IAM アイデンティティセンター 統合の制限事項

を使用すると AWS IAM Identity Center、ID プロバイダー (IdPs) に接続し、 AWS 分析サービス全体でユーザーとグループのアクセスを一元管理できます。を IAM Identity Center で有効なアプリケーション AWS Lake Formation として設定でき、データレイク管理者は AWS Glue Data Catalog リソースの承認されたユーザーとグループにきめ細かなアクセス許可を付与できます。

IAM アイデンティティセンターとの Lake Formation の統合には、以下の制限が適用されます。

• Lake Formation では、IAM アイデンティティセンターのユーザーとグループをデータレイク管理者または読み取り専用管理者として割り当てることはできません。

  IAM Identity Center のユーザーとグループは、Data Catalog の暗号化と復号のために がユーザーに代わって引き受け AWS Glue ることができる IAM ロールを使用している場合、暗号化された Data Catalog リソースをクエリできます。 AWS マネージドキーは、信頼できる ID の伝播をサポートしていません。

• IAM ID センターのユーザーとグループは、IAM アイデンティティセンターによって提供された AWSIAMIdentityCenterAllowListForIdentityContext ポリシーにリストされている API オペレーションのみを呼び出すことができます。

• Lake Formation は、データカタログリソースへのアクセスのために、外部アカウントの IAM ロールが IAM アイデンティティセンターのユーザーとグループに代わってキャリアロールとして動作することを許可しますが、アクセス許可を付与できるのは、所有アカウント内のデータカタログリソースに対してだけです。外部アカウント内のデータカタログリソースに対するアクセス許可を IAM アイデンティティセンターのユーザーとグループに付与しようとすると、Lake Formation から「Cross-account grants are not supported for the principal」というエラーがスローされます。

• IAM Identity Center で Lake Formation を使用する場合、アプリケーション割り当て設定はfalseデフォルトで に設定されます。IAM Identity Center API を使用してこの設定を直接変更する場合は、 API を使用してすべてのアプリケーション割り当てを手動で管理する必要があります。Lake Formation は、標準ワークフロー外で行われた割り当て変更を自動的に同期または管理しません。これは、データレイク環境内のアクセスパターンと認可フローに影響を与える可能性があります。