Prerequisiti

Di seguito sono riportati i prerequisiti per l'integrazione di IAM Identity Center con Lake Formation.

Abilita IAM Identity Center: l'attivazione di IAM Identity Center è un prerequisito per supportare l'autenticazione e la propagazione dell'identità.
Scegli la tua fonte di identità: dopo aver abilitato IAM Identity Center, devi disporre di un provider di identità per gestire utenti e gruppi. È possibile utilizzare la directory Identity Center integrata come origine di identità o utilizzare un IdP esterno, ad esempio Microsoft Entra ID o Okta.

Per ulteriori informazioni, consulta Manage your identity source e Connect to a un provider di identità esterno nella Guida per l' AWS IAM Identity Center utente.
Crea un IAM ruolo: il ruolo che crea la connessione a IAM Identity Center richiede le autorizzazioni per creare e modificare la configurazione dell'applicazione in Lake Formation and IAM Identity Center come nella seguente politica in linea.

È necessario aggiungere le autorizzazioni in base alle best practice. IAM Le autorizzazioni specifiche sono illustrate nelle procedure che seguono. Per ulteriori informazioni, vedi Guida introduttiva a IAM Identity Center.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
 
```
Se condividi risorse di Data Catalog con organizzazioni esterne Account AWS o esterne, devi disporre delle autorizzazioni AWS Resource Access Manager (AWS RAM) per creare condivisioni di risorse. Per ulteriori informazioni sulle autorizzazioni necessarie per condividere risorse, consulta Prerequisiti per la condivisione dei dati tra account.

Le seguenti politiche in linea contengono autorizzazioni specifiche necessarie per visualizzare, aggiornare ed eliminare le proprietà dell'integrazione di Lake Formation con IAM Identity Center.

Utilizza la seguente politica in linea per consentire a un IAM ruolo di visualizzare un'integrazione di Lake Formation con IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilizza la seguente politica in linea per consentire a un IAM ruolo di aggiornare un'integrazione di Lake Formation con IAM Identity Center. La politica include anche le autorizzazioni opzionali necessarie per condividere risorse con account esterni.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Utilizza la seguente politica in linea per consentire a un IAM ruolo di eliminare un'integrazione di Lake Formation con IAM Identity Center.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Per IAM le autorizzazioni necessarie per concedere o revocare le autorizzazioni del data lake per utenti e gruppi di IAM Identity Center, consulta. IAMautorizzazioni necessarie per concedere o revocare le autorizzazioni di Lake Formation

Descrizione delle autorizzazioni

lakeformation:CreateLakeFormationIdentityCenterConfiguration— Crea la configurazione iDC di Lake Formation.
lakeformation:DescribeLakeFormationIdentityCenterConfiguration— Descrive una configurazione iDC esistente.
lakeformation:DeleteLakeFormationIdentityCenterConfiguration— Offre la possibilità di eliminare una configurazione iDC di Lake Formation esistente.
lakeformation:UpdateLakeFormationIdentityCenterConfiguration— Usato per modificare una configurazione esistente di Lake Formation.
sso:CreateApplication— Utilizzato per creare un'applicazione IAM Identity Center.
sso:DeleteApplication— Utilizzato per eliminare un'applicazione IAM Identity Center.
sso:UpdateApplication— Utilizzato per aggiornare un'applicazione IAM Identity Center.
sso:PutApplicationGrant: utilizzato per modificare le informazioni sull'emittente di token attendibile.
sso:PutApplicationAuthenticationMethod— Garantisce l'accesso all'autenticazione di Lake Formation.
sso:GetApplicationGrant: utilizzato per elencare informazioni sull'emittente di token attendibile.
sso:DeleteApplicationGrant: elimina le informazioni sull'emittente di token attendibile.
sso:PutApplicationAccessScope— Aggiunge o aggiorna l'elenco delle destinazioni autorizzate per un ambito di accesso all'IAMIdentity Center per un'applicazione.
sso:PutApplicationAssignmentConfiguration— Utilizzato per configurare il modo in cui gli utenti accedono a un'applicazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Integrazione di IAM Identity Center

Collegamento di Lake Formation con IAM Identity Center