本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 集成 IAM Identity Center
借 AWS IAM Identity Center助,您可以连接到身份提供商 (IdPs),并集中管理 AWS 分析服务中用户和群组的访问权限。您可以将 Okta、Ping 和 Microsoft Entra ID(以前称为 Azure Active Directory)等身份提供者与 IAM Identity Center 集成,以便您组织中的用户使用单点登录体验访问数据。IAM Identity Center 还支持连接其他第三方身份提供者。
有关更多信息,请参阅《 AWS IAM Identity Center 用户指南》中[支持的身份提供商](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)。
您可以在 IAM Identity Center 中配置 AWS Lake Formation 为已启用的应用程序,数据湖管理员可以向授权用户和群组授予对 AWS Glue Data Catalog 资源的精细权限。
您组织中的用户可以使用组织的身份提供程者登录到任何启用了 Identity Center 的应用程序,并查询应用 Lake Formation 权限的数据集。通过此集成,您可以管理对 AWS 服务的访问权限,而无需创建多个 IAM 角色。
[可信身份传播](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overview.html)是一项 AWS IAM Identity Center 功能,connected 的管理员 AWS 服务 可以使用它来授予和审核对服务数据的访问权限。对这些数据的访问权限基于用户属性,例如组关联。设置可信身份传播需要连接的管理员 AWS 服务 和 IAM Identity Center 管理员之间的协作。有关更多信息,请参阅[先决条件和注意事项](https://docs.aws.amazon.com//singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html)。
有关限制,请参阅[IAM Identity Center 集成限制](identity-center-lf-notes.md)。
**Topics**
+ [IAM Identity Center 与 Lake Formation 集成的先决条件](prerequisites-identity-center.md)
+ [将 Lake Formation 与 IAM Identity Center 连接](connect-lf-identity-center.md)
+ [更新 IAM Identity Center 集成](update-lf-identity-center-connection.md)
+ [删除 Lake Formation 与 IAM Identity Center 的连接](delete-lf-identity-center-connection.md)
+ [向用户和组授予权限](grant-permissions-sso.md)
+ [在 CloudTrail 日志中包含 IAM 身份中心用户上下文](identity-center-ct-logs.md)
# IAM Identity Center 与 Lake Formation 集成的先决条件
以下是将 IAM Identity Center 与 Lake Formation 集成的先决条件。
1. 启用 IAM Identity Center – 启用 IAM Identity Center 是支持身份验证和身份传播的先决条件。
1. 选择您的身份源 – 启用 IAM Identity Center 后,您必须有身份提供者来管理用户和组。您可以使用内置的 Identity Center 目录作为身份源,也可以使用外部 IdP,例如 Microsoft Entra ID 或 Okta。
有关更多信息,请参阅《 AWS IAM Identity Center 用户指南》中的 “[管理您的身份源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)” 和 “[Connect 到外部身份提供商](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)”。
1. 创建 IAM 角色 - 创建 IAM Identity Center 连接的角色需要具有在 Lake Formation 和 IAM Identity Center 中创建和修改应用程序配置的权限,如以下内联策略所示。
您需要按照 IAM 最佳实践添加权限。后面的步骤将会详细介绍具体权限。有关更多信息,请参阅[开始使用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:CreateLakeFormationIdentityCenterConfiguration",
"sso:CreateApplication",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:PutApplicationAccessScope"
],
"Resource": [
"*"
]
}
]
}
```
------
如果您要与外部 AWS 账户 或组织共享数据目录资源,则必须具有 AWS Resource Access Manager (AWS RAM) 权限才能创建资源共享。有关共享资源所需权限的更多信息,请参阅[跨账户数据共享先决条件](cross-account-prereqs.md)。
以下内联策略包含查看、更新和删除 Lake Formation 与 IAM Identity Center 集成的属性所需的特定权限。
+ 使用以下内联策略允许 IAM 角色查看 Lake Formation 与 IAM Identity Center 的集成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 使用以下内联策略允许 IAM 角色更新 Lake Formation 与 IAM Identity Center 的集成。该策略还包括与外部账户共享资源所需的可选权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:UpdateLakeFormationIdentityCenterConfiguration",
