Prérequis

Les conditions requises pour intégrer IAM Identity Center à Lake Formation sont les suivantes.

Activer le centre d'identité IAM : l'activation d'IAM Identity Center est une condition préalable pour prendre en charge l'authentification et la propagation des identités.
Choisissez votre source d'identité : après avoir activé IAM Identity Center, vous devez disposer d'un fournisseur d'identité pour gérer les utilisateurs et les groupes. Vous pouvez utiliser le répertoire intégré Identity Center comme source d'identité ou utiliser un IdP externe, tel que Microsoft Entra ID ou Okta.

Pour plus d'informations, voir Gérer votre source d'identité et Se connecter à un fournisseur d'identité externe dans le guide de AWS IAM Identity Center l'utilisateur.
Créer un rôle IAM — Le rôle qui crée la connexion IAM Identity Center nécessite des autorisations pour créer et modifier la configuration de l'application dans Lake Formation et IAM Identity Center, conformément à la politique en ligne suivante.

Vous devez ajouter des autorisations conformément aux meilleures pratiques IAM. Les autorisations spécifiques sont détaillées dans les procédures qui suivent. Pour plus d'informations, consultez Getting Started with IAM Identity Center.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
 
```
Si vous partagez des ressources du catalogue de données avec des organisations externes Comptes AWS ou avec des organisations, vous devez disposer des autorisations AWS Resource Access Manager (AWS RAM) pour créer des partages de ressources. Pour plus d'informations sur les autorisations requises pour partager des ressources, consultez la section Conditions requises pour le partage de données entre comptes.

Les politiques intégrées suivantes contiennent les autorisations spécifiques requises pour afficher, mettre à jour et supprimer les propriétés de l'intégration de Lake Formation à IAM Identity Center.

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à visualiser une intégration de Lake Formation avec IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à mettre à jour une intégration de Lake Formation avec IAM Identity Center. La politique inclut également les autorisations facultatives requises pour partager des ressources avec des comptes externes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilisez la politique intégrée suivante pour autoriser un rôle IAM à supprimer une intégration de Lake Formation avec IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Pour les autorisations IAM requises pour accorder ou révoquer des autorisations de lac de données pour les utilisateurs et les groupes IAM Identity Center, consultez. Autorisations IAM requises pour accorder ou révoquer les autorisations de Lake Formation

Description des autorisations

lakeformation:CreateLakeFormationIdentityCenterConfiguration— Crée la configuration iDC de Lake Formation.
lakeformation:DescribeLakeFormationIdentityCenterConfiguration— Décrit une configuration iDC existante.
lakeformation:DeleteLakeFormationIdentityCenterConfiguration— Permet de supprimer une configuration iDC de Lake Formation existante.
lakeformation:UpdateLakeFormationIdentityCenterConfiguration— Utilisé pour modifier la configuration d'une Lake Formation existante.
sso:CreateApplication : sert à créer une application IAM Identity Center.
sso:DeleteApplication : sert à supprimer une application IAM Identity Center.
sso:UpdateApplication : sert à mettre à jour une application IAM Identity Center.
sso:PutApplicationGrant : sert à modifier les informations relatives à l’émetteur de jetons approuvé.
sso:PutApplicationAuthenticationMethod— Accorde un accès d'authentification à Lake Formation.
sso:GetApplicationGrant : sert à répertorier les informations relatives à l’émetteur de jetons approuvé.
sso:DeleteApplicationGrant : supprime les informations relatives à l’émetteur de jetons approuvé.
sso:PutApplicationAccessScope— Ajoute ou met à jour la liste des cibles autorisées pour une étendue d'accès à l'IAM Identity Center pour une application.
sso:PutApplicationAssignmentConfiguration— Utilisé pour configurer la manière dont les utilisateurs accèdent à une application.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Intégration d'IAM Identity Center

Connecter Lake Formation à l'IAM Identity Center