Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anwendungsfälle für die Verbreitung vertrauenswürdiger Identitäten
Als IAM Identity Center-Administrator werden Sie möglicherweise gebeten, bei der Konfiguration der Weitergabe vertrauenswürdiger Identitäten von benutzerseitigen Anwendungen an zu helfen. AWS-Services Um diese Anfrage zu unterstützen, benötigen Sie die folgenden Informationen:
+ Mit welcher kundenorientierten Anwendung werden Ihre Benutzer interagieren?
+ Welche AWS-Services werden verwendet, um die Daten abzufragen und den Zugriff auf die Daten zu autorisieren?
+ Was AWS-Service autorisiert den Zugriff auf die Daten?
Ihre Rolle bei der Aktivierung von **Anwendungsfällen zur Verbreitung vertrauenswürdiger Identitäten, bei denen keine Drittanbieteranwendungen oder speziell entwickelte Anwendungen involviert** sind, besteht darin,
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md).
1. [Connect Sie Ihre bestehende Identitätsquelle mit dem IAM Identity Center](tutorials.md).
Die verbleibenden Schritte der Konfiguration vertrauenswürdiger Identitäten für diese Anwendungsfälle werden innerhalb der verbundenen Anwendungen AWS-Services und Anwendungen ausgeführt. Die Administratoren der verbundenen Anwendungen AWS-Services oder Anwendungen sollten in den jeweiligen Benutzerhandbüchern nach umfassenden dienstspezifischen Anleitungen suchen.
Ihre Rolle bei der Aktivierung von **Anwendungsfällen zur Verbreitung vertrauenswürdiger Identitäten, an denen Drittanbieteranwendungen oder speziell entwickelte Anwendungen beteiligt** sind, umfasst die Schritte [zum Herstellen [IAM Identity Center aktivieren](enable-identity-center.md) und Verbinden Ihrer Identitätsquelle](tutorials.md) sowie:
1. Konfiguration der Verbindung Ihres Identitätsanbieters (IdP) mit dem Drittanbieter oder der individuell entwickelten Anwendung.
1. Aktivierung der Erkennung der Drittanbieteranwendung oder der kundenspezifisch entwickelten Anwendung durch IAM Identity Center
1. Konfiguration Ihres IdP als vertrauenswürdigen Token-Aussteller im IAM Identity Center. Weitere Informationen finden Sie unter [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md).
Die Administratoren der verbundenen Anwendungen AWS-Services sollten sich an die jeweiligen Benutzerhandbücher halten, um umfassende dienstspezifische Anleitungen zu erhalten.
## Anwendungsfälle für Analytik, Data Lakehouse und maschinelles Lernen
Sie können Trusted Propagation-Anwendungsfälle mit den folgenden Analyse- und Machine-Learning-Diensten aktivieren:
+ **Amazon Redshift** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Zusätzliche Anwendungsfälle
Sie können IAM Identity Center und die Verbreitung vertrauenswürdiger Identitäten mit folgenden zusätzlichen AWS-Services Optionen aktivieren:
+ **Amazon Q Business** — Anleitungen finden Sie unter:
+ [Administrator-Workflow für Apps, die IAM Identity Center verwenden](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Konfiguration einer Amazon Q Business-Anwendung mithilfe von IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Konfigurieren Sie Amazon Q Business mit IAM Identity Center Trusted Identity Propagation](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** — Anleitungen finden Sie unter:
+ [Support für vertrauenswürdige Identitätsverbreitung durch IAM Identity Center für Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Zentralisierte OpenSearch Benutzeroberfläche (Dashboards) mit Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- Anleitungen finden Sie unter:
+ [Transfer Family Familien-Web-Apps](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Anwendungsfälle für Analytik, Data Lakehouse und maschinelles Lernen](#tip-data-analytic-usecases-overview)
+ [Zusätzliche Anwendungsfälle](#tip-additional-usecases)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift](tip-usecase-redshift.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon EMR](tip-usecase-emr.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon Athena](tip-usecase-ate.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift
Die Schritte zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten hängen davon ab, ob Ihre Benutzer mit AWS verwalteten Anwendungen oder mit kundenverwalteten Anwendungen interagieren. Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für clientseitige Anwendungen — entweder AWS verwaltet oder extern AWS —, die Amazon Redshift-Daten mit Zugriffskontrolle abfragen, die entweder von Amazon Redshift oder von Autorisierungsdiensten wie AWS Lake Formation Amazon S3 bereitgestellt wird. Access Grants
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mit Amazon Redshift, Quick, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Wenn die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift aktiviert ist, können Redshift-Administratoren Redshift so konfigurieren, dass [automatisch Rollen für IAM Identity Center als Identitätsanbieter erstellt](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html), Redshift-Rollen Gruppen in IAM Identity Center zugeordnet werden und die rollenbasierte Zugriffskontrolle von [Redshift](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html) verwendet wird, um Zugriff zu gewähren.
