Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Propagasi identitas tepercaya dengan Studio
Propagasi identitas tepercaya adalah AWS IAM Identity Center fitur yang dapat digunakan oleh administrator AWS layanan terhubung untuk memberikan dan mengaudit akses ke data layanan. Akses ke data ini didasarkan pada atribut pengguna seperti asosiasi grup. Menyiapkan propagasi identitas tepercaya memerlukan kolaborasi antara administrator AWS layanan yang terhubung dan administrator Pusat Identitas IAM. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html) dan pertimbangan.
Administrator Amazon SageMaker Studio dan IAM Identity Center dapat berkolaborasi untuk menghubungkan layanan untuk propagasi identitas tepercaya. Propagasi identitas tepercaya memenuhi kebutuhan otentikasi perusahaan di seluruh AWS layanan dengan menyederhanakan:
+ Audit yang disempurnakan yang melacak tindakan ke pengguna tertentu
+ Manajemen akses untuk ilmu data dan beban kerja pembelajaran mesin melalui integrasi dengan layanan yang kompatibel AWS
+ Persyaratan kepatuhan dalam industri yang diatur
Studio mendukung propagasi identitas tepercaya untuk tujuan audit dan kontrol akses dengan AWS layanan yang terhubung. Propagasi identitas tepercaya di Studio tidak secara langsung menangani keputusan otentikasi atau otorisasi dalam Studio itu sendiri. Sebaliknya, ia menyebarkan informasi konteks identitas ke layanan yang kompatibel yang dapat menggunakan informasi ini untuk kontrol akses.
Saat Anda menggunakan propagasi identitas tepercaya dengan Studio, identitas Pusat Identitas IAM Anda menyebar ke AWS layanan yang terhubung, menciptakan izin dan tata kelola keamanan yang lebih terperinci.
**Topics**
+ [Arsitektur propagasi identitas tepercaya dan kompatibilitas](trustedidentitypropagation-compatibility.md)
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ [Pemantauan dan audit dengan CloudTrail](trustedidentitypropagation-auditing.md)
+ [Sesi latar belakang pengguna](trustedidentitypropagation-user-background-sessions.md)
+ [Cara terhubung dengan AWS layanan lain dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-connect-other.md)
# Arsitektur propagasi identitas tepercaya dan kompatibilitas
Propagasi identitas tepercaya terintegrasi dengan AWS IAM Identity Center Amazon SageMaker Studio dan AWS layanan terhubung lainnya untuk menyebarkan konteks identitas pengguna di seluruh layanan. Halaman berikut merangkum arsitektur propagasi identitas tepercaya dan kompatibilitas dengan SageMaker AI. Untuk ikhtisar komprehensif tentang cara kerja propagasi identitas tepercaya AWS, lihat Ikhtisar [propagasi identitas tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overview.html).
Komponen kunci dari arsitektur propagasi identitas tepercaya meliputi:
+ **Propagasi identitas tepercaya**: Metodologi menyebarkan konteks identitas pengguna antara aplikasi dan layanan
+ **Konteks identitas**: Informasi tentang pengguna
+ **Sesi peran IAM yang disempurnakan identitas: Sesi peran** yang ditingkatkan identitas memiliki konteks identitas tambahan yang membawa pengenal pengguna ke layanan yang dipanggilnya AWS
+ ** AWS Layanan terhubung**: AWS Layanan lain yang dapat mengenali konteks identitas yang disebarkan melalui propagasi identitas tepercaya
Propagasi identitas tepercaya memungkinkan AWS layanan yang terhubung untuk membuat keputusan akses berdasarkan identitas pengguna. Dalam Studio itu sendiri, peran IAM digunakan sebagai pembawa konteks identitas daripada untuk membuat keputusan kontrol akses. Konteks identitas disebarkan ke AWS layanan yang terhubung di mana ia dapat digunakan untuk kontrol akses dan tujuan audit. Lihat [pertimbangan propagasi identitas tepercaya untuk informasi](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-considerations) lebih lanjut.
