Limitaciones de los roles vinculados a servicios - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitaciones de los roles vinculados a servicios

Un rol vinculado a un servicio es un tipo especial de rol de IAM al que se vincula directamente. AWS Lake Formation Esta función tiene permisos predefinidos que permiten a Lake Formation realizar acciones en su nombre en todos AWS los servicios.

Las siguientes limitaciones se aplican cuando se utiliza un rol vinculado a un servicio (SLR) para registrar ubicaciones de datos en Lake Formation.

  • Las políticas de los roles vinculados a servicios no se pueden modificar una vez creadas.

  • Un rol vinculado a un servicio no admite el uso compartido de recursos de catálogo cifrados entre cuentas. Los recursos cifrados requieren permisos AWS KMS clave específicos. Los roles vinculados a servicios tienen permisos predefinidos que no incluyen la posibilidad de trabajar con recursos de catálogo cifrados en todas las cuentas.

  • Al registrar varias ubicaciones de Amazon S3, el uso de un rol vinculado al servicio puede hacer que se superen rápidamente los límites de la política de IAM. Esto se debe a que, en el caso de los roles vinculados a un servicio, AWS redacta la política por ti y se amplía en un bloque grande que incluye todos tus registros. Puede redactar políticas administradas por el cliente de manera más eficiente, distribuir los permisos entre varias políticas o usar diferentes roles para diferentes regiones.

  • Amazon EMR on no EC2 puede acceder a los datos; registra ubicaciones de datos con funciones vinculadas al servicio.

  • Las operaciones de funciones vinculadas al servicio eluden sus políticas de control de servicios. AWS

  • Cuando se registran ubicaciones de datos con un rol vinculado a un servicio, se actualizan las políticas de IAM con coherencia final. Para obtener más información, consulte la documentación sobre Solución de problemas de IAM en la Guía del usuario de IAM.

  • No puede establecer SET_CONTEXT = TRUE en la configuración del lago de datos de Lake Formation cuando se utilizan roles vinculados a servicios e IAM Identity Center. La razón es que los roles vinculados a servicios tienen políticas de confianza inmutables que son incompatibles con la propagación de identidades de confianza que se requiere para la auditoría de SetContext con las entidades principales de IAM Identity Center.