IAM身份中心集成限制

借 AWS IAM Identity Center助，您可以连接到身份提供商 (IdPs)，并集中管理 AWS 分析服务中用户和群组的访问权限。您可以在 Ident IAM ity Center 中配置 AWS Lake Formation 为已启用的应用程序，数据湖管理员可以向授权用户和群组授予对 AWS Glue Data Catalog 资源的精细权限。

以下限制适用于 Lake Formation 与IAM身份中心的集成：

• 在 Lake Formation 中，您无法将IAM身份中心用户和群组分配为数据湖管理员或只读管理员。

  IAM如果您使用的IAM角色可以代表您对数据目录进行加密和解密，Identity Center 用户和群组 AWS Glue 可以查询加密的数据目录资源。 AWS 托管密钥不支持可信身份传播。

• IAMIdentity Center 用户和群组只能调用 Ident IAM ity Center 提供的AWSIAMIdentityCenterAllowListForIdentityContext策略中列出的API操作。

• Lake Formation 允许IAM来自外部账户的角色代表 Ident IAM ity Center 用户和群组充当运营商角色来访问数据目录资源，但只能对拥有者账户内的数据目录资源授予权限。如果您尝试向 Ident IAM ity Center用户和群组授予对外部账户中数据目录资源的权限，Lake Formation 会抛出以下错误：“委托人不支持跨账户授权。”