Saat Anda mengaktifkan propagasi identitas tepercaya dengan Studio dan mengautentikasi melalui IAM Identity Center, AI: SageMaker
+ Menangkap konteks identitas pengguna dari IAM Identity Center
+ Membuat sesi peran IAM yang disempurnakan identitas yang menyertakan konteks identitas pengguna
+ Meneruskan sesi peran IAM yang disempurnakan identitas ke AWS layanan yang kompatibel saat pengguna mengakses sumber daya
+ Memungkinkan AWS layanan hilir untuk membuat keputusan akses dan aktivitas log berdasarkan identitas pengguna
## Fitur SageMaker AI yang kompatibel
Propagasi identitas tepercaya berfungsi dengan fitur Studio berikut:
+ Ruang pribadi [Amazon SageMaker Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-updated-launch.html) (JupyterLab dan Editor Kode, berdasarkan Kode-OSS, Kode Visual Studio - Sumber Terbuka)
**catatan**
Saat Studio diluncurkan dengan propagasi identitas tepercaya diaktifkan, Studio menggunakan konteks identitas Anda selain izin peran eksekusi Anda. Namun, proses berikut selama penyiapan instans hanya akan menggunakan izin peran eksekusi, tanpa konteks identitas: Konfigurasi Siklus Hidup, Bring-Your-Own-Image, CloudWatch agen untuk penerusan log pengguna.
[Akses jarak jauh](https://docs.aws.amazon.com/sagemaker/latest/dg/remote-access.html) saat ini tidak didukung dengan propagasi identitas tepercaya.
Bila Anda menggunakan operasi peran asumsi dalam buku catatan Studio, peran yang diasumsikan tidak menyebarkan konteks propagasi identitas tepercaya. Hanya peran eksekusi asli yang mempertahankan konteks identitas.
+ [SageMakerPelatihan](https://docs.aws.amazon.com/sagemaker/latest/dg/how-it-works-training.html)
+ [SageMakerPengolahan](https://docs.aws.amazon.com/sagemaker/latest/dg/processing-job.html)
+ [SageMaker Hosting realtime AI](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints-options.html)
+ [SageMakerPipa](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html)
+ [SageMakerinferensi waktu nyata](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints.html)
+ [SageMakerInferensi Asinkron](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference.html)
+ [Dikelola MLflow](https://docs.aws.amazon.com/sagemaker/latest/dg/mlflow.html)
## AWS Layanan yang kompatibel
Propagasi identitas tepercaya untuk Amazon SageMaker Studio terintegrasi dengan AWS layanan yang kompatibel, di mana propagasi identitas tepercaya diaktifkan. Lihat [kasus penggunaan](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-integrations.html) untuk daftar lengkap dengan contoh tentang cara mengaktifkan propagasi identitas tepercaya. Layanan yang kompatibel dengan propagasi identitas tepercaya meliputi yang berikut ini.
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/workgroups-identity-center.html)
+ [Amazon EMR di EC2](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [EMR Tanpa Server](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [AWS Formasi Danau](https://docs.aws.amazon.com/lake-formation/latest/dg/identity-center-integration.html)
+ [API Data Pergeseran Merah Amazon](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Amazon S3 (melalui Hibah Akses [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html))
+ [AWS Glue Koneksi](https://docs.aws.amazon.com/glue/latest/dg/security-trusted-identity-propagation.html)
Ketika propagasi identitas tepercaya diaktifkan dengan SageMaker AI, satu sama lain AWS layanan dengan propagasi identitas tepercaya diaktifkan terhubung. Setelah terhubung, mereka mengenali dan menggunakan konteks identitas pengguna untuk kontrol akses dan audit.
## Didukung Wilayah AWS
Studio mendukung propagasi identitas tepercaya di mana [IAM Identity Center didukung](https://docs.aws.amazon.com/singlesignon/latest/userguide/regions.html) dan Studio dengan otentikasi IAM Identity Center didukung. Studio mendukung propagasi identitas tepercaya sebagai berikut: Wilayah AWS
+ af-south-1
+ ap-east-1
+ ap-northeast-1
+ ap-northeast-2
+ ap-northeast-3
+ ap-south-1
+ ap-southeast-1
+ ap-southeast-2
+ ap-southeast-3
+ ca-central-1
+ eu-central-1
+ eu-central-2
+ eu-north-1
+ eu-south-1
+ eu-west-1
+ eu-west-2
+ eu-west-3
+ il-central-1
+ me-south-1
+ sa-east-1
+ us-east-1
+ us-east-2
+ us-west-1
+ us-west-2
# Menyiapkan propagasi identitas tepercaya untuk Studio
Menyiapkan propagasi identitas tepercaya untuk Amazon SageMaker Studio mengharuskan domain Amazon SageMaker AI Anda memiliki metode autentikasi Pusat Identitas IAM yang dikonfigurasi. Bagian ini memandu Anda melalui prasyarat dan langkah-langkah yang diperlukan untuk mengaktifkan dan mengonfigurasi propagasi identitas tepercaya bagi pengguna Studio Anda.
