IAM Identity Center 통합 제한 사항

를 사용하면 ID 제공업체(IdPs)에 연결하고 AWS 분석 서비스 전반에서 사용자 및 그룹에 대한 액세스를 중앙에서 관리할 AWS IAM Identity Center수 있습니다. IAM Identity Center에서를 활성화된 애플리케이션 AWS Lake Formation 으로 구성할 수 있으며, 데이터 레이크 관리자는 AWS Glue Data Catalog 리소스의 승인된 사용자 및 그룹에 세분화된 권한을 부여할 수 있습니다.

Lake Formation과 IAM Identity Center 통합에는 다음과 같은 제한 사항이 적용됩니다.

• Lake Formation에서는 IAM Identity Center 사용자 및 그룹을 데이터 레이크 관리자 또는 읽기 전용 관리자로 할당할 수 없습니다.

  IAM Identity Center 사용자 및 그룹은 사용자를 대신하여 데이터 카탈로그 암호화 및 복호화에 맡을 수 있는 IAM 역할을 사용하는 경우 암호화된 데이터 카탈로그 리소스를 쿼리할 AWS Glue 수 있습니다. AWS 관리형 키는 신뢰할 수 있는 ID 전파를 지원하지 않습니다.

• IAM Identity Center 사용자 및 그룹은 IAM Identity Center에서 제공하는 AWSIAMIdentityCenterAllowListForIdentityContext 정책에 나열된 API 작업만 호출할 수 있습니다.

• Lake Formation은 외부 계정의 IAM 역할이 데이터 카탈로그 리소스에 액세스하기 위한 IAM Identity Center 사용자 및 그룹을 대신하여 통신 사업자 역할을 수행하도록 허용하지만 소유 계정 내의 데이터 카탈로그 리소스에 대해서만 권한을 부여할 수 있습니다. 외부 계정의 데이터 카탈로그 리소스에 대한 IAM Identity Center 사용자 및 그룹에 권한을 부여하려고 할 경우 Lake Formation에서 “보안 주체에 대해 교차 계정 권한 부여가 지원되지 않습니다.” 오류가 발생합니다.

• IAM Identity Center에서 Lake Formation을 사용하는 경우 애플리케이션 할당 구성은 false 기본적으로 로 설정됩니다. IAM Identity Center API를 통해이 구성을 직접 수정하는 경우 API를 사용하여 모든 애플리케이션 할당을 수동으로 관리해야 합니다. Lake Formation은 표준 워크플로 외부에서 수행된 할당 변경 사항을 자동으로 동기화하거나 관리하지 않으므로 데이터 레이크 환경 내의 액세스 패턴 및 권한 부여 흐름에 영향을 미칠 수 있습니다.