IAM Identity Center の統合の制限

を使用すると AWS IAM Identity Center、アイデンティティプロバイダー (IdPs) に接続し、 AWS 分析サービス全体のユーザーとグループのアクセスを一元管理できます。IAM Identity Center では、を有効なアプリケーション AWS Lake Formation として設定でき、データレイク管理者は、 AWS Glue Data Catalog リソースの許可されたユーザーとグループにきめ細かなアクセス許可を付与できます。

Lake Formation と IAM Identity Center の統合には、以下の制限が適用されます。

Lake Formation では、IAMIdentity Center ユーザーとグループをデータレイク管理者または読み取り専用管理者として割り当てることはできません。

IAM Identity Center のユーザーとグループは、Data Catalog の暗号化と復号のためにユーザーに代わって引き受け AWS Glue ることができるIAMロールを使用している場合、暗号化された Data Catalog リソースをクエリできます。 AWS マネージドキーは、信頼できる ID 伝達をサポートしていません。
IAM Identity Center ユーザーとグループは、IAMIdentity Center が提供するAWSIAMIdentityCenterAllowListForIdentityContextポリシーに記載されているAPIオペレーションのみを呼び出すことができます。
Lake Formation は、外部アカウントからのIAMロールが、Data Catalog リソースにアクセスするための IAM Identity Center ユーザーおよびグループに代わってキャリアロールとして動作することを許可しますが、アクセス許可は、所有アカウント内の Data Catalog リソースに対してのみ付与できます。外部アカウントの Data Catalog リソースで IAM Identity Center のユーザーとグループにアクセス許可を付与しようとすると、Lake Formation は次のエラーをスローします。「Cross-account grants are not supported for the principal」。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon Redshift データ共有の制限事項

Lake Formation のタグベースのアクセスコントロールのベストプラクティスと考慮事項