Prasyarat - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat

Berikut ini adalah prasyarat untuk mengintegrasikan Pusat Identitas IAM dengan Lake Formation.

  1. Aktifkan Pusat IAM Identitas - Mengaktifkan Pusat IAM Identitas adalah prasyarat untuk mendukung otentikasi dan propagasi identitas.

  2. Pilih sumber identitas Anda — Setelah mengaktifkan Pusat IAM Identitas, Anda harus memiliki penyedia identifikasi untuk mengelola pengguna dan grup. Anda dapat menggunakan direktori Pusat Identitas bawaan sebagai sumber identitas atau menggunakan iDP eksternal, seperti Microsoft Entra ID atau Okta.

    Untuk informasi selengkapnya, lihat Mengelola sumber identitas Anda dan Connect ke penyedia identitas eksternal di Panduan AWS IAM Identity Center Pengguna.

  3. Buat IAM peran — Peran yang membuat koneksi Pusat IAM Identitas memerlukan izin untuk membuat dan memodifikasi konfigurasi aplikasi di Lake Formation dan IAM Identity Center seperti dalam kebijakan inline berikut.

    Anda perlu menambahkan izin per praktik IAM terbaik. Izin khusus dirinci dalam prosedur berikut. Untuk informasi selengkapnya, lihat Memulai dengan Pusat IAM Identitas.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

    Jika Anda berbagi sumber daya Katalog Data dengan eksternal Akun AWS atau organisasi, Anda harus memiliki izin AWS Resource Access Manager (AWS RAM) untuk membuat pembagian sumber daya. Untuk informasi selengkapnya tentang izin yang diperlukan untuk berbagi sumber daya, lihat Prasyarat berbagi data lintas akun.

Kebijakan inline berikut berisi izin khusus yang diperlukan untuk melihat, memperbarui, dan menghapus properti integrasi Lake Formation dengan IAM Identity Center.

  • Gunakan kebijakan inline berikut untuk mengizinkan IAM peran melihat integrasi Lake Formation dengan IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Gunakan kebijakan inline berikut untuk mengizinkan IAM peran memperbarui integrasi Lake Formation dengan IAM Identity Center. Kebijakan ini juga mencakup izin opsional yang diperlukan untuk berbagi sumber daya dengan akun eksternal.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Gunakan kebijakan inline berikut untuk mengizinkan IAM peran menghapus integrasi Lake Formation dengan IAM Identity Center.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • Untuk IAM izin yang diperlukan untuk memberikan atau mencabut izin data lake bagi pengguna dan grup Pusat IAM Identitas, lihat. Izin IAM diperlukan untuk memberikan atau mencabut izin Lake Formation

Deskripsi izin

  • lakeformation:CreateLakeFormationIdentityCenterConfiguration— Membuat konfigurasi iDC Lake Formation.

  • lakeformation:DescribeLakeFormationIdentityCenterConfiguration— Menjelaskan konfigurasi IDC yang ada.

  • lakeformation:DeleteLakeFormationIdentityCenterConfiguration— Memberikan kemampuan untuk menghapus konfigurasi Lake Formation IDC yang ada.

  • lakeformation:UpdateLakeFormationIdentityCenterConfiguration— Digunakan untuk mengubah konfigurasi Lake Formation yang ada.

  • sso:CreateApplication— Digunakan untuk membuat aplikasi Pusat IAM Identitas.

  • sso:DeleteApplication— Digunakan untuk menghapus aplikasi Pusat IAM Identitas.

  • sso:UpdateApplication— Digunakan untuk memperbarui aplikasi Pusat IAM Identitas.

  • sso:PutApplicationGrant— Digunakan untuk mengubah informasi penerbit token tepercaya.

  • sso:PutApplicationAuthenticationMethod— Memberikan akses otentikasi Lake Formation.

  • sso:GetApplicationGrant— Digunakan untuk mencantumkan informasi penerbit token tepercaya.

  • sso:DeleteApplicationGrant— Menghapus informasi penerbit token kepercayaan.

  • sso:PutApplicationAccessScope— Menambahkan atau memperbarui daftar target resmi untuk ruang lingkup akses Pusat IAM Identitas untuk aplikasi.

  • sso:PutApplicationAssignmentConfiguration— Digunakan untuk mengkonfigurasi bagaimana pengguna mendapatkan akses ke aplikasi.