**Topics**
+ [Prasyarat](#trustedidentitypropagation-setup-prerequisites)
+ [Aktifkan propagasi identitas tepercaya untuk domain Amazon SageMaker AI Anda](#trustedidentitypropagation-setup-enable)
+ [Konfigurasikan peran eksekusi SageMaker AI Anda](#trustedidentitypropagation-setup-permissions)
## Prasyarat
Sebelum menyiapkan propagasi identitas tepercaya untuk SageMaker AI, siapkan Pusat Identitas IAM Anda menggunakan petunjuk berikut.
**catatan**
Pastikan Pusat Identitas IAM dan domain Anda berada di wilayah yang sama.
+ [Pusat Identitas IAM prasyarat propagasi identitas tepercaya](https://docs.aws.amazon.com/singlesignon/latest/userguide/trustedidentitypropagation-overall-prerequisites.html#trustedidentitypropagation-prerequisites)
+ [Menyiapkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)
+ [Tambahkan pengguna ke direktori Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)
## Aktifkan propagasi identitas tepercaya untuk domain Amazon SageMaker AI Anda
**penting**
Anda hanya dapat mengaktifkan propagasi identitas tepercaya untuk domain dengan metode AWS IAM Identity Center otentikasi yang dikonfigurasi.
Pusat Identitas IAM dan domain Amazon SageMaker AI Anda harus sama Wilayah AWS.
Gunakan salah satu opsi berikut untuk mempelajari cara mengaktifkan propagasi identitas tepercaya untuk domain baru atau yang sudah ada.
------
#### [ New domain - console ]
**Aktifkan propagasi identitas tepercaya untuk domain baru menggunakan konsol SageMaker AI**
1. Buka [konsol Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Arahkan ke **Domain**.
1. [Buat domain khusus](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-custom.html). Domain harus memiliki metode **AWS IAM Identity Center**otentikasi yang dikonfigurasi.
1. Di bagian **propagasi identitas tepercaya**, pilih **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
1. Selesaikan proses pembuatan kustom.
------
#### [ Existing domain - console ]
**Aktifkan propagasi identitas tepercaya untuk domain yang ada menggunakan konsol SageMaker AI**
**catatan**
Agar propagasi identitas tepercaya berfungsi dengan baik setelah diaktifkan untuk domain yang ada, pengguna harus memulai ulang sesi Pusat Identitas IAM yang ada. Untuk melakukannya, baik:
Pengguna harus keluar dan masuk kembali ke sesi Pusat Identitas IAM yang ada
Administrator dapat [mengakhiri sesi aktif untuk pengguna tenaga kerja mereka](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
1. Buka [konsol Amazon SageMaker AI](https://console.aws.amazon.com/sagemaker).
1. Arahkan ke **Domain**.
1. Pilih domain yang sudah ada. Domain harus memiliki metode **AWS IAM Identity Center**otentikasi yang dikonfigurasi.
1. Di tab **Pengaturan domain**, pilih **Edit** di bagian **Otentikasi dan izin**.
1. Pilih untuk **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
1. Selesaikan konfigurasi domain.
------
#### [ Existing domain - AWS CLI ]
Aktifkan propagasi identitas tepercaya untuk domain yang ada menggunakan AWS CLI
**catatan**
Agar propagasi identitas tepercaya berfungsi dengan baik setelah diaktifkan untuk domain yang ada, pengguna harus memulai ulang sesi Pusat Identitas IAM yang ada. Untuk melakukannya, baik:
Pengguna harus keluar dan masuk kembali ke sesi Pusat Identitas IAM yang ada
Administrator dapat [mengakhiri sesi aktif untuk pengguna tenaga kerja mereka](https://docs.aws.amazon.com/singlesignon/latest/userguide/end-active-sessions.html).
