Einschränkungen für dienstbezogene Rollen - AWS Lake Formation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einschränkungen für dienstbezogene Rollen

Eine serviceverknüpfte Rolle ist eine spezielle Art von IAM-Rolle, mit der direkt verknüpft ist. AWS Lake Formation Diese Rolle verfügt über vordefinierte Berechtigungen, die es Lake Formation ermöglichen, in Ihrem Namen AWS dienstübergreifende Aktionen auszuführen.

Die folgenden Einschränkungen gelten, wenn Sie eine Service-Linked Role (SLR) verwenden, um Datenstandorte bei Lake Formation zu registrieren.

  • Einmal erstellte Richtlinien für dienstverknüpfte Rollen können nicht mehr geändert werden.

  • Eine mit einem Dienst verknüpfte Rolle unterstützt keine kontenübergreifende gemeinsame Nutzung verschlüsselter Katalogressourcen. Verschlüsselte Ressourcen erfordern bestimmte AWS KMS Schlüsselberechtigungen. Mit Diensten verknüpfte Rollen verfügen über vordefinierte Berechtigungen, die nicht die Möglichkeit beinhalten, kontenübergreifend mit verschlüsselten Katalogressourcen zu arbeiten.

  • Wenn Sie mehrere Amazon S3 S3-Standorte registrieren, kann die Verwendung einer serviceverknüpften Rolle dazu führen, dass Sie Ihre IAM-Richtliniengrenzen schnell überschreiten. Das passiert, weil bei serviceverknüpften Rollen die Richtlinie für Sie AWS geschrieben wird und sie dann zu einem großen Block inkrementiert wird, der all Ihre Registrierungen umfasst. Sie können vom Kunden verwaltete Richtlinien effizienter erstellen, Berechtigungen auf mehrere Richtlinien verteilen oder unterschiedliche Rollen für verschiedene Regionen verwenden.

  • Amazon EMR on EC2 kann nicht auf Daten zugreifen, die Sie registrieren, Datenstandorte mit serviceverknüpften Rollen.

  • Bei Vorgängen mit serviceverknüpften Rollen werden Ihre Richtlinien zur AWS Servicesteuerung umgangen.

  • Wenn Sie Datenstandorte mit einer serviceverknüpften Rolle registrieren, werden die IAM-Richtlinien letztendlich konsistent aktualisiert. Weitere Informationen finden Sie in der Dokumentation zur IAM-Fehlerbehebung im IAM-Benutzerhandbuch.