conectar Lake Formation con IAM Identity Center
Inicie sesión en y abra la AWS Management Console consola de Lake Formation en https://console.aws.amazon.com/lakeformation/
. En el panel de navegación izquierdo, seleccione Integración con IAM Identity Center.
(Opcional) Introduzca una o más organizaciones IDs o unidades organizativas válidas Cuenta de AWS IDs IDs para permitir que las cuentas externas accedan a los recursos del catálogo de datos. Cuando los usuarios o grupos de IAM Identity Center intentan acceder a los recursos del catálogo de datos gestionado por Lake Formation, Lake Formation asume la IAM función de autorizar el acceso a los metadatos. Si el IAM rol pertenece a una cuenta externa que no tiene una política de AWS Glue recursos ni un AWS RAM recurso compartido, los usuarios y grupos del Centro de IAM Identidad no podrán acceder al recurso aunque tengan permisos de Lake Formation.
Lake Formation utiliza el servicio AWS Resource Access Manager (AWS RAM) para compartir el recurso con cuentas y organizaciones externas. AWS RAM envía una invitación a la cuenta del concesionario para que acepte o rechace el recurso compartido.
Para obtener más información, consulte Aceptar una invitación para compartir recursos de AWS RAM.
nota
Lake Formation permite que las IAM funciones de cuentas externas actúen como funciones de transporte en nombre de los usuarios y grupos de IAM Identity Center para acceder a los recursos del catálogo de datos, pero los permisos solo se pueden conceder a los recursos del catálogo de datos de la cuenta propietaria. Si intenta conceder permisos a los usuarios y grupos de IAM Identity Center en los recursos del catálogo de datos de una cuenta externa, Lake Formation arroja el siguiente error: «No se admiten concesiones entre cuentas para el principal».
(Opcional) En la pantalla de integración de Create Lake Formation, especifique las aplicaciones ARNs de terceros que pueden acceder a los datos de las ubicaciones de Amazon S3 registradas en Lake Formation. Lake Formation vende credenciales temporales limitadas en forma de AWS STS tokens a las ubicaciones registradas de Amazon S3 en función de los permisos vigentes, de modo que las aplicaciones autorizadas puedan acceder a los datos en nombre de los usuarios.
Seleccione Enviar.
Cuando el administrador de Lake Formation finalice los pasos y cree la integración, las propiedades del Centro de IAM identidad aparecen en la consola de Lake Formation. Al completar estas tareas, Lake Formation se convierte en una aplicación habilitada para IAM Identity Center. Las propiedades de la consola incluyen el estado de la integración. Cuando se completa, el estado de la integración muestra
Success
. Este estado indica si la configuración del IAM Identity Center se ha completado.
- AWS CLI
-
-
El siguiente ejemplo muestra cómo crear la integración de Lake Formation con IAM Identity Center. También puede especificar el
Status
(ENABLED
,DISABLED
) de las aplicaciones.aws lakeformation create-lake-formation-identity-center-configuration \ --catalog-id
<123456789012>
\ --instance-arn<arn:aws:sso:::instance/ssoins-112111f12ca1122p>
\ --share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>
"}, {"DataLakePrincipalIdentifier": "<555555555555>
"}]' \ --external-filtering '{"AuthorizedTargets": ["<app arn1>
", "<app arn2>
"], "Status": "ENABLED"}' -
El siguiente ejemplo muestra cómo ver una integración de Lake Formation con IAM Identity Center.
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id
<123456789012>
-