本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 服務連結角色限制 服務連結角色是直接連結至的特殊 IAM 角色類型 AWS Lake Formation。此角色具有預先定義的許可,允許 Lake Formation 代表您跨 AWS 服務執行動作。 使用服務連結角色 (SLR) 向 Lake Formation 註冊資料位置時,適用下列限制。 + 一旦建立,您就無法修改服務連結角色政策。 + 服務連結角色不支援跨帳戶共用加密的目錄資源。加密的資源需要特定的 AWS KMS 金鑰許可。服務連結角色具有預先定義的許可,不包括跨帳戶使用加密目錄資源的能力。 + 註冊多個 Amazon S3 位置時,使用服務連結角色可能會導致您快速超過 IAM 政策限制。這是因為使用服務連結角色時, 會為您 AWS 撰寫政策,並遞增為一個包含所有註冊的大型區塊。您可以更有效率地撰寫客戶受管政策、跨多個政策分配許可,或對不同的區域使用不同的角色。 + EC2 上的 Amazon EMR 無法存取您使用服務連結角色註冊資料位置的資料。 + 服務連結角色操作會略過您的 AWS 服務控制政策。 + 當您使用服務連結角色註冊資料位置時,它會以最終一致性更新 IAM 政策。如需詳細資訊,請參閱《[IAM 使用者指南》中的疑難排解](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html#troubleshoot_general_eventual-consistency) IAM 文件。 + 使用服務連結角色時,您無法`SET_CONTEXT = TRUE`在 Lake Formation 資料湖設定中設定 ,而且您使用的是 IAM Identity Center。原因在於服務連結角色具有不可變的信任政策,這些政策與使用 IAM Identity Center 主體進行`SetContext`稽核所需的受信任身分傳播不相容。