本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 服务相关角色限制 服务相关角色是一种特殊类型的 IAM 角色,可直接关联到。 AWS Lake Formation此角色具有预定义的权限,允许 Lake Formation 代表您跨 AWS 服务执行操作。 使用服务相关角色(SLR)向 Lake Formation 注册数据位置时,存在以下限制。 + 服务相关角色策略一经创建,就无法修改。 + 服务相关角色不支持跨账户共享加密目录资源。加密资源需要特定的 AWS KMS 密钥权限。服务相关角色具有预定义的权限,其中不包括跨账户处理加密目录资源的能力。 + 注册多个 Amazon S3 位置时,使用服务相关角色可能会导致您快速超出 IAM 策略限制。之所以发生这种情况,是因为对于与服务相关的角色,它会为你 AWS 编写策略,然后它会增加为一个包含你所有注册的大块。您可以更高效地编写客户管理型策略,在多个策略之间分配权限,或者为不同的区域使用不同的角色。 + 您使用服务相关角色注册数据位置时,EC2 上的 Amazon EMR 无法访问数据。 + 服务相关角色操作会绕过您的 AWS 服务控制策略。 + 当您使用服务相关角色注册数据位置时,该角色会以最终一致性方式更新 IAM 策略。有关更多信息,请参阅《IAM 用户指南》中的 [IAM 故障排除](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html#troubleshoot_general_eventual-consistency)文档。 + 当使用服务相关角色且使用的是 IAM Identity Center 时,您无法在 Lake Formation 数据湖设置中设置 `SET_CONTEXT = TRUE`。原因是服务相关角色具有不可变的信任策略,这些策略与使用 IAM Identity Center 主体进行 `SetContext` 审计所需的可信身份传播不兼容。