Limitaciones de los roles vinculados al servicio - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Limitaciones de los roles vinculados al servicio

Un rol vinculado al servicio es un tipo especial de rol de IAM al que se vincula directamente. AWS Lake Formation Esta función tiene permisos predefinidos que permiten a Lake Formation realizar acciones en su nombre en todos AWS los servicios.

Las siguientes limitaciones se aplican cuando se utiliza un rol vinculado a un servicio (SLR) para registrar ubicaciones de datos en Lake Formation.

  • No puede modificar las políticas de roles vinculados al servicio una vez creadas.

  • Un rol vinculado a un servicio no admite el uso compartido de recursos de catálogos cifrados entre cuentas. Los recursos cifrados requieren permisos AWS KMS clave específicos. Los roles vinculados a un servicio tienen permisos predefinidos que no incluyen la capacidad de trabajar con recursos de catálogos cifrados en todas las cuentas.

  • Al registrar varias ubicaciones de Amazon S3, utilizar un rol vinculado al servicio puede provocar que supere rápidamente los límites de su política de IAM. Esto se debe a que, en el caso de los roles vinculados a un servicio, AWS redacta la política por usted y ésta se amplía en un bloque grande que incluye todos sus registros. Puedes redactar políticas administradas por los clientes de manera más eficiente, distribuir los permisos entre varias políticas o usar diferentes roles para diferentes regiones.

  • Amazon EMR on no EC2 puede acceder a los datos; registra ubicaciones de datos con funciones vinculadas al servicio.

  • Las operaciones de funciones vinculadas al servicio eluden sus políticas de control de servicios. AWS

  • Cuando registras las ubicaciones de datos con un rol vinculado a un servicio, se actualizan las políticas de IAM con una coherencia definitiva. Para obtener más información, consulte la documentación sobre la solución de problemas de IAM en la Guía del usuario de IAM.

  • No puede configurar SET_CONTEXT = TRUE la configuración del lago de datos de Lake Formation cuando utiliza funciones vinculadas a servicios y utiliza IAM Identity Center. La razón es que las funciones vinculadas a servicios tienen políticas de confianza inmutables que son incompatibles con la propagación de identidades de confianza necesaria para SetContext auditar con los directores del IAM Identity Center.