IAM識別中心整合限制

您可以透過連線至身分識別提供者 (IdPs) AWS IAM Identity Center，並跨 AWS 分析服務集中管理使用者和群組的存取。您可以在 IAM Identity Center 中設定 AWS Lake Formation 為已啟用的應用程式，資料湖管理員可以將精細的權限授與授權的使用者和 AWS Glue Data Catalog 資源上的群組。

下列限制適用於與IAM身分識別中心的 Lake Formation 整合：

• 您無法在 Lake Formation 中將 IAM Identity Center 使用者和群組指派為資料湖管理員或唯讀管理員。

• IAM如果您使用的IAM角色可以代表您進行加密和解密資料目錄，Identity Center 使用者和群組 AWS Glue 可以查詢加密的資料目錄資源。 AWS 受管理金鑰不支援受信任的身分傳播。

• IAMIdentity Center 使用者和群組只能叫用身IAM分識別中心提供之AWSIAMIdentityCenterAllowListForIdentityContext原則中列出的API作業。

• Lake Formation 允許IAM來自外部帳戶的角色代表 IAM Identity Center 使用者和群組擔任承運人角色，以存取資料目錄資源，但只能授與擁有帳戶內的資料目錄資源權限。如果您嘗試將權限授與外部帳戶中資料目錄資源的 IAM Identity Center 使用者和群組，Lake Formation 會擲回下列錯誤-「主體不支援跨帳戶授與」。