サービスにリンクされたロールの制限

サービスにリンクされたロールは、直接リンクされた特殊なタイプの IAM ロールです AWS Lake Formation。このロールには、Lake Formation が AWS サービス間でユーザーに代わってアクションを実行できるようにする事前定義されたアクセス許可があります。

サービスにリンクされたロール (SLR) を使用してデータロケーションを Lake Formation に登録する場合、次の制限が適用されます。

• 一度作成したサービスにリンクされたロールポリシーは変更できません。

• サービスにリンクされたロールは、アカウント間での暗号化されたカタログリソースの共有をサポートしていません。暗号化されたリソースには、特定の AWS KMS キーアクセス許可が必要です。サービスにリンクされたロールには、アカウント間で暗号化されたカタログリソースを操作する機能を含まない事前定義されたアクセス許可があります。

• 複数の Amazon S3 ロケーションを登録する場合、サービスにリンクされたロールを使用すると、IAM ポリシーの制限をすばやく超える可能性があります。これは、サービスにリンクされたロールでは、 によってポリシーが AWS 記述され、すべての登録を含む 1 つの大きなブロックとして増分されるためです。カスタマー管理ポリシーをより効率的に記述したり、アクセス許可を複数のポリシーに分散したり、リージョンごとに異なるロールを使用したりできます。

• Amazon EMR on EC2 は、サービスにリンクされたロールでデータロケーションを登録したデータにアクセスできません。

• サービスにリンクされたロールオペレーションは、 AWS サービスコントロールポリシーをバイパスします。

• データロケーションをサービスにリンクされたロールに登録すると、IAM ポリシーが結果整合性で更新されます。詳細については、「IAM ユーザーガイド」の「IAM ドキュメントのトラブルシューティング」を参照してください。

• サービスにリンクされたロールを使用する場合、および IAM Identity Center を使用している場合、Lake Formation データレイク設定SET_CONTEXT = TRUEで を設定することはできません。その理由は、サービスにリンクされたロールには、IAM Identity Center プリンシパルによるSetContext監査に必要な信頼できる ID 伝達と互換性のないイミュータブルな信頼ポリシーがあるからです。