IAM Identity Center 与 Lake Formation 集成的先决条件

以下是将 IAM Identity Center 与 Lake Formation 集成的先决条件。

1. 启用 IAM Identity Center – 启用 IAM Identity Center 是支持身份验证和身份传播的先决条件。

2. 选择您的身份源 – 启用 IAM Identity Center 后，您必须有身份提供者来管理用户和组。您可以使用内置的 Identity Center 目录作为身份源，也可以使用外部 IdP，例如 Microsoft Entra ID 或 Okta。

   有关更多信息，请参阅《 AWS IAM Identity Center 用户指南》中的 “管理您的身份源” 和 “Connect 到外部身份提供商”。

3. 创建 IAM 角色 - 创建 IAM Identity Center 连接的角色需要具有在 Lake Formation 和 IAM Identity Center 中创建和修改应用程序配置的权限，如以下内联策略所示。

   您需要按照 IAM 最佳实践添加权限。后面的步骤将会详细介绍具体权限。有关更多信息，请参阅开始使用 IAM Identity Center。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                   "sso:CreateApplication",
                   "sso:PutApplicationAssignmentConfiguration",
                   "sso:PutApplicationAuthenticationMethod",
                   "sso:PutApplicationGrant",
                   "sso:PutApplicationAccessScope",
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }
    

   如果您要与外部 AWS 账户 或组织共享数据目录资源，则必须具有 AWS Resource Access Manager (AWS RAM) 权限才能创建资源共享。有关共享资源所需权限的更多信息，请参阅跨账户数据共享先决条件。

以下内联策略包含查看、更新和删除 Lake Formation 与 IAM Identity Center 集成的属性所需的特定权限。

• 使用以下内联策略允许 IAM 角色查看 Lake Formation 与 IAM Identity Center 的集成。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                  "sso:DescribeApplication"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }

• 使用以下内联策略允许 IAM 角色更新 Lake Formation 与 IAM Identity Center 的集成。该策略还包括与外部账户共享资源所需的可选权限。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                  "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                  "sso:DescribeApplication",
                  "sso:UpdateApplication",
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
      

• 使用以下内联策略允许 IAM 角色删除 Lake Formation 与 IAM Identity Center 的集成。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                  "sso:DeleteApplication",
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
            

• 有关授予或撤销 IAM Identity Center 用户和组的数据湖权限所需的 IAM 权限，请参阅授予或撤销 Lake Formation 权限所需的 IAM 权限。

权限描述

• lakeformation:CreateLakeFormationIdentityCenterConfiguration – 创建 Lake Formation IdC 配置。

• lakeformation:DescribeLakeFormationIdentityCenterConfiguration – 描述现有的 IdC 配置。

• lakeformation:DeleteLakeFormationIdentityCenterConfiguration – 允许删除现有的 Lake Formation IdC 配置。

• lakeformation:UpdateLakeFormationIdentityCenterConfiguration – 用于更改现有的 Lake Formation 配置。

• sso:CreateApplication – 用于创建 IAM Identity Center 应用程序。

• sso:DeleteApplication – 用于删除 IAM Identity Center 应用程序。

• sso:UpdateApplication – 用于更新 IAM Identity Center 应用程序。

• sso:PutApplicationGrant – 用于更改可信令牌发布者信息。

• sso:PutApplicationAuthenticationMethod – 授予 Lake Formation 身份验证访问权限。

• sso:GetApplicationGrant – 用于列出可信令牌发布者信息。

• sso:DeleteApplicationGrant – 删除可信令牌颁发者信息。

• sso:PutApplicationAccessScope – 添加或更新应用程序的 IAM Identity Center 访问范围的授权目标列表。

• sso:PutApplicationAssignmentConfiguration – 用于配置用户访问应用程序的方式。