Limites de l'intégration d'IAM Identity Center

Vous pouvez ainsi vous connecter à des fournisseurs d'identité (IdPs) et gérer de manière centralisée l'accès des utilisateurs et des groupes à travers les services AWS d'analyse. AWS IAM Identity Center Vous pouvez AWS Lake Formation le configurer en tant qu'application activée dans IAM Identity Center, et les administrateurs de data lake peuvent accorder des autorisations détaillées aux utilisateurs et aux groupes autorisés sur les ressources. AWS Glue Data Catalog

Les limites suivantes s'appliquent à l'intégration de Lake Formation à IAM Identity Center :

• Vous ne pouvez pas affecter des utilisateurs et des groupes IAM Identity Center en tant qu'administrateurs de data lake ou administrateurs en lecture seule dans Lake Formation.

  Les utilisateurs et les groupes IAM Identity Center peuvent interroger les ressources chiffrées du catalogue de données si vous utilisez un rôle IAM qui AWS Glue peut assumer en votre nom le chiffrement et le déchiffrement du catalogue de données. AWS les clés gérées ne prennent pas en charge la propagation d'identités fiables.

• Les utilisateurs et les groupes IAM Identity Center peuvent uniquement invoquer les opérations d'API répertoriées dans la AWSIAMIdentityCenterAllowListForIdentityContext politique fournie par IAM Identity Center.

• Lake Formation permet aux rôles IAM issus de comptes externes d'agir en tant que rôles de support au nom des utilisateurs et des groupes d'IAM Identity Center pour accéder aux ressources du catalogue de données, mais les autorisations ne peuvent être accordées que sur les ressources du catalogue de données du compte propriétaire. Si vous essayez d'accorder des autorisations aux utilisateurs et aux groupes d'IAM Identity Center sur les ressources du catalogue de données d'un compte externe, Lake Formation génère le message d'erreur suivant : « Les autorisations entre comptes ne sont pas prises en charge pour le principal ».