Requisitos previos para la integración de IAM Identity Center con Lake Formation - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para la integración de IAM Identity Center con Lake Formation

Los siguientes son los requisitos previos para integrar IAM Identity Center con Lake Formation.

  1. Habilitar IAM Identity Center: habilitar IAM Identity Center es un requisito previo para permitir la autenticación y la propagación de la identidad.

  2. Elija su fuente de identidad: después de activar IAM Identity Center, debe tener un proveedor de identidad para administrar los usuarios y los grupos. Puede usar el directorio integrado del Identity Center como origen de identidad o usar un IdP externo, como Microsoft Entra ID u Okta.

    Para obtener más información, consulte Administrar la fuente de identidad y Conectarse a un proveedor de identidad externo en la Guía del AWS IAM Identity Center usuario.

  3. Crear un IAM rol: el rol que crea la conexión con IAM Identity Center requiere permisos para crear y modificar la configuración de la aplicación en Lake Formation e IAM Identity Center, como se indica en la siguiente política en línea.

    Debe añadir permisos según las prácticas IAM recomendadas. Los permisos específicos se detallan en los siguientes procedimientos. Para obtener más información, consulte Introducción a IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

    Si comparte los recursos del catálogo de datos con organizaciones Cuentas de AWS o entidades externas, debe tener los permisos AWS Resource Access Manager (AWS RAM) para crear recursos compartidos. Para obtener más información sobre los permisos necesarios para compartir recursos, consulte Requisitos previos para compartir datos entre cuentas.

Las siguientes políticas en línea contienen los permisos específicos necesarios para ver, actualizar y eliminar propiedades de la integración de Lake Formation con IAM Identity Center.

  • Utilice la siguiente política en línea para permitir que un IAM rol vea una integración de Lake Formation con IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Utilice la siguiente política en línea para permitir que un IAM rol actualice una integración de Lake Formation con IAM Identity Center. La política también incluye los permisos opcionales necesarios para compartir recursos con cuentas externas.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Utilice la siguiente política en línea para permitir que un IAM rol elimine una integración de Lake Formation con IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Para conocer IAM los permisos necesarios para conceder o revocar los permisos de data lake para los usuarios y grupos de IAM Identity Center, consulte. IAMpermisos necesarios para conceder o revocar los permisos de Lake Formation

Descripción de los permisos

  • lakeformation:CreateLakeFormationIdentityCenterConfiguration – Crea la configuración IdC de Lake Formation.

  • lakeformation:DescribeLakeFormationIdentityCenterConfiguration – Describe una configuración de IdC existente.

  • lakeformation:DeleteLakeFormationIdentityCenterConfiguration – Ofrece la posibilidad de eliminar una configuración de IdC de Lake Formation existente.

  • lakeformation:UpdateLakeFormationIdentityCenterConfiguration – Se usa para cambiar una configuración existente de Lake Formation.

  • sso:CreateApplication— Se utiliza para crear una aplicación de IAM Identity Center.

  • sso:DeleteApplication— Se utiliza para eliminar una aplicación del Centro de IAM Identidad.

  • sso:UpdateApplication— Se utiliza para actualizar una aplicación del Centro de IAM Identidad.

  • sso:PutApplicationGrant – Se utiliza para cambiar la información del emisor de tokens de confianza.

  • sso:PutApplicationAuthenticationMethod – Otorga acceso de autenticación a Lake Formation.

  • sso:GetApplicationGrant – Se utiliza para enumerar la información del emisor de tokens de confianza.

  • sso:DeleteApplicationGrant – Elimina la información del emisor de tokens de confianza.

  • sso:PutApplicationAccessScope— Añade o actualiza la lista de objetivos autorizados para el ámbito de acceso al Centro de IAM Identidad de una aplicación.

  • sso:PutApplicationAssignmentConfiguration – Se utiliza para configurar cómo acceden los usuarios a una aplicación.