"lakeformation:DescribeLakeFormationIdentityCenterConfiguration",
"sso:DescribeApplication",
"sso:UpdateApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 使用以下内联策略允许 IAM 角色删除 Lake Formation 与 IAM Identity Center 的集成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lakeformation:DeleteLakeFormationIdentityCenterConfiguration",
"sso:DeleteApplication"
],
"Resource": [
"*"
]
}
]
}
```
------
+ 有关授予或撤销 IAM Identity Center 用户和组的数据湖权限所需的 IAM 权限,请参阅[授予或撤销 Lake Formation 权限所需的 IAM 权限](required-permissions-for-grant.md)。
*权限描述*
+ `lakeformation:CreateLakeFormationIdentityCenterConfiguration` – 创建 Lake Formation IdC 配置。
+ `lakeformation:DescribeLakeFormationIdentityCenterConfiguration` – 描述现有的 IdC 配置。
+ `lakeformation:DeleteLakeFormationIdentityCenterConfiguration` – 允许删除现有的 Lake Formation IdC 配置。
+ `lakeformation:UpdateLakeFormationIdentityCenterConfiguration` – 用于更改现有的 Lake Formation 配置。
+ `sso:CreateApplication` – 用于创建 IAM Identity Center 应用程序。
+ `sso:DeleteApplication` – 用于删除 IAM Identity Center 应用程序。
+ `sso:UpdateApplication` – 用于更新 IAM Identity Center 应用程序。
+ `sso:PutApplicationGrant` – 用于更改可信令牌发布者信息。
+ `sso:PutApplicationAuthenticationMethod` – 授予 Lake Formation 身份验证访问权限。
+ `sso:GetApplicationGrant` – 用于列出可信令牌发布者信息。
+ `sso:DeleteApplicationGrant` – 删除可信令牌颁发者信息。
+ `sso:PutApplicationAccessScope` – 添加或更新应用程序的 IAM Identity Center 访问范围的授权目标列表。
+ `sso:PutApplicationAssignmentConfiguration` – 用于配置用户访问应用程序的方式。
# 将 Lake Formation 与 IAM Identity Center 连接
您必须先完成以下步骤,然后才能使用 IAM Identity Center 管理身份以使用 Lake Formation 授予对数据目录资源的访问权限。您可以使用 Lake Formation 控制台或 AWS CLI创建 IAM Identity Center 集成。
------
#### [ AWS 管理控制台 ]
**将 Lake Formation 与 IAM Identity Center 连接**
1. 登录并打开 Lake AWS 管理控制台 Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 在左侧导航窗格中,选择 **IAM Identity Center 集成**。
![\[IAM Identity Center 与 Identity Center ARN 的集成屏幕。\]](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/identity-center-integ.png)
1. (可选)输入一个或多个有效的组织 AWS 账户 IDs IDs、 and/or 组织单位, IDs 以允许外部帐户访问数据目录资源。当 IAM Identity Center 用户或组尝试访问 Lake Formation 托管式数据目录资源时,Lake Formation 会代入 IAM 角色来授权访问元数据。如果 IAM 角色属于没有 AWS Glue 资源策略和 AWS RAM 资源共享的外部账户,那么 IAM Identity Center 用户和群组即使拥有 Lake Formation 权限,也无法访问该资源。
Lake Formation 使用 AWS Resource Access Manager (AWS RAM) 服务与外部账户和组织共享资源。 AWS RAM 向被授权者账户发送接受或拒绝资源共享的邀请。
有关更多信息,请参阅 [接受来自的资源共享邀请 AWS RAM](accepting-ram-invite.md)。
**注意**
Lake Formation 允许外部账户中的 IAM 角色代表 IAM Identity Center 用户和组作为访问数据目录资源的载体角色,但只能在所有者账户内授予对数据目录资源的权限。如果您尝试在外部账户中向 IAM Identity Center 用户和组授予对数据目录资源的权限,那么 Lake Formation 会引发以下错误:“Cross-account grants are not supported for the principal.”
