本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 為已啟用 IAM Identity Center 的 EMR 叢集設定 Lake Formation
<a name="emr-idc-lf"></a>

您可以[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/)與 AWS IAM Identity Center 已啟用 EMR 叢集整合。

首先，請務必在叢集所在的相同區域中設定 Identity Center 執行個體。如需詳細資訊，請參閱[建立 Identity Center 執行個體](emr-idc-start.md#emr-idc-start-instance)。在您檢視執行個體詳細資訊時，您可以在 IAM Identity Center 主控台中找到執行個體 ARN，或使用以下命令從 CLI 檢視所有執行個體的詳細資訊：

```
aws sso-admin list-instances
```

然後使用 ARN 和 AWS 您的帳戶 ID 搭配下列命令，將 Lake Formation 設定為與 IAM Identity Center 相容：

```
aws lakeformation create-lake-formation-identity-center-configuration --cli-input-json file://create-lake-fromation-idc-config.json 
json input:
{
    "CatalogId": "account-id/org-account-id",
    "InstanceArn": "identity-center-instance-arn"
}
```

現在，請使用 Lake Formation 呼叫 `put-data-lake-settings` 並啟用 `AllowFullTableExternalDataAccess`：

```
aws lakeformation put-data-lake-settings --cli-input-json file://put-data-lake-settings.json 
json input:
{
    "DataLakeSettings": {
        "DataLakeAdmins": [
            {
                "DataLakePrincipalIdentifier": "admin-ARN"
            }
        ],
        "CreateDatabaseDefaultPermissions": [...],
        "CreateTableDefaultPermissions": [...],
        "AllowExternalDataFiltering": true,
        "AllowFullTableExternalDataAccess": true
    }
}
```

最後，將身分 ARN 的完整資料表許可授予存取 EMR 叢集的使用者。ARN 包含 Identity Center 中的使用者 ID。導覽至主控台中的 Identity Center，選取**使用者**，然後選取該使用者以檢視其**一般資訊**設定。

複製使用者 ID 並將其貼至以下 `user-id` 的 ARN：

```
arn:aws:identitystore:::user/user-id
```

**注意**  
僅在 IAM Identity Center 身分在受 Lake Formation 保護之資料表上具有完整資料表存取權限時，EMR 叢集上的查詢才會運作。如果該身分不具有完整的資料表存取權限，則查詢將失敗。

使用以下命令授予使用者完整資料表存取權限：

```
aws lakeformation grant-permissions --cli-input-json file://grantpermissions.json
json input:
{
    "Principal": {
        "DataLakePrincipalIdentifier": "arn:aws:identitystore:::user/user-id"
    },
    "Resource": {
        "Table": {
            "DatabaseName": "tip_db",
            "Name": "tip_table"
        }
    },
    "Permissions": [
        "ALL"
    ],
    "PermissionsWithGrantOption": [
        "ALL"
    ]
}
```

## 將應用程式 ARN 新增至 IDC 以進行 Lake Formation 整合
<a name="emr-idc-enabled-idc"></a>

若要查詢已啟用 Lake Formation 的資源，需要新增 IDC 應用程式的應用程式 ARN。若要這麼做，請依照下列步驟進行：

1. 在 主控台上，選擇 **AWS Lake Formation**。

1. 透過比對應用程式 ARN，選取 **IAM Identity Center 整合**和 Lake Formation 應用程式整合。 ****ARN 會出現在**應用程式 ID** 清單中。