Limitaciones de la integración de IAM Identity Center - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitaciones de la integración de IAM Identity Center

Con él AWS IAM Identity Center, puede conectarse a proveedores de identidad (IdPs) y administrar de forma centralizada el acceso de los usuarios y grupos a todos los servicios de análisis. AWS Puede configurarlo AWS Lake Formation como una aplicación habilitada en el Centro de identidades de IAM, y los administradores del lago de datos pueden conceder permisos detallados sobre los recursos a los usuarios y grupos autorizados. AWS Glue Data Catalog

Se aplican las siguientes limitaciones a la integración de Lake Formation con IAM Identity Center:

  • No puede asignar usuarios y grupos de IAM Identity Center como administradores de lagos de datos o administradores de solo lectura en Lake Formation.

    Los usuarios y grupos del IAM Identity Center pueden consultar los recursos del catálogo de datos cifrados si utilizan una función de IAM que AWS Glue pueda asumir en su nombre el cifrado y descifrado del catálogo de datos. AWS las claves administradas no admiten la propagación de identidades de forma fiable.

  • Los usuarios y grupos de IAM Identity Center solo pueden invocar las operaciones de API que figuran en la política AWSIAMIdentityCenterAllowListForIdentityContext proporcionada por el IAM Identity Center.

  • Lake Formation permite que los roles de IAM de cuentas externas actúen como roles de operador en nombre de los usuarios y grupos de IAM Identity Center para acceder a los recursos del Catálogo de datos, pero solo se pueden conceder permisos a recursos del Catálogo de datos de la cuenta propietaria. Si intenta conceder permisos a usuarios y grupos de IAM Identity Center sobre recursos del Catálogo de datos de una cuenta externa, Lake Formation devuelve el siguiente error: “Cross-account grants are not supported for the principal”.

  • Cuando se utiliza Lake Formation con IAM Identity Center, la configuración de asignación de aplicaciones se establece de forma false predeterminada. Si modifica esta configuración directamente a través de la API de IAM Identity Center, debe gestionar todas las asignaciones de aplicaciones manualmente mediante la API. Lake Formation no sincroniza ni administra automáticamente los cambios de asignación realizados fuera de sus flujos de trabajo estándar, lo que puede afectar a los patrones de acceso y los flujos de autorización dentro de su entorno de lago de datos.