## Unterstützte Anwendungen mit Kundenkontakt
**AWS verwaltete Anwendungen**
Die folgenden AWS verwalteten clientseitigen Anwendungen unterstützen die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift:
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Schnell](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Anmerkung**
Wenn Sie Amazon Redshift Spectrum für den Zugriff auf externe Datenbanken oder Tabellen verwenden AWS Glue Data Catalog, sollten Sie die Einrichtung von [Lake Formation](tip-tutorial-lf.md) und [Amazon S3](tip-tutorial-s3.md) in Betracht ziehen, Access Grants um eine detaillierte Zugriffskontrolle zu ermöglichen.
**Vom Kunden verwaltete Anwendungen**
Die folgenden vom Kunden verwalteten Anwendungen unterstützen die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift:
+ **Tableau**einschließlich Tableau Desktop TableauServer, und Tableau Prep
+ Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von Tableau finden Sie unter [Integrieren Tableau und Okta mit Amazon Redshift using IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) im *AWS Big Data-Blog*.
+ **SQL-Clients** (DBeaverund) DBVisualizer
+ *Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von SQL Clients (DBeaverundDBVisualizer) finden Sie unter [Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 und SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) im AWS Big Data-Blog.*
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon Redshift Query Editor V2
Das folgende Verfahren führt Sie Schritt für Schritt durch, wie Sie eine vertrauenswürdige Identitätsweitergabe von Amazon Redshift Query Editor V2 zu Amazon Redshift erreichen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
Die Aktivierung der Verbreitung vertrauenswürdiger Identitäten umfasst Aufgaben, die von einem IAM Identity Center-Administrator in der IAM Identity Center-Konsole ausgeführt werden, und Aufgaben, die von einem Amazon Redshift Redshift-Administrator in der Amazon Redshift Redshift-Konsole ausgeführt werden.
## Vom IAM Identity Center-Administrator ausgeführte Aufgaben
Die folgenden Aufgaben mussten vom IAM Identity Center-Administrator erledigt werden:
1. **Erstellen Sie eine [IAM-Rolle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** in dem Konto, in dem der Amazon Redshift Redshift-Cluster oder die Serverless-Instance vorhanden ist, mit der folgenden Berechtigungsrichtlinie. Weitere Informationen finden Sie unter [IAM-Rollenerstellung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Die folgenden Richtlinienbeispiele enthalten die erforderlichen Berechtigungen, um dieses Tutorial abzuschließen. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Genehmigungsrichtlinie:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Vertrauensrichtlinie:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Erstellen Sie einen Berechtigungssatz** in dem AWS Organizations Verwaltungskonto, in dem IAM Identity Center aktiviert ist. Sie werden es im nächsten Schritt verwenden, um Verbundbenutzern den Zugriff auf Redshift Query Editor V2 zu ermöglichen.
