Connecter Lake Formation à l'IAM Identity Center

Pour connecter Lake Formation à l'IAM Identity Center

1. Connectez-vous à la AWS Management Console console Lake Formation et ouvrez-la à l'adresse https://console.aws.amazon.com/lakeformation/.

2. Dans le volet de navigation de gauche, sélectionnez Intégration à IAM Identity Center.

   

3. (Facultatif) Entrez une ou plusieurs organisations IDs ou unités and/or organisationnelles valides Compte AWS IDs IDs pour autoriser les comptes externes à accéder aux ressources du catalogue de données. Lorsque des utilisateurs ou des groupes d'IAM Identity Center tentent d'accéder aux ressources du catalogue de données géré par Lake Formation, Lake Formation assume un rôle IAM pour autoriser l'accès aux métadonnées. Si le rôle IAM appartient à un compte externe qui n'a pas de politique de AWS Glue ressources ni de partage de AWS RAM ressources, les utilisateurs et les groupes de l'IAM Identity Center ne pourront pas accéder à la ressource même s'ils disposent des autorisations de Lake Formation.

   Lake Formation utilise le service AWS Resource Access Manager (AWS RAM) pour partager la ressource avec des comptes et des organisations externes. AWS RAM envoie une invitation au compte du bénéficiaire pour qu'il accepte ou rejette le partage des ressources.

   Pour de plus amples informations, veuillez consulter Acceptation d'une invitation de partage de ressources de AWS RAM.

   Note

   Lake Formation permet aux rôles IAM issus de comptes externes d'agir en tant que rôles de support au nom des utilisateurs et des groupes d'IAM Identity Center pour accéder aux ressources du catalogue de données, mais les autorisations ne peuvent être accordées que sur les ressources du catalogue de données du compte propriétaire. Si vous essayez d'accorder des autorisations aux utilisateurs et aux groupes d'IAM Identity Center sur les ressources du catalogue de données d'un compte externe, Lake Formation génère le message d'erreur suivant : « Les autorisations entre comptes ne sont pas prises en charge pour le principal ».

4. (Facultatif) Sur l'écran d'intégration ARNs de Create Lake Formation, spécifiez les applications tierces qui peuvent accéder aux données des sites Amazon S3 enregistrés auprès de Lake Formation. Lake Formation fournit des informations d'identification temporaires limitées sous forme de AWS STS jetons aux sites Amazon S3 enregistrés en fonction des autorisations effectives, afin que les applications autorisées puissent accéder aux données pour le compte des utilisateurs.

5. (Facultatif) Sur l'écran d'intégration de Create Lake Formation, cochez la case Amazon Redshift Connect dans Trusted Identity Propagation pour activer la découverte des autorisations fédérées par Amazon Redshift via IDC. Lake Formation propage l'identité vers l'aval en fonction des autorisations effectives, afin que les applications autorisées puissent accéder aux données au nom des utilisateurs.

6. Sélectionnez Soumettre.

   Une fois que l'administrateur de Lake Formation a terminé les étapes et créé l'intégration, les propriétés de l'IAM Identity Center apparaissent dans la console Lake Formation. L'exécution de ces tâches fait de Lake Formation une application compatible avec IAM Identity Center. Les propriétés de la console incluent l’état de l’intégration. L'état de l'intégration indique Success quand elle est terminée. Ce statut indique si la configuration du centre d'identité IAM est terminée.