Batasan peran terkait layanan - AWS Lake Formation

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasan peran terkait layanan

Peran terkait layanan adalah jenis peran IAM khusus yang ditautkan langsung ke. AWS Lake Formation Peran ini memiliki izin yang telah ditentukan sebelumnya yang memungkinkan Lake Formation melakukan tindakan atas nama Anda di seluruh AWS layanan.

Batasan berikut berlaku saat menggunakan peran terkait layanan (SLR) untuk mendaftarkan lokasi data dengan Lake Formation.

  • Anda tidak dapat mengubah kebijakan peran terkait layanan setelah dibuat.

  • Peran terkait layanan tidak mendukung pembagian sumber daya katalog terenkripsi di seluruh akun. Sumber daya terenkripsi memerlukan izin AWS KMS kunci tertentu. Peran terkait layanan memiliki izin yang telah ditentukan sebelumnya yang tidak menyertakan kemampuan untuk bekerja dengan sumber daya katalog terenkripsi di seluruh akun.

  • Saat mendaftarkan beberapa lokasi Amazon S3, menggunakan peran terkait layanan dapat menyebabkan Anda melampaui batas kebijakan IAM dengan cepat. Ini terjadi karena dengan peran terkait layanan, AWS tulis kebijakan untuk Anda, dan itu bertambah sebagai satu blok besar yang mencakup semua pendaftaran Anda. Anda dapat menulis kebijakan yang dikelola pelanggan dengan lebih efisien, mendistribusikan izin di beberapa kebijakan, atau menggunakan peran berbeda untuk Wilayah yang berbeda.

  • Amazon EMR aktif tidak EC2 dapat mengakses data tempat Anda mendaftarkan lokasi data dengan peran terkait layanan.

  • Operasi peran terkait layanan melewati kebijakan kontrol AWS layanan Anda.

  • Saat Anda mendaftarkan lokasi data dengan peran terkait layanan, ia memperbarui kebijakan IAM dengan konsistensi akhirnya. Untuk informasi selengkapnya, lihat dokumentasi IAM Pemecahan Masalah di Panduan Pengguna IAM.

  • Anda tidak dapat mengatur SET_CONTEXT = TRUE pengaturan danau data Lake Formation saat menggunakan peran terkait layanan, dan Anda menggunakan Pusat Identitas IAM. Alasannya adalah bahwa peran terkait layanan memiliki kebijakan kepercayaan yang tidak dapat diubah yang tidak sesuai dengan propagasi identitas tepercaya yang diperlukan untuk SetContext audit dengan kepala sekolah IAM Identity Center.