1. **Gehen Sie zur **IAM Identity Center-Konsole** und wählen Sie unter **Berechtigungen für mehrere Konten** die Option Berechtigungssätze aus.**
1. Wählen Sie **Create permission set (Berechtigungssatz erstellen)** aus.
1. **Wählen Sie **Benutzerdefinierter Berechtigungssatz** und dann Weiter.**
1. Wählen Sie unter **AWS Verwaltete Richtlinien die** Option aus **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Fügen Sie unter **Inline-Richtlinie** die folgende Richtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter** aus und geben Sie dann einen Namen für den Namen des Berechtigungssatzes ein. Beispiel, **Redshift-Query-Editor-V2**.
1. Legen Sie unter **Relaystatus — optional** den Standard-Relaystatus auf die URL des Query-Editors V2 fest und verwenden Sie dabei das folgende Format:`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Überprüfen Sie die Einstellungen und wählen Sie **Erstellen** aus.
1. Navigieren Sie zum IAM Identity Center Dashboard und kopieren Sie die URL des AWS Zugriffsportals aus dem Abschnitt „**Zusammenfassung der Einstellungen**“.
![\[Schritt i: Kopieren Sie die URL des AWS Zugriffsportals aus der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Öffnen Sie ein neues Inkognito-Browserfenster und fügen Sie die URL ein.
Dadurch gelangen Sie zu Ihrem AWS Zugriffsportal und stellen sicher, dass Sie sich mit einem IAM Identity Center-Benutzer anmelden.
![\[Schritt j, Melden Sie sich beim AWS Zugangsportal an.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Weitere Informationen zum Berechtigungssatz finden Sie unter[AWS-Konten Mit Berechtigungssätzen verwalten](permissionsetsconcept.md).
1. **Ermöglichen Sie Verbundbenutzern den Zugriff auf Redshift Query Editor V2**.
1. Öffnen Sie im AWS Organizations Verwaltungskonto die **IAM Identity** Center-Konsole.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Wählen Sie auf der AWS-Konten Seite die aus AWS-Konto , der Sie Zugriff zuweisen möchten.
1. Wählen Sie **Benutzer oder Gruppen zuweisen** aus.
1. Wählen Sie auf der Seite **Benutzer und Gruppen zuweisen** die Benutzer und/oder Gruppen aus, für die Sie den Berechtigungssatz erstellen möchten. Wählen Sie anschließend **Weiter**.
1. Wählen Sie auf der Seite „**Berechtigungssätze zuweisen**“ den Berechtigungssatz aus, den Sie im vorherigen Schritt erstellt haben. Wählen Sie anschließend **Weiter**.
1. Überprüfen Sie auf der Seite **Aufgaben überprüfen und einreichen** Ihre Auswahl und wählen Sie **Absenden**.
## Von einem Amazon Redshift Redshift-Administrator ausgeführte Aufgaben
Um die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift zu aktivieren, muss ein Amazon Redshift-Clusteradministrator oder Amazon Redshift Serverless-Administrator eine Reihe von Aufgaben in der Amazon Redshift Redshift-Konsole ausführen. *Weitere Informationen finden Sie im Big Data-Blog unter [Integrieren von Identity Provider (IdP) in Amazon Redshift Query Editor V2 und SQL Client using IAM Identity Center for Seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/).AWS *
# Vertrauenswürdige Identitätsverbreitung mit Amazon EMR
Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für Amazon EMR Studio unter Verwendung von Amazon EMR auf Amazon EC2 mit Zugriffskontrolle durch AWS Lake Formation und Amazon S3. Access Grants
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mithilfe von Amazon EMR, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Unterstützte Anwendungen mit Kundenkontakt**
+ Amazon EMR Studio
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren:**
+ [Richten Sie Amazon EMR Studio](setting-up-tip-emr.md) als clientseitige Anwendung für den Amazon EMR-Cluster ein.
