本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # IAM Identity Center 與 Lake Formation 整合的先決條件 以下是整合 IAM Identity Center 與 Lake Formation 的先決條件。 1. 啟用 IAM Identity Center – 啟用 IAM Identity Center 是支援身分驗證和身分傳播的先決條件。 1. 選擇您的身分來源 – 啟用 IAM Identity Center 之後,您必須有身分提供者才能管理使用者和群組。您可以使用內建的 Identity Center 目錄做為身分來源,或使用外部 IdP,例如 Microsoft Entra ID 或 Okta。 如需詳細資訊,請參閱 AWS IAM Identity Center 《 使用者指南》中的[管理您的身分來源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)和[連線至外部身分提供者](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)。 1. 建立 IAM 角色 – 建立 IAM Identity Center 連線的角色需要許可,才能在 Lake Formation 和 IAM Identity Center 中建立和修改應用程式組態,如下列內嵌政策所示。 您需要根據 IAM 最佳實務新增許可。下列程序會詳細說明特定權限。如需詳細資訊,請參閱 [IAM Identity Center 入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:CreateLakeFormationIdentityCenterConfiguration", "sso:CreateApplication", "sso:PutApplicationAssignmentConfiguration", "sso:PutApplicationAuthenticationMethod", "sso:PutApplicationGrant", "sso:PutApplicationAccessScope" ], "Resource": [ "*" ] } ] } ``` ------ 如果您要與外部 AWS 帳戶 或組織共用 Data Catalog 資源,您必須具有建立資源共用的 AWS Resource Access Manager (AWS RAM) 許可。如需共用資源所需許可的詳細資訊,請參閱[跨帳戶資料共用先決條件](cross-account-prereqs.md)。 下列內嵌政策包含檢視、更新和刪除與 IAM Identity Center 整合之 Lake Formation 屬性所需的特定許可。 + 使用下列內嵌政策,允許 IAM 角色檢視與 IAM Identity Center 的 Lake Formation 整合。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 使用下列內嵌政策,允許 IAM 角色更新與 IAM Identity Center 的 Lake Formation 整合。此政策也包含與外部帳戶共用資源所需的選用許可。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:UpdateLakeFormationIdentityCenterConfiguration", "lakeformation:DescribeLakeFormationIdentityCenterConfiguration", "sso:DescribeApplication", "sso:UpdateApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 使用下列內嵌政策,允許 IAM 角色刪除與 IAM Identity Center 的 Lake Formation 整合。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lakeformation:DeleteLakeFormationIdentityCenterConfiguration", "sso:DeleteApplication" ], "Resource": [ "*" ] } ] } ``` ------ + 如需授予或撤銷 IAM Identity Center 使用者和群組資料湖許可所需的 IAM 許可,請參閱 [授予或撤銷 Lake Formation 許可所需的 IAM 許可](required-permissions-for-grant.md)。 *許可描述* + `lakeformation:CreateLakeFormationIdentityCenterConfiguration` – 建立 Lake Formation IdC 組態。 + `lakeformation:DescribeLakeFormationIdentityCenterConfiguration` – 描述現有的 IdC 組態。 + `lakeformation:DeleteLakeFormationIdentityCenterConfiguration` – 提供刪除現有 Lake Formation IdC 組態的能力。 + `lakeformation:UpdateLakeFormationIdentityCenterConfiguration` – 用來變更現有的 Lake Formation 組態。 + `sso:CreateApplication`— 用於建立 IAM Identity Center 應用程式。 + `sso:DeleteApplication`— 用於刪除 IAM Identity Center 應用程式。 + `sso:UpdateApplication`— 用於更新 IAM Identity Center 應用程式。 + `sso:PutApplicationGrant`— 用於變更受信任的字符發行者資訊。 + `sso:PutApplicationAuthenticationMethod` – 授予 Lake Formation 身分驗證存取權。 + `sso:GetApplicationGrant`— 用於列出受信任的字符發行者資訊。 + `sso:DeleteApplicationGrant` – 刪除信任權杖發行者資訊。 + `sso:PutApplicationAccessScope` – 新增或更新應用程式 IAM Identity Center 存取範圍的授權目標清單。 + `sso:PutApplicationAssignmentConfiguration` – 用來設定使用者如何存取應用程式。