기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 연결 역할 제한 사항
서비스 연결 역할은 직접 연결된 특수한 유형의 IAM 역할입니다 AWS Lake Formation. 이 역할에는 Lake Formation이 여러 AWS 서비스에서 사용자를 대신하여 작업을 수행할 수 있도록 사전 정의된 권한이 있습니다.
서비스 연결 역할(SLR)을 사용하여 Lake Formation에 데이터 위치를 등록할 때 다음 제한 사항이 적용됩니다.
-
일단 생성되면 서비스 연결 역할 정책을 수정할 수 없습니다.
서비스 연결 역할은 계정 간 암호화된 카탈로그 리소스 공유를 지원하지 않습니다. 암호화된 리소스에는 특정 AWS KMS 키 권한이 필요합니다. 서비스 연결 역할에는 사전 정의된 권한이 있지만, 이 권한에는 여러 계정에 걸쳐 암호화된 카탈로그 리소스로 작업할 수 있는 기능이 포함되어 있지 않습니다.
-
여러 Amazon S3 위치를 등록할 때 서비스 연결 역할을 사용하면 IAM 정책 제한 범위를 빠르게 벗어날 수 있습니다. 이는 서비스 연결 역할에서가 정책을 자동으로 AWS 작성하고 모든 등록을 포함하는 하나의 큰 블록으로 증가하기 때문에 발생합니다. 고객 관리형 정책을 더 효율적으로 작성하거나, 여러 정책에 권한을 배포하거나, 리전마다 다른 역할을 사용할 수 있습니다.
-
Amazon EMR on EC2는 데이터 위치를 서비스 연결 역할에 등록하는 데이터에 액세스할 수 없습니다.
-
서비스 연결 역할 작업은 AWS 서비스 제어 정책을 우회합니다.
-
서비스 연결 역할을 사용하여 데이터 위치를 등록하면 최종 일관성을 적용하여 IAM 정책을 업데이트합니다. 자세한 내용은 IAM 사용 설명서의 IAM 문제 해결 설명서를 참조하세요.
-
Lake Formation 데이터 레이크 설정에서 서비스 연결 역할을 사용할 때는
SET_CONTEXT = TRUE를 설정할 수 없으며, IAM Identity Center를 사용하고 있습니다. 그 이유는 서비스 연결 역할의 신뢰 정책이 변경 불가능하기 때문입니다. 이 정책은 IAM Identity Center 보안 주체와의SetContext감사에 필요한 신뢰할 수 있는 ID 전파와 호환되지 않습니다.