1. (可选)在**创建 Lake Formation 集成**屏幕上,指定哪些第三方应用程序可以访问注册到 Lake Formation 的 Amazon S3 位置中的数据。 ARNs Lake Formation 根据有效权限以 AWS STS 令牌的形式向已注册的 Amazon S3 地点出售限定范围的临时证书,以便授权的应用程序可以代表用户访问数据。
1. (可选)在**创建 Lake Formation 集成**屏幕上,选中 “可信身份传播” 中的 Amazon Redshift Connect 复选框,启用通过 IDC 发现亚马逊 Redshift 联合权限。Lake Formation 根据有效的权限向下游传播身份,这样获得授权的应用程序就能够代表用户访问数据。
1. 选择**提交**。
Lake Formation 管理员完成这些步骤并创建集成后,IAM Identity Center 属性将显示在 Lake Formation 控制台中。完成这些任务后,Lake Formation 将成为启用了 IAM Identity Center 的应用程序。控制台中的属性包括集成状态。集成完成后,状态显示为 `Success`。此状态指示 IAM Identity Center 配置是否已完成。
------
#### [ AWS CLI ]
+ 以下示例演示如何创建 Lake Formation 与 IAM Identity Center 的集成。您还可以指定该应用程序的 `Status`(`ENABLED`、`DISABLED`)。
```
aws lakeformation create-lake-formation-identity-center-configuration \
--catalog-id <123456789012> \
--instance-arn \
--share-recipients '[{"DataLakePrincipalIdentifier": "<123456789012>"},
{"DataLakePrincipalIdentifier": "<555555555555>"}]' \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'
```
+ 以下示例演示如何查看 Lake Formation 与 IAM Identity Center 的集成。
```
aws lakeformation describe-lake-formation-identity-center-configuration
--catalog-id <123456789012>
```
+ 以下示例说明如何启用`Redshift:Connect`授权。可以启用或禁用授权。
```
aws lakeformation create-lake-formation-identity-center-configuration \
--instance-arn \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
+ 使用`describe-lake-formation-identity-center-configuration`命令描述湖泊形成身份中心应用程序。 `Redshift:Connect`服务集成对于跨服务和跨集群 IdC 身份传播至关重要:
```
aws lakeformation describe-lake-formation-identity-center-configuration --catalog-id <123456789012>
```
响应:
```
{
"CatalogId": "CATALOG ID",
"InstanceArn": "INSTANCE ARN",
"ApplicationArn": "APPLICATION ARN",
"ShareRecipients": [],
"ServiceIntegrations": [
{
"Redshift": [
{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}
]
}
]
}
```
------
## 跨多个 IAM 身份中心使用 AWS 区域
Lake Formation 以多种方式支持 IAM 身份中心 AWS 区域。您可以将 IAM Identity Center 从您的主区域扩展 AWS 区域 到其他区域,从而通过靠近用户和提高可靠性来提高性能。在 IAM Identity Center 中添加新区域后,您可以在新区域中创建 Lake Formation Identity Center 应用程序,而无需从主区域复制身份。有关开始在多个区域使用 IAM 身份中心的更多详细信息,请参阅 [IAM 身份中心用户指南中的多区域](https://docs.aws.amazon.com/singlesignon/latest/userguide/multi-region-iam-identity-center.html) *IAM 身份中心*。
# 更新 IAM Identity Center 集成
创建连接后,您可以为 IAM Identity Center 集成添加第三方应用程序,以便与 Lake Formation 集成,并可以代表用户访问 Amazon S3 数据。您也可以从 IAM Identity Center 集成中移除现有应用程序。您可以使用 Lake Formation 控制台和[UpdateLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_UpdateLakeFormationIdentityCenterConfiguration.html)操作添加或删除应用程序。 AWS CLI
**注意**
创建 IAM Identity Center 集成后,您无法更新实例 `ARN`。
------
#### [ AWS 管理控制台 ]
**更新 IAM Identity Center 与 Lake Formation 的现有连接**
1. 登录并打开 Lake AWS 管理控制台 Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 在左侧导航窗格中,选择 **IAM Identity Center 集成**。
1. 在 **IAM Identity Center 集成**页面上选择**添加**。