```
aws sagemaker update-domain \
--region $REGION \
--domain-id $DOMAIN_ID \
--domain-settings "TrustedIdentityPropagationSettings={Status=ENABLED}"
```
+ `DOMAIN_ID`adalah ID domain SageMaker AI Amazon. Lihat [Lihat domain](https://docs.aws.amazon.com/sagemaker/latest/dg/domain-view.html) untuk informasi selengkapnya.
+ `REGION`adalah Wilayah AWS domain SageMaker AI Amazon Anda. Anda dapat menemukan ini di kanan atas halaman AWS konsol mana pun.
------
## Konfigurasikan peran eksekusi SageMaker AI Anda
Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna Studio Anda, semua peran propagasi identitas tepercaya memerlukan pengaturan izin konteks berikut. Perbarui kebijakan kepercayaan untuk semua peran untuk menyertakan `sts:AssumeRole` dan `sts:SetContext` tindakan. Gunakan kebijakan berikut saat [memperbarui kebijakan kepercayaan peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
# Pemantauan dan audit dengan CloudTrail
Dengan propagasi identitas tepercaya diaktifkan, AWS CloudTrail log menyertakan informasi identitas pengguna tertentu yang melakukan tindakan, bukan hanya peran IAM. Ini memberikan kemampuan audit yang ditingkatkan untuk kepatuhan dan keamanan.
Untuk melihat informasi identitas di CloudTrail log:
+ Buka [konsol CloudTrail ](https://console.aws.amazon.com/cloudtrail).
+ Pilih **Riwayat acara** dari panel navigasi kiri.
+ Pilih acara dari SageMaker AI dan layanan terkait.
+ Di bawah `onBehalfOf` kunci Cari **catatan acara**. Ini berisi `userId` kunci dan informasi identifikasi pengguna lainnya yang dapat dipetakan ke pengguna Pusat Identitas IAM tertentu.
Lihat [kasus CloudTrail penggunaan untuk Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html) untuk informasi selengkapnya.
# Sesi latar belakang pengguna
Sesi latar belakang pengguna berlanjut bahkan ketika pengguna tidak lagi aktif. Ini memungkinkan untuk pekerjaan jangka panjang yang dapat berlanjut bahkan setelah pengguna log off. Ini dapat diaktifkan melalui propagasi identitas tepercaya SageMaker AI. Halaman berikut menjelaskan opsi konfigurasi dan perilaku untuk sesi latar belakang pengguna.
**catatan**
Sesi pengguna aktif yang ada tidak terpengaruh saat propagasi identitas tepercaya diaktifkan. Durasi default hanya berlaku untuk sesi pengguna baru atau sesi yang dimulai ulang.
Sesi latar belakang pengguna berlaku untuk alur kerja atau pekerjaan SageMaker AI yang berjalan lama dengan status persisten. Ini termasuk, tetapi tidak terbatas pada, sumber daya SageMaker AI apa pun yang mempertahankan status eksekusi atau memerlukan pemantauan berkelanjutan. Misalnya, pekerjaan eksekusi SageMaker Training, Processing, dan Pipelines.
**Topics**
+ [Konfigurasikan sesi latar belakang pengguna](#configure-user-background-sessions)
+ [Durasi sesi latar belakang pengguna default](#default-user-background-session-duration)
+ [Dampak menonaktifkan propagasi identitas tepercaya di Studio](#user-background-session-impact-disable-trustedidentitypropagation-studio)
+ [Dampak menonaktifkan sesi latar belakang pengguna di konsol Pusat Identitas IAM](#user-background-session-impact-disable-trustedidentitypropagation-identity-center)
+ [Pertimbangan runtime](#user-background-session-runtime-considerations)
## Konfigurasikan sesi latar belakang pengguna
Setelah propagasi identitas tepercaya untuk Amazon SageMaker Studio diaktifkan, batas durasi default dapat dikonfigurasi melalui [sesi latar belakang pengguna di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html).
## Durasi sesi latar belakang pengguna default
Secara default, semua sesi latar belakang pengguna memiliki batas durasi 7 hari. Administrator dapat [mengubah durasi ini di konsol Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html). Pengaturan ini berlaku pada tingkat instans Pusat Identitas IAM, yang memengaruhi semua aplikasi Pusat Identitas IAM yang didukung dan domain Studio dalam instance tersebut.