+ Richten Sie [Amazon EMR Cluster auf Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) mit ein. Apache Spark
+ *Empfohlen*: [AWS Lake Formation](tip-tutorial-lf.md)und [Amazon S3 Access Grants](tip-tutorial-s3.md), um eine differenzierte Zugriffskontrolle auf AWS Glue Data Catalog und die zugrunde liegenden Datenspeicherorte in S3 zu ermöglichen.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon EMR Studio
Das folgende Verfahren führt Sie durch die Einrichtung von Amazon EMR Studio für die Weitergabe vertrauenswürdiger Identitäten in Abfragen gegen laufende Amazon Athena Athena-Arbeitsgruppen oder Amazon EMR-Cluster. Apache Spark
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
Um die Einrichtung der vertrauenswürdigen Identitätsverbreitung von Amazon EMR Studio abzuschließen, muss der EMR Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR Studio
In diesem Schritt erstellt der Amazon Studio EMR-Administrator eine IAM-Servicerolle und eine IAM-Benutzerrolle für EMR. Studio
1. **[Eine EMR Studio-Servicerolle erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — EMR Studio übernimmt diese IAM-Rolle, um Workspaces und Notebooks sicher zu verwalten, Verbindungen zu Clustern herzustellen und Dateninteraktionen abzuwickeln.
1. Navigieren Sie zur IAM-Konsole ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) und erstellen Sie eine IAM-Rolle.
1. Wählen Sie **AWS-Service**als vertrauenswürdige Entität und dann **Amazon EMR** aus. Fügen Sie die folgenden Richtlinien hinzu, um die Berechtigungen und das Vertrauensverhältnis der Rolle zu definieren.
Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Eine Referenz aller Servicerollenberechtigungen finden Sie unter [EMR Studio-Servicerollenberechtigungen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Eine EMR Studio-Benutzerrolle für die IAM Identity Center-Authentifizierung erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — EMR Studio übernimmt diese Rolle, wenn sich ein Benutzer über IAM Identity Center anmeldet, um Workspaces, EMR-Cluster, Jobs und Git-Repositorys zu verwalten. **Diese Rolle wird verwendet, um den Workflow zur Verbreitung vertrauenswürdiger Identitäten zu initiieren**.
**Anmerkung**
Die EMR Studio-Benutzerrolle muss keine Berechtigungen für den Zugriff auf die Amazon S3 S3-Speicherorte der Tabellen im AWS Glue Katalog enthalten. AWS Lake Formation Berechtigungen und registrierte Standorte an Seen werden verwendet, um temporäre Berechtigungen zu erhalten.
Die folgende Beispielrichtlinie kann in einer Rolle verwendet werden, die es einem Benutzer von EMR Studio ermöglicht, Athena-Arbeitsgruppen zum Ausführen von Abfragen zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Die folgende Vertrauensrichtlinie ermöglicht es EMR Studio, die Rolle zu übernehmen:
**Anmerkung**
Für die Nutzung von EMR Studio Workspaces und EMR Notebooks sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden [Sie unter Erstellen von Berechtigungsrichtlinien für EMR Studio-Benutzer](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies).
**Weitere Informationen finden Sie unter den folgenden Links:**
+ [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Berechtigungen für EMR Studio-Dienstrollen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Schritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio
In diesem Schritt erstellen Sie ein Amazon EMR Studio in der EMR Studio-Konsole und verwenden die IAM-Rollen, in denen Sie es erstellt haben. [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1)
1. Navigieren Sie zur EMR Studio-Konsole, wählen Sie **Create Studio** und die Option **Custom Setup** aus. Sie können entweder einen neuen S3-Bucket erstellen oder einen vorhandenen Bucket verwenden. Sie können das Kästchen zum **Verschlüsseln von Workspace-Dateien mit Ihren eigenen KMS-Schlüsseln** aktivieren. Weitere Informationen finden Sie unter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Schritt 1 Erstellen Sie EMR Studio in der EMR-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Wählen Sie unter **Servicerolle, damit Studio auf Ihre Ressourcen zugreifen** kann, die in erstellte Servicerolle [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) aus dem Menü aus.
1. Wählen Sie unter **Authentifizierung** die Option **IAM Identity Center** aus. Wählen Sie die Benutzerrolle aus, die in [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) erstellt wurde.
![\[Schritt 3 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie IAM Identity Center als Authentifizierungsmethode aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Markieren Sie das Kästchen **Vertrauenswürdige Identitätsverbreitung**. Wählen Sie im Abschnitt Anwendungszugriff die Option **Nur zugewiesene Benutzer und Gruppen** aus, sodass Sie nur autorisierten Benutzern und Gruppen Zugriff auf dieses Studio gewähren können.
