本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # IAM Identity Center 与 Lake Formation 集成的先决条件 以下是将 IAM Identity Center 与 Lake Formation 集成的先决条件。 1. 启用 IAM Identity Center – 启用 IAM Identity Center 是支持身份验证和身份传播的先决条件。 1. 选择您的身份源 – 启用 IAM Identity Center 后,您必须有身份提供者来管理用户和组。您可以使用内置的 Identity Center 目录作为身份源,也可以使用外部 IdP,例如 Microsoft Entra ID 或 Okta。 有关更多信息,请参阅《 AWS IAM Identity Center 用户指南》中的 “[管理您的身份源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)” 和 “[Connect 到外部身份提供商](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)”。 1. 创建 IAM 角色 - 创建 IAM Identity Center 连接的角色需要具有在 Lake Formation 和 IAM Identity Center 中创建和修改应用程序配置的权限,如以下内联策略所示。 您需要按照 IAM 最佳实践添加权限。后面的步骤将会详细介绍具体权限。有关更多信息,请参阅[开始使用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:CreateLakeFormationIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope" ], "Resource": [ "*" ] } ] } ``` ------ 如果您要与外部 AWS 账户 或组织共享数据目录资源,则必须具有 AWS Resource Access Manager (AWS RAM) 权限才能创建资源共享。有关共享资源所需权限的更多信息,请参阅[跨账户数据共享先决条件](cross-account-prereqs.md)。 以下内联策略包含查看、更新和删除 Lake Formation 与 IAM Identity Center 集成的属性所需的特定权限。 + 使用以下内联策略允许 IAM 角色查看 Lake Formation 与 IAM Identity Center 的集成。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 使用以下内联策略允许 IAM 角色更新 Lake Formation 与 IAM Identity Center 的集成。该策略还包括与外部账户共享资源所需的可选权限。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:UpdateLakeFormationIdentityCenterConfiguration", "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication", "sso:UpdateApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 使用以下内联策略允许 IAM 角色删除 Lake Formation 与 IAM Identity Center 的集成。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DeleteLakeFormationIdentityCenterConfiguration", "sso:DeleteApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 有关授予或撤销 IAM Identity Center 用户和组的数据湖权限所需的 IAM 权限,请参阅[授予或撤销 Lake Formation 权限所需的 IAM 权限](required-permissions-for-grant.md)。 *权限描述* + `lakeformation:CreateLakeFormationIdentityCenterConfiguration` – 创建 Lake Formation IdC 配置。 + `lakeformation:DescribeLakeFormationIdentityCenterConfiguration` – 描述现有的 IdC 配置。 + `lakeformation:DeleteLakeFormationIdentityCenterConfiguration` – 允许删除现有的 Lake Formation IdC 配置。 + `lakeformation:UpdateLakeFormationIdentityCenterConfiguration` – 用于更改现有的 Lake Formation 配置。 + `sso:CreateApplication` – 用于创建 IAM Identity Center 应用程序。 + `sso:DeleteApplication` – 用于删除 IAM Identity Center 应用程序。 + `sso:UpdateApplication` – 用于更新 IAM Identity Center 应用程序。 + `sso:PutApplicationGrant` – 用于更改可信令牌发布者信息。 + `sso:PutApplicationAuthenticationMethod` – 授予 Lake Formation 身份验证访问权限。 + `sso:GetApplicationGrant` – 用于列出可信令牌发布者信息。 + `sso:DeleteApplicationGrant` – 删除可信令牌颁发者信息。 + `sso:PutApplicationAccessScope` – 添加或更新应用程序的 IAM Identity Center 访问范围的授权目标列表。 + `sso:PutApplicationAssignmentConfiguration` – 用于配置用户访问应用程序的方式。