Saat propagasi identitas tepercaya diaktifkan, administrator di konsol SageMaker AI akan menemukan spanduk dengan informasi berikut:
+ Batas durasi sesi latar belakang pengguna
+ Tautan ke konsol Pusat Identitas IAM tempat administrator dapat mengubah konfigurasi ini
+ Durasi dapat diatur ke nilai apa pun dari 15 menit hingga 90 hari
Pesan kesalahan akan terjadi ketika sesi latar belakang pengguna telah kedaluwarsa. Anda dapat menggunakan tautan ke konsol Pusat Identitas IAM untuk memperbarui durasi.
## Dampak menonaktifkan propagasi identitas tepercaya di Studio
Jika administrator menonaktifkan propagasi identitas tepercaya, setelah awalnya mengaktifkannya, di konsol AI: SageMaker
+ Pekerjaan yang ada terus berjalan tanpa gangguan saat sesi latar belakang pengguna diaktifkan.
+ Saat sesi latar belakang pengguna dinonaktifkan, alur kerja SageMaker AI atau pekerjaan apa pun yang berjalan lama dengan status persisten akan beralih menggunakan sesi interaktif. Ini termasuk, tetapi tidak terbatas pada, sumber daya SageMaker AI apa pun yang mempertahankan status eksekusi atau memerlukan pemantauan berkelanjutan. Misalnya, pekerjaan SageMaker Pelatihan dan Pemrosesan Amazon.
+ Pengguna dapat memulai kembali pekerjaan yang kedaluwarsa dari pos pemeriksaan.
+ Pekerjaan baru dijalankan dengan kredensil peran IAM dan tidak menyebarkan konteks identitas.
## Dampak menonaktifkan sesi latar belakang pengguna di konsol Pusat Identitas IAM
Saat sesi latar belakang pengguna **dinonaktifkan** untuk instans Pusat Identitas IAM, pekerjaan SageMaker AI menggunakan sesi interaktif pengguna. Saat menggunakan sesi interaktif, pekerjaan SageMaker AI akan gagal dalam 15 menit ketika:
+ Pengguna log out
+ Sesi interaktif dicabut oleh administrator
Saat sesi latar belakang pengguna **diaktifkan** untuk instans Pusat Identitas IAM, pekerjaan SageMaker AI menggunakan sesi latar belakang pengguna. Saat menggunakan sesi interaktif, pekerjaan SageMaker AI akan gagal dalam 15 menit ketika:
+ Sesi latar belakang pengguna kedaluwarsa
+ Sesi latar belakang pengguna dicabut secara manual oleh administrator
Berikut ini memberikan contoh perilaku dengan pekerjaan SageMaker Pelatihan. Saat administrator mengaktifkan propagasi identitas tepercaya tetapi menonaktifkan [sesi latar belakang pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) di konsol Pusat Identitas IAM:
+ Jika pengguna tetap login, pekerjaan Pelatihan mereka dibuat saat sesi latar belakang dinonaktifkan mundur ke sesi interaktif.
+ Jika pengguna log off, sesi berakhir dan pekerjaan Pelatihan tergantung pada sesi interaktif akan gagal.
+ Pengguna dapat memulai kembali pekerjaan Pelatihan mereka dari pos pemeriksaan terakhir. Durasi sesi ditentukan oleh apa yang ditetapkan untuk durasi sesi interaktif di konsol Pusat Identitas IAM.
+ Jika pengguna menonaktifkan sesi latar belakang **setelah** memulai pekerjaan, pekerjaan akan terus menggunakan sesi latar belakang yang ada. Dengan kata lain, SageMaker AI tidak akan membuat sesi latar belakang baru.
Perilaku yang sama berlaku jika sesi latar belakang diaktifkan di tingkat instans Pusat Identitas IAM tetapi dinonaktifkan secara khusus untuk aplikasi Studio yang menggunakan [IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) Center. APIs
## Pertimbangan runtime
Saat administrator menetapkan `MaxRuntimeInSeconds` pekerjaan Pelatihan atau Pemrosesan yang berjalan lama yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker AI menjalankan pekerjaan untuk minimum durasi sesi latar belakang pengguna `MaxRuntimeInSeconds` atau pengguna. Untuk informasi selengkapnya tentang `MaxRuntimeInSeconds`, lihat [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition). Lihat [sesi latar belakang pengguna di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/user-background-