IAM アイデンティティセンター 統合の制限事項 - AWS Lake Formation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アイデンティティセンター 統合の制限事項

を使用すると AWS IAM アイデンティティセンター、ID プロバイダー (IdPs) に接続し、 AWS 分析サービス全体でユーザーとグループのアクセスを一元管理できます。を IAM アイデンティティセンターで有効なアプリケーション AWS Lake Formation として設定でき、データレイク管理者は AWS Glue Data Catalog リソースの承認されたユーザーとグループにきめ細かなアクセス許可を付与できます。

IAM アイデンティティセンターとの Lake Formation の統合には、以下の制限が適用されます。

  • Lake Formation では、IAM アイデンティティセンターのユーザーとグループをデータレイク管理者または読み取り専用管理者として割り当てることはできません。

    IAM Identity Center のユーザーとグループは、Data Catalog の暗号化と復号のために がユーザーに代わって引き受け AWS Glue ることができる IAM ロールを使用している場合、暗号化された Data Catalog リソースをクエリできます。 AWS マネージドキーは、信頼できる ID の伝播をサポートしていません。

  • IAM ID センターのユーザーとグループは、IAM アイデンティティセンターによって提供された AWSIAMIdentityCenterAllowListForIdentityContext ポリシーにリストされている API オペレーションのみを呼び出すことができます。

  • Lake Formation は、データカタログリソースへのアクセスのために、外部アカウントの IAM ロールが IAM アイデンティティセンターのユーザーとグループに代わってキャリアロールとして動作することを許可しますが、アクセス許可を付与できるのは、所有アカウント内のデータカタログリソースに対してだけです。外部アカウント内のデータカタログリソースに対するアクセス許可を IAM アイデンティティセンターのユーザーとグループに付与しようとすると、Lake Formation から「Cross-account grants are not supported for the principal」というエラーがスローされます。

  • IAM アイデンティティセンターで Lake Formation を使用する場合、アプリケーション割り当て設定はデフォルトで false に設定されます。IAM Identity Center API を使用してこの設定を直接変更する場合は、API を使用してすべてのアプリケーション割り当てを手動で管理する必要があります。Lake Formation は、標準ワークフロー外で行われた割り当ての変更を自動的に同期または管理しないため、データレイク環境内のアクセスパターンと認可フローに影響を与える可能性があります。