1. *(Optional)* — Sie können VPC und Subnetz konfigurieren, wenn Sie dieses Studio mit EMR-Clustern verwenden.
![\[Schritt 4 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie Netzwerk- und Sicherheitseinstellungen aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Überprüfen Sie alle Details und wählen Sie **Create** Studio aus.
1. Melden Sie sich nach der Konfiguration eines Athena WorkGroup - oder EMR-Clusters mit der Studio-URL an, um:
1. Führen Sie Athena-Abfragen mit dem Abfrage-Editor aus.
1. Führen Sie Spark-Jobs im Workspace mithilfe von Jupyter Notebook aus.
# Vertrauenswürdige Identitätsverbreitung mit Amazon Athena
Die Schritte zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten hängen davon ab, ob Ihre Benutzer mit AWS verwalteten Anwendungen oder mit kundenverwalteten Anwendungen interagieren. Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für clientseitige Anwendungen — entweder AWS verwaltet oder extern AWS —, die Amazon Athena verwenden, um Amazon S3-Daten mit der von Amazon S3 bereitgestellten AWS Lake Formation Zugriffskontrolle abzufragen. Access Grants
**Anmerkung**
Die Verbreitung vertrauenswürdiger Identitäten mit Amazon Athena erfordert die Verwendung von Trino.
Apache Spark- und SQL-Clients, die über ODBC- und JDBC-Treiber mit Amazon Athena verbunden sind, werden nicht unterstützt.
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mit Athena, Amazon EMR, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS verwaltete Anwendungen**
Die folgende AWS verwaltete, clientseitige Anwendung unterstützt die Verbreitung vertrauenswürdiger Identitäten mit Athena:
+ Amazon EMR Studio
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren:**
+ [Richten Sie Amazon EMR Studio](setting-up-tip-emr.md) als clientseitige Anwendung für Athena ein. Der Abfrage-Editor in EMR Studio wird benötigt, um Athena-Abfragen auszuführen, wenn die Weitergabe vertrauenswürdiger Identitäten aktiviert ist.
+ [Richten Sie die Athena Workgroup](setting-up-tip-ate.md) ein.
+ [Richten Sie AWS Lake Formation](tip-tutorial-lf.md) es so ein, dass eine differenzierte Zugriffskontrolle für AWS Glue Tabellen auf der Grundlage des Benutzers oder der Gruppe in IAM Identity Center ermöglicht wird.
+ [Richten Sie Amazon S3](tip-tutorial-s3.md) einAccess Grants, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in S3 zu ermöglichen.
**Anmerkung**
Sowohl Lake Formation als auch Amazon S3 Access Grants sind für die Zugriffskontrolle auf AWS Glue Data Catalog und für Athena-Abfrageergebnisse in Amazon S3 erforderlich.
