服务相关角色限制

服务相关角色策略一经创建，就无法修改。

服务相关角色不支持跨账户共享加密目录资源。加密资源需要特定的 AWS KMS 密钥权限。服务相关角色具有预定义的权限，其中不包括跨账户处理加密目录资源的能力。

注册多个 Amazon S3 位置时，使用服务相关角色可能会导致您快速超出 IAM 策略限制。之所以发生这种情况，是因为对于与服务相关的角色，它会为你 AWS 编写策略，然后它会增加为一个包含你所有注册的大块。您可以更高效地编写客户管理型策略，在多个策略之间分配权限，或者为不同的区域使用不同的角色。

Amazon EMR EC2 无法访问您使用服务相关角色注册数据位置的数据。

服务相关角色操作会绕过您的 AWS 服务控制策略。

当您使用服务相关角色注册数据位置时，该角色会以最终一致性方式更新 IAM 策略。有关更多信息，请参阅《IAM 用户指南》中的 IAM 故障排除文档。

当使用服务相关角色且使用的是 IAM Identity Center 时，您无法在 Lake Formation 数据湖设置中设置 SET_CONTEXT = TRUE。原因是服务相关角色具有不可变的信任策略，这些策略与使用 IAM Identity Center 主体进行 SetContext 审计所需的可信身份传播不兼容。