Keterbatasan integrasi Pusat Identitas IAM - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keterbatasan integrasi Pusat Identitas IAM

Dengan AWS IAM Identity Center, Anda dapat terhubung ke penyedia identitas (IdPs) dan mengelola akses secara terpusat untuk pengguna dan grup di seluruh layanan AWS analitik. Anda dapat mengonfigurasi AWS Lake Formation sebagai aplikasi yang diaktifkan di Pusat Identitas IAM, dan administrator data lake dapat memberikan izin halus kepada pengguna dan grup yang berwenang pada sumber daya. AWS Glue Data Catalog

Batasan berikut berlaku untuk integrasi Lake Formation dengan IAM Identity Center:

  • Anda tidak dapat menetapkan pengguna dan grup Pusat Identitas IAM sebagai administrator data lake atau administrator hanya-baca di Lake Formation.

    Pengguna dan grup IAM Identity Center dapat menanyakan sumber daya Katalog Data terenkripsi jika Anda menggunakan peran IAM yang AWS Glue dapat diambil atas nama Anda untuk mengenkripsi dan mendekripsi Katalog Data. AWS kunci terkelola tidak mendukung propagasi identitas tepercaya.

  • Pengguna dan grup IAM Identity Center hanya dapat menjalankan operasi API yang tercantum dalam AWSIAMIdentityCenterAllowListForIdentityContext kebijakan yang disediakan oleh IAM Identity Center.

  • Lake Formation mengizinkan peran IAM dari akun eksternal untuk bertindak sebagai peran operator atas nama pengguna dan grup Pusat Identitas IAM untuk mengakses sumber daya Katalog Data, tetapi izin hanya dapat diberikan pada sumber daya Katalog Data dalam akun yang dimiliki. Jika Anda mencoba memberikan izin kepada pengguna Pusat Identitas IAM dan grup pada sumber daya Katalog Data di akun eksternal, Lake Formation akan menampilkan kesalahan berikut - “Hibah lintas akun tidak didukung untuk prinsipal.”

  • Saat menggunakan Lake Formation dengan IAM Identity Center, konfigurasi penetapan aplikasi diatur false secara default. Jika Anda memodifikasi konfigurasi ini secara langsung melalui IAM Identity Center API, Anda kemudian harus mengelola semua penetapan aplikasi secara manual menggunakan API. Lake Formation tidak secara otomatis menyinkronkan atau mengelola perubahan penugasan yang dibuat di luar alur kerja standarnya, yang dapat memengaruhi pola akses dan alur otorisasi dalam lingkungan data lake Anda.