**Vom Kunden verwaltete Anwendungen**
*Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von *kundenspezifisch entwickelten Anwendungen* finden Sie unter [AWS-Services Programmgesteuerter Zugriff mithilfe vertrauenswürdiger Identitätsverbreitung](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) im AWS Sicherheitsblog.*
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon Athena Athena-Arbeitsgruppen
Das folgende Verfahren führt Sie durch die Einrichtung von Amazon Athena Athena-Arbeitsgruppen für die Verbreitung vertrauenswürdiger Identitäten.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
1. Für diese Konfiguration sind [Amazon EMR Studio](setting-up-tip-emr.md) und [Amazon S3 Access Grants](tip-tutorial-s3.md) erforderlich. [AWS Lake Formation](tip-tutorial-lf.md)
## Vertrauenswürdige Identitätsverbreitung mit Athena einrichten
Um die Verbreitung vertrauenswürdiger Identitäten mit Athena einzurichten, muss der Athena-Administrator:
1. Lesen Sie [Überlegungen und Einschränkungen bei der Verwendung von IAM Identity Center-fähigen Athena-Arbeitsgruppen](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Erstellen Sie eine IAM Identity Center-fähige Athena-Arbeitsgruppe](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) ist in IAM Identity Center integriert und unterstützt [Benutzersitzungen im Hintergrund](user-background-sessions.md) und die Weitergabe vertrauenswürdiger Identitäten. Benutzerhintergrundsitzungen ermöglichen es einem Benutzer, einen Job mit langer Laufzeit in SageMaker Studio zu initiieren, ohne dass dieser Benutzer angemeldet bleiben muss, während der Job ausgeführt wird. Der Job wird sofort und im Hintergrund ausgeführt, wobei die Berechtigungen des Benutzers verwendet werden, der den Job initiiert hat. Der Job kann auch dann weiter ausgeführt werden, wenn der Benutzer seinen Computer ausschaltet, seine IAM Identity Center-Anmeldesitzung abläuft oder sich der Benutzer vom AWS Access Portal abmeldet. Die Standardsitzungsdauer für Benutzerhintergrundsitzungen beträgt 7 Tage, Sie können jedoch eine maximale Dauer von 90 Tagen angeben. Die Weitergabe vertrauenswürdiger Identitäten ermöglicht einen differenzierten Zugriff auf AWS Ressourcen wie Amazon S3 S3-Buckets auf der Grundlage der Identität oder Gruppenmitgliedschaft des Benutzers.
Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für SageMaker Studio mit Zugriff auf Daten, die in einem Amazon S3 S3-Bucket gespeichert sind. Benutzerhintergrundsitzungen sind für IAM Identity Center aktiviert, sodass der SageMaker Studio-Trainingsjob im Hintergrund ausgeführt werden kann. Die Zugriffskontrolle für die Trainingsdaten wird von Amazon S3 bereitgestelltAccess Grants.
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten für SageMaker Studio mit einem SageMaker Studio-Trainingsjob, der in einer Benutzerhintergrundsitzung ausgeführt wird, und Zugriff auf die von Amazon S3 bereitgestellten Trainingsdaten in Amazon S3Access Grants.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS verwaltete Anwendung**
Die folgende AWS verwaltete Anwendung mit Clientzugriff unterstützt die Weitergabe vertrauenswürdiger Identitäten:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten und Hintergrundsitzungen für Benutzer zu aktivieren:**
+ [Richten Sie SageMaker Studio als Anwendung für den Client ein.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Richten Sie Amazon S3](tip-tutorial-s3.md) einAccess Grants, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit SageMaker Studio
Das folgende Verfahren führt Sie durch die Einrichtung von SageMaker Studio für die Verbreitung vertrauenswürdiger Identitäten und Benutzerhintergrundsitzungen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie die folgenden Aufgaben erledigen:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). Eine Organisationsinstanz ist erforderlich. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
1. [Vergewissern Sie sich, dass Benutzerhintergrundsitzungen in der IAM Identity Center-Konsole aktiviert sind](user-background-sessions.md). Standardmäßig sind Benutzerhintergrundsitzungen aktiviert und die Sitzungsdauer ist auf 7 Tage festgelegt. Sie können diese Dauer ändern.
Um die Verbreitung vertrauenswürdiger Identitäten von SageMaker Studio aus einzurichten, muss der SageMaker Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1: Aktivieren Sie die Verbreitung vertrauenswürdiger Identitäten in einer neuen oder vorhandenen SageMaker Studio-Domäne
SageMaker Studio verwendet Domänen, um Benutzerprofile, Anwendungen und die zugehörigen Ressourcen zu organisieren. Um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren, müssen Sie eine SageMaker Studio-Domäne erstellen oder eine vorhandene Domäne ändern, wie im folgenden Verfahren beschrieben.
1. Öffnen Sie die SageMaker AI-Konsole, navigieren Sie zu **Domains** und führen Sie einen der folgenden Schritte aus.
