IAM Identity Center 통합 제한 사항

를 사용하면 자격 증명 공급자(IdPs)에 연결하고 AWS 분석 서비스 전반에서 사용자 및 그룹에 대한 액세스를 중앙에서 관리할 AWS IAM Identity Center수 있습니다. IAM Identity Center에서 를 활성화된 애플리케이션 AWS Lake Formation 으로 구성할 수 있으며, 데이터 레이크 관리자는 AWS Glue Data Catalog 리소스의 승인된 사용자 및 그룹에 세분화된 권한을 부여할 수 있습니다.

다음 제한 사항은 IAM Identity Center와의 Lake Formation 통합에 적용됩니다.

• IAM Identity Center 사용자 및 그룹을 Lake Formation의 데이터 레이크 관리자 또는 읽기 전용 관리자로 할당할 수 없습니다.

  IAM Identity Center 사용자 및 그룹은 사용자를 대신하여 Data Catalog를 암호화하고 복호화하는 IAM 역할을 사용하는 경우 암호화된 Data Catalog 리소스를 쿼리 AWS Glue 할 수 있습니다. AWS 관리형 키는 신뢰할 수 있는 자격 증명 전파를 지원하지 않습니다.

• IAM Identity Center 사용자 및 그룹은 IAM Identity Center에서 제공하는 AWSIAMIdentityCenterAllowListForIdentityContext 정책에 나열된 API 작업만 호출할 수 있습니다.

• Lake Formation은 외부 계정의 IAM 역할이 Data Catalog 리소스에 액세스하기 위한 IAM Identity Center 사용자 및 그룹을 대신하여 통신 사업자 역할 역할을 수행하도록 허용하지만 소유 계정 내의 Data Catalog 리소스에 대해서만 권한을 부여할 수 있습니다. 외부 계정의 Data Catalog 리소스에 대한 IAM Identity Center 사용자 및 그룹에 권한을 부여하려고 하면 Lake Formation에서 다음과 같은 오류가 발생합니다. '교차 계정 권한 부여는 보안 주체에 대해 지원되지 않습니다.'