必要條件

以下是整合IAM身分識別中心與 Lake Formation 的先決條件。

1. 啟用IAM身分識別中心 — 啟用IAM身分識別中心是支援驗證和身分識別傳播的先決條件。

2. 選擇您的身分識別來源 — 啟用 IAM Identity Center 後，您必須擁有識別提供者來管理使用者和群組。您可以使用內建的身分識別中心目錄做為身分識別來源，也可以使用外部 IdP，例如 Microsoft Entra ID 或 Okta。

   如需詳細資訊，請參閱 AWS IAM Identity Center 使用指南中的管理您的身分識別來源和 Connect 至外部身分識別提供者。

3. 建立IAM角色 — 建立 IAM Identity Center 連線的角色需要在 Lake Formation 和 I IAM dentity Center 中建立和修改應用程式組態的權限，如下列內嵌原則所示。

   您需要根據IAM最佳做法新增權限。下列程序會詳細說明特定權限。如需詳細資訊，請參閱IAM身分識別中心入門。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "lakeformation:CreateLakeFormationIdentityCenterConfiguration",
                   "sso:CreateApplication",
                   "sso:PutApplicationAssignmentConfiguration",
                   "sso:PutApplicationAuthenticationMethod",
                   "sso:PutApplicationGrant",
                   "sso:PutApplicationAccessScope",
               ],
               "Resource": [
                   "*"
               ]
           }
       ]
   }
    

   如果您要與外部 AWS 帳戶 或組織共用資料目錄資源，則必須具有 AWS Resource Access Manager (AWS RAM) 權限才能建立資源共用。如需共用資源所需權限的詳細資訊，請參閱跨帳戶資料共用先決條件。

下列內嵌原則包含檢視、更新和刪除 Lake Formation 與IAM身分中心整合屬性所需的特定權限。

• 使用下列內嵌原則可允許IAM角色檢視與IAM身分識別中心的 Lake Formation 整合。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                  "sso:DescribeApplication"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }

• 使用下列內嵌原則可允許IAM角色更新與IAM身分識別中心的 Lake Formation 整合。此策略也包含與外部帳號共用資源所需的選用權限。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
                  "lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
                  "sso:DescribeApplication",
                  "sso:UpdateApplication",
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
      

• 使用下列內嵌原則可允許IAM角色刪除與IAM身分識別中心的 Lake Formation 整合。

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
                  "sso:DeleteApplication",
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
            

• 如需IAM授與或撤銷 IAM Identity Center 使用者和群組之資料湖權限所需的權限，請參閱授予或撤銷 Lake Formation 許可所需的 IAM 許可。

權限說明

• lakeformation:CreateLakeFormationIdentityCenterConfiguration— 建立 Lake Formation IdC 配置。

• lakeformation:DescribeLakeFormationIdentityCenterConfiguration— 描述現有的 IdC 組態。

• lakeformation:DeleteLakeFormationIdentityCenterConfiguration— 能夠刪除現有的 Lake Formation IdC 配置。

• lakeformation:UpdateLakeFormationIdentityCenterConfiguration-用於更改現有的 Lake Formation 配置。

• sso:CreateApplication— 用於建立IAM身分識別中心應用程式。

• sso:DeleteApplication— 用於刪除IAM身分識別中心應用程式。

• sso:UpdateApplication— 用於更新IAM身分識別中心應用程式。

• sso:PutApplicationGrant— 用於變更受信任的字符發行者資訊。

• sso:PutApplicationAuthenticationMethod— 授予 Lake Formation 身份驗證訪問權限

• sso:GetApplicationGrant— 用於列出受信任的字符發行者資訊。

• sso:DeleteApplicationGrant – 刪除信任權杖發行者資訊。

• sso:PutApplicationAccessScope— 新增或更新應用程式之IAM身分識別中心存取範圍的授權目標清單。

• sso:PutApplicationAssignmentConfiguration— 用於設定使用者如何取得應用程式的存取權。