+ **Erstellen Sie mithilfe von [Setup für Organisationen](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) eine neue SageMaker Studio-Domäne.**
Wählen Sie **Für Organisationen einrichten aus**, und gehen Sie dann wie folgt vor:
+ Wählen Sie **AWS Identity Center** als Authentifizierungsmethode.
+ **Aktivieren Sie das Kontrollkästchen Weitergabe vertrauenswürdiger Identitäten für alle Benutzer in dieser Domain** aktivieren.
+ **Ändern Sie eine bestehende SageMaker Studio-Domäne.**
+ Wählen Sie eine vorhandene Domäne aus, die IAM Identity Center für die Authentifizierung verwendet.
**Wichtig**
Die Weitergabe vertrauenswürdiger Identitäten wird nur in SageMaker Studio-Domänen unterstützt, die IAM Identity Center zur Authentifizierung verwenden. Wenn die Domäne IAM für die Authentifizierung verwendet, können Sie die Authentifizierungsmethode nicht ändern und daher die Weitergabe vertrauenswürdiger Identitäten nicht aktivieren.
+ [Bearbeiten Sie die Domäneneinstellungen.](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Bearbeiten Sie die **Authentifizierungs- und Berechtigungseinstellungen**, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.
1. Fahren Sie mit [Schritt 2 fort: Konfigurieren Sie die standardmäßige Ausführungsrolle für die Domäne](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Diese Rolle ist erforderlich, damit Benutzer einer SageMaker Studio-Domain auf andere AWS Dienste wie Amazon S3 zugreifen können.
## Schritt 2: Konfigurieren Sie die standardmäßige Domänenausführungsrolle und die Rollenvertrauensrichtlinie
Eine *Domänenausführungsrolle* ist eine [IAM-Rolle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles), die eine SageMaker Studio-Domäne im Namen aller Benutzer in der Domäne übernimmt. Die Berechtigungen, die Sie dieser Rolle zuweisen, bestimmen, welche Aktionen SageMaker Studio ausführen kann.
1. Gehen Sie wie folgt vor, um eine Domain-Ausführungsrolle zu erstellen oder auszuwählen:
+ **Erstellen Sie mithilfe von [Setup für Organisationen eine Rolle, oder wählen Sie sie aus](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Öffnen Sie die SageMaker AI-Konsole und folgen Sie den Anweisungen in **Schritt 2: Rollen und ML-Aktivitäten konfigurieren**, um eine neue Rolle für die Domain-Ausführung zu erstellen, oder wählen Sie eine vorhandene Rolle aus.
+ Schließen Sie die restlichen Einrichtungsschritte ab, um Ihre SageMaker Studio-Domain zu erstellen.
+ **Erstellen Sie manuell eine Ausführungsrolle.**
+ Öffnen Sie die IAM-Konsole und [erstellen Sie die Ausführungsrolle selbst](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Aktualisieren Sie die Vertrauensrichtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html), die der Domänenausführungsrolle zugeordnet ist, sodass sie die folgenden beiden Aktionen umfasst: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)und [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Informationen dazu, wie Sie die Ausführungsrolle für Ihre SageMaker Studio-Domäne finden, finden [Sie unter Domänenausführungsrolle abrufen](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Eine *Vertrauensrichtlinie* spezifiziert die Identität, die eine Rolle übernehmen kann. Diese Richtlinie ist erforderlich, damit der SageMaker Studio-Dienst die Rolle der Domänenausführung übernehmen kann. Fügen Sie diese beiden Aktionen hinzu, sodass sie in Ihrer Richtlinie wie folgt angezeigt werden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Schritt 3: Überprüfen Sie die erforderlichen Amazon S3 Access Grant-Berechtigungen für die Domain-Ausführungsrolle
Um Amazon S3 Access Grants verwenden zu können, müssen Sie Ihrer SageMaker Studio-Domain-Ausführungsrolle eine Berechtigungsrichtlinie (entweder als Inline-Richtlinie oder als vom Kunden verwaltete Richtlinie) angehängt haben, die die folgenden Berechtigungen enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Wenn Sie keine Richtlinie haben, die diese Berechtigungen enthält, folgen Sie den Anweisungen unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *AWS Identity and Access Management Benutzerhandbuch*.
