Limitations des rôles liés aux services - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitations des rôles liés aux services

Un rôle lié à un service est un type spécial de rôle IAM directement lié à. AWS Lake Formation Ce rôle possède des autorisations prédéfinies qui permettent à Lake Formation d'effectuer des actions en votre nom sur l'ensemble AWS des services.

Les limites suivantes s'appliquent lors de l'utilisation d'un rôle lié à un service (SLR) pour enregistrer des emplacements de données auprès de Lake Formation.

  • Vous ne pouvez pas modifier les politiques de rôle liées aux services une fois créées.

  • Un rôle lié à un service ne prend pas en charge le partage crypté des ressources de catalogue entre les comptes. Les ressources chiffrées nécessitent des autorisations AWS KMS clés spécifiques. Les rôles liés à un service sont dotés d'autorisations prédéfinies qui n'incluent pas la possibilité d'utiliser des ressources de catalogue chiffrées sur plusieurs comptes.

  • Lorsque vous enregistrez plusieurs sites Amazon S3, l'utilisation d'un rôle lié à un service peut vous amener à dépasser rapidement les limites de votre politique IAM. Cela se produit parce qu'avec les rôles liés à un service, elle AWS écrit la politique pour vous, et elle s'incrémente sous la forme d'un gros bloc qui inclut toutes vos inscriptions. Vous pouvez rédiger des politiques gérées par le client de manière plus efficace, répartir les autorisations entre plusieurs politiques ou utiliser différents rôles pour différentes régions.

  • Amazon EMR ne EC2 peut pas accéder aux données. Vous enregistrez des emplacements de données avec des rôles liés à un service.

  • Les opérations de rôle liées au service contournent vos politiques de contrôle des AWS services.

  • Lorsque vous enregistrez des emplacements de données avec un rôle lié à un service, les politiques IAM sont mises à jour de manière cohérente. Pour plus d'informations, consultez la documentation relative à la résolution des problèmes liés à l'IAM dans le guide de l'utilisateur d'IAM.

  • Vous ne pouvez pas définir SET_CONTEXT = TRUE les paramètres du lac de données de Lake Formation lorsque vous utilisez des rôles liés à un service, et vous utilisez IAM Identity Center. La raison en est que les rôles liés à un service sont soumis à des politiques de confiance immuables incompatibles avec la propagation d'identité fiable nécessaire à l'SetContextaudit auprès des principaux IAM Identity Center.