本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Identity Center 整合限制
<a name="identity-center-lf-notes"></a>

使用 AWS IAM Identity Center，您可以連線到身分提供者 IdPs)，並跨 AWS 分析服務集中管理使用者和群組的存取權。您可以在 IAM Identity Center 中將 AWS Lake Formation 設定為已啟用的應用程式，而資料湖管理員可以將精細許可授予 AWS Glue Data Catalog 資源上的授權使用者和群組。

下列限制適用於 Lake Formation 與 IAM Identity Center 的整合：
+ 您無法在 Lake Formation 中將 IAM Identity Center 使用者和群組指派為資料湖管理員或唯讀管理員。

  如果您使用 AWS Glue 可代表您擔任的 IAM 角色來加密和解密 Data Catalog，IAM Identity Center 使用者和群組可以查詢加密的 Data Catalog 資源。 AWS 受管金鑰不支援受信任的身分傳播。
+ IAM Identity Center 使用者和群組只能叫用 IAM Identity Center 所提供`AWSIAMIdentityCenterAllowListForIdentityContext`政策中列出的 API 操作。
+  Lake Formation 允許來自外部帳戶的 IAM 角色代表 IAM Identity Center 使用者和群組擔任電信業者角色，以存取 Data Catalog 資源，但只能在擁有帳戶中的 Data Catalog 資源上授予許可。如果您嘗試將許可授予外部帳戶中 Data Catalog 資源上的 IAM Identity Centerusers 和群組，Lake Formation 會擲出下列錯誤 -「委託人不支援跨帳戶授予。」 
+ 搭配 IAM Identity Center 使用 Lake Formation 時，應用程式指派組態`false`預設為 。如果您直接透過 [IAM Identity Center API](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_PutApplicationAssignmentConfiguration.html) 修改此組態，則必須使用 API 手動管理所有應用程式指派。Lake Formation 不會自動同步或管理在其標準工作流程之外所做的指派變更，這可能會影響資料湖環境中的存取模式和授權流程。