Pré-requisitos

Veja a seguir os pré-requisitos para integrar o Centro de Identidade do IAM ao Lake Formation.

Habilitar o Centro de Identidade do IAM: habilitar o Centro de Identidade do IAM é um pré-requisito para oferecer compatibilidade com a autenticação e a propagação de identidade.
Selecionar a fonte de identidade: depois de habilitar o Centro de Identidade do IAM, é necessário ter um provedor de identificação para gerenciar usuários e grupos. É possível usar o diretório incorporado do Centro de Identidade como fonte de identidade ou usar IdP externo, como Microsoft Entra ID ou Okta.

Para obter mais informações, consulte Gerenciar sua fonte de identidade e Conectar-se a um provedor de identidade externo no Guia AWS IAM Identity Center do usuário.
Crie um perfil do IAM: a função que cria a conexão do Centro de Identidade do IAM exige permissões para criar e modificar a configuração da aplicação no Lake Formation e no Centro de Identidade do IAM, conforme a política incorporada a seguir.

É necessário adicionar permissões de acordo com as práticas recomendadas do IAM. As permissões específicas são detalhadas nos procedimentos a seguir. Para obter mais informações, consulte Getting Started with IAM Identity Center.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                "sso:CreateApplication",
                "sso:PutApplicationAssignmentConfiguration",
                "sso:PutApplicationAuthenticationMethod",
                "sso:PutApplicationGrant",
                "sso:PutApplicationAccessScope",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
 
```
Se você estiver compartilhando recursos do Catálogo de Dados com organizações externas Contas da AWS ou externas, deverá ter as permissões AWS Resource Access Manager (AWS RAM) para criar compartilhamentos de recursos. Para obter mais informações sobre as permissões necessárias para compartilhar recursos, consulte Pré-requisitos de compartilhamento de dados entre contas.

As políticas incorporadas a seguir contêm permissões específicas necessárias para visualizar, atualizar e excluir propriedades da integração do Lake Formation com o Centro de Identidade do IAM.

Use a política incorporada a seguir para que um perfil do IAM visualize uma integração do Lake Formation ao Centro de Identidade do IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Use a política incorporada a seguir para que um perfil do IAM atualize uma integração do Lake Formation ao Centro de Identidade do IAM. A política também inclui permissões opcionais necessárias para compartilhar recursos com contas externas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                "sso:DescribeApplication",
                "sso:UpdateApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Use a política incorporada a seguir para que um perfil do IAM exclua uma integração do Lake Formation ao Centro de Identidade do IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                "sso:DeleteApplication",
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Para conhecer as permissões do IAM necessárias para conceder ou revogar permissões de data lake para usuários e grupos do Centro de Identidade do IAM, consulte Permissões do IAM necessárias para conceder ou revogar as permissões do Lake Formation.

Descrição das permissões

lakeformation:CreateLakeFormationIdentityCenterConfiguration: cria a configuração do Lake Formation IdC.
lakeformation:DescribeLakeFormationIdentityCenterConfiguration: descreve uma configuração existente do IdC.
lakeformation:DeleteLakeFormationIdentityCenterConfiguration: permite excluir uma configuração existente do Lake Formation IdC.
lakeformation:UpdateLakeFormationIdentityCenterConfiguration: usado para alterar uma configuração existente do Lake Formation.
sso:CreateApplication: usado para criar uma aplicação IAM Identity Center.
sso:DeleteApplication: usado para excluir uma aplicação IAM Identity Center.
sso:UpdateApplication: usado para atualizar uma aplicação IAM Identity Center.
sso:PutApplicationGrant: usado para alterar as informações do emissor de tokens confiáveis.
sso:PutApplicationAuthenticationMethod: concede acesso para autenticação no Lake Formation.
sso:GetApplicationGrant: usado para listar as informações do emissor de tokens confiáveis.
sso:DeleteApplicationGrant: exclui as informações do emissor de tokens confiáveis.
sso:PutApplicationAccessScope: adiciona ou atualiza a lista de alvos autorizados para um escopo de acesso ao Centro de Identidade do IAM para uma aplicação.
sso:PutApplicationAssignmentConfiguration: usado para configurar como os usuários obtêm acesso a uma aplicação.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Integrar o Centro de Identidade do IAM

Conectar o Lake Formation ao Centro de Identidade do IAM