## Schritt 4: Weisen Sie der Domain Gruppen und Benutzer zu
Weisen Sie der SageMaker Studio-Domäne Gruppen und Benutzer zu, indem Sie die Schritte unter [Gruppen und Benutzer hinzufügen befolgen](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Schritt 5: Amazon S3 Access Grants einrichten
Um Amazon S3 Access Grants einzurichten, folgen Sie den Schritten [unter Konfiguration von Amazon S3 Access Grants für die Weitergabe vertrauenswürdiger Identitäten über das IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Folgen Sie den step-by-step Anweisungen, um die folgenden Aufgaben zu erledigen:
1. Erstellen Sie eine Amazon S3 Access Grants-Instance.
1. Registrieren Sie einen Standort in dieser Instance.
1. Erstellen Sie Zuschüsse, um bestimmten Benutzern oder Gruppen von IAM Identity Center den Zugriff auf bestimmte Amazon S3 S3-Standorte oder Untergruppen (z. B. bestimmte Präfixe) innerhalb dieser Standorte zu ermöglichen.
## Schritt 6: Reichen Sie einen SageMaker Schulungsjob ein und sehen Sie sich die Details der Hintergrundsitzung der Benutzer an
Starten Sie in SageMaker Studio ein neues Jupyter-Notizbuch und reichen Sie einen Schulungsjob ein. Führen Sie während der Ausführung des Jobs die folgenden Schritte aus, um die Sitzungsinformationen anzuzeigen und zu überprüfen, ob der Sitzungskontext für den Benutzer im Hintergrund aktiv ist.
1. Öffnen Sie die IAM-Identity-Center-Konsole.
1. Wählen Sie **Users** (Benutzer) aus.
1. Wählen Sie auf der Seite **Benutzer** den Benutzernamen des Benutzers aus, dessen Sitzungen Sie verwalten möchten. Dadurch gelangen Sie zu einer Seite mit den Benutzerinformationen.
1. Wählen Sie auf der Seite des Benutzers die Registerkarte **Aktive Sitzungen** aus. Die Zahl in Klammern neben **Aktive Sitzungen** gibt die Anzahl der aktiven Sitzungen für diesen Benutzer an.
1. Um anhand des Amazon-Ressourcennamens (ARN) des Jobs, der die Sitzung verwendet, nach Sitzungen zu suchen, wählen Sie in der Liste **Sitzungstyp** die Option **User background sessions** aus und geben Sie dann den Job-ARN in das Suchfeld ein.
Im Folgenden finden Sie ein Beispiel dafür, wie ein Schulungsjob, der eine Benutzer-Hintergrundsitzung verwendet, auf der Registerkarte **Aktive Sitzungen** für einen Benutzer angezeigt wird.
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Schritt 7: Sehen Sie sich die CloudTrail Protokolle an, um die Verbreitung vertrauenswürdiger Identitäten in zu überprüfen CloudTrail
Wenn die Verbreitung vertrauenswürdiger Identitäten aktiviert ist, werden Aktionen in den CloudTrail Ereignisprotokollen unter dem `onBehalfOf` Element angezeigt. Das `userId` gibt die ID des IAM Identity Center-Benutzers wieder, der den Schulungsjob initiiert hat. Das folgende CloudTrail Ereignis erfasst den Prozess der Weitergabe vertrauenswürdiger Identitäten.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Überlegungen zur Laufzeit
Wenn ein Administrator **MaxRuntimeInSeconds**für lang andauernde Trainings- oder Verarbeitungsaufträge festlegt, die kürzer als die Dauer der Benutzerhintergrundsitzung sind, führt SageMaker Studio den Job mindestens für die Dauer der Benutzerhintergrundsitzung **MaxRuntimeInSeconds **oder für die Dauer der Benutzerhintergrundsitzung aus.
Weitere Informationen zu **MaxRuntimeInSeconds**finden Sie in der Anleitung für den `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)Parameter in der *Amazon SageMaker API-Referenz*.