1. 输入一个或多个有效的组织 AWS 账户 IDs IDs、 and/or 组织单位, IDs 以允许外部帐户访问数据目录资源。
1. 在**添加应用程序**屏幕上,输入要与 Lake Formation 集成的第三方应用程序的应用程序。 IDs
1. 选择**添加**。
1. (可选)在 **IAM 身份中心集成**页面上,您可以为 Amazon Redshift 连接启用可信身份传播,也可以将其禁用。Lake Formation 根据有效的权限向下游传播身份,这样获得授权的应用程序就能够代表用户访问数据。
------
#### [ AWS CLI ]
您可以通过运行以下 AWS CLI 命令为 IAM Identity Center 集成添加或删除第三方应用程序。当您将外部筛选状态设置为 `ENABLED` 时,它使 IAM Identity Center 能够为第三方应用程序提供身份管理,以便访问 Lake Formation 管理的数据。您还可以通过设置应用程序状态来启用或禁用 IAM Identity Center 集成。
```
aws lakeformation update-lake-formation-identity-center-configuration \
--external-filtering '{"AuthorizedTargets": ["", ""], "Status": "ENABLED"}'\
--share-recipients '[{"DataLakePrincipalIdentifier": "<444455556666>"}
{"DataLakePrincipalIdentifier": "<777788889999>"}]' \
--application-status ENABLED
```
如果您已有 LF IDC 应用程序,但希望添加`Redshift:Connect`授权,则可以使用以下内容更新您的 Lake Formation IDC 应用程序。可以启用或禁用授权。
```
aws lakeformation update-lake-formation-identity-center-configuration \
--service-integrations '[{
"Redshift": [{
"RedshiftConnect": {
"Authorization": "ENABLED"
}
}]
}]'
```
------
# 删除 Lake Formation 与 IAM Identity Center 的连接
如果您想删除现有的 IAM 身份中心集成,可以使用 Lake Formation 控制台或[DeleteLakeFormationIdentityCenterConfiguration](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_DeleteLakeFormationIdentityCenterConfiguration.html)操作来删除。 AWS CLI
------
#### [ AWS 管理控制台 ]
**删除 IAM Identity Center 与 Lake Formation 的现有连接**
1. 登录并打开 Lake AWS 管理控制台 Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 在左侧导航窗格中,选择 **IAM Identity Center 集成**。
1. 在 **IAM Identity Center 集成**页面上选择**删除**。
1. 在**确认集成**屏幕上,确认该操作,然后选择**删除**。
------
#### [ AWS CLI ]
您可以通过运行以下 AWS CLI 命令删除 IAM Identity Center 集成。
```
aws lakeformation delete-lake-formation-identity-center-configuration \
--catalog-id <123456789012>
```
------
# 向用户和组授予权限
您的数据湖管理员可以向 IAM Identity Center 用户和组授予对数据目录资源(数据库、表和视图)的权限,以便轻松访问数据。要授予或撤销数据湖权限,授予者需要具有执行以下 IAM Identity Center 操作的权限。
+ [DescribeUser](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeUser.html)
+ [DescribeGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_DescribeGroup.html)
+ [DescribeInstance](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_DescribeInstance.html)
您可以使用 Lake Formation 控制台、API 或 AWS CLI来授予权限。
有关授予权限的更多信息,请参阅[授予对数据目录资源的权限](granting-catalog-permissions.md)。
**注意**
您只能授予对账户中资源的权限。要将权限级联到用户和群组对与您共享的资源,您必须使用 AWS RAM 资源共享。
------
#### [ AWS 管理控制台 ]
**向用户和组授予权限**
1. 登录并打开 Lake AWS 管理控制台 Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 在 Lake Formation 控制台的**权限**下,选择**数据湖权限**。
1. 选择**授予**。
1. 在**授予数据湖权限**页面上,选择 **IAM Identity Center** 用户和组。
1. 选择**添加**以选择要授予权限的用户和组。
![\[选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。\]](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/identity-center-grant-perm.png)
1. 在 “**分配用户和群组**” 屏幕上,选择要授予权限的用户 and/or 组。
选择**分配**。
![\[选中 IAM Identity Center 用户和组的“授予数据湖权限”屏幕。\]](http://docs.aws.amazon.com/zh_cn/lake-formation/latest/dg/images/identity-center-assign-users-groups.png)
1. 接下来,选择授予权限的方法。
有关使用命名资源方法授予权限的说明,请参阅[使用命名资源方法授予数据权限](granting-cat-perms-named-resource.md)。
有关使用 LF 标签授予权限的说明,请参阅[使用 LF-TBAC 方法授予数据湖权限](granting-catalog-perms-TBAC.md)。
1. 选择要授予其权限的数据目录资源。
1. 选择要授予的数据目录权限。
1. 选择**授予**。
------
#### [ AWS CLI ]
以下示例演示如何向 IAM Identity Center 用户授予对表的 `SELECT` 权限。
```
aws lakeformation grant-permissions \
--principal DataLakePrincipalIdentifier=arn:aws:identitystore:::user/ \
--permissions "SELECT" \
--resource '{ "Table": { "DatabaseName": "retail", "TableWildcard": {} } }'
```
要`UserId`从 IAM 身份中心检索,请参阅 IAM 身份中心 API 参考中的[GetUserId](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_GetUserId.html)操作。
------
# 在 CloudTrail 日志中包含 IAM 身份中心用户上下文
Lake Formation 使用[凭证售卖](using-cred-vending.md)功能提供对 Amazon S3 数据的临时访问权限。默认情况下,当 IAM Identity Center 用户向集成分析服务提交查询时, CloudTrail 日志仅包含该服务为提供短期访问而承担的 IAM 角色。如果您使用用户定义的角色向 Lake Formation 注册 Amazon S3 数据位置,则可以选择在 CloudTrail 事件中包含 IAM 身份中心用户的上下文,然后跟踪访问您资源的用户。
**重要**
要在中包含对象级的 Amazon S3 API 请求 CloudTrail,您需要为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录。有关更多信息,请参阅 Amazon S3 用户指南中的[为 Amazon S3 存储桶和对象启用 CloudTrail 事件记录](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)。
**在使用用户定义的角色注册的数据湖位置上启用凭证售卖审计**
1. 登录 Lake Formation 控制台,网址为[https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/)。
1. 在左侧导航中,展开**管理**,然后选择**数据目录设置**。
1. 在**增强审计**下,选择**传播提供的上下文**。
1. 选择**保存**。
您也可以通过在[PutDataLakeSettings](https://docs.aws.amazon.com/lake-formation/latest/APIReference/API_PutDataLakeSettings.html)操作中设置`Parameters`属性来启用增强审计选项。默认情况下,`SET_CONTEXT"` 参数值设置为 true。
```
{
"DataLakeSettings": {
"Parameters": {"SET_CONTEXT": "true"},
}
}
```
以下是带有增强审计选项 CloudTrail 的事件的摘录。此日志包括 IAM Identity Center 用户的会话上下文和 Lake Formation 为访问 Amazon S3 数据位置而代入的用户定义的 IAM 角色。参见以下摘录中的 `onBehalfOf` 参数。
```
{
"eventVersion":"1.09",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AROAW7F7MOX4OYE6FLIFN:access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"arn":"arn:aws:sts::123456789012:assumed-role/accessGrantsTestRole/access-grants-e653760c-4e8b-44fd-94d9-309e035b75ab",
"accountId":"123456789012",
"accessKeyId":"ASIAW7F7MOX4CQLD4JIZN",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AROAW7F7MOX4OYE6FLIFN",
"arn":"arn:aws:iam::123456789012:role/accessGrantsTestRole",
"accountId":"123456789012",
"userName":"accessGrantsTestRole"
},
"attributes":{
"creationDate":"2023-08-09T17:24:02Z",
"mfaAuthenticated":"false"
}
},
"onBehalfOf":{
"userId": "",
"identityStoreArn": "arn:aws:identitystore::"
}
},
"eventTime":"2023-08-09T17:25:43Z",
"eventSource":"s3.amazonaws.com",
"eventName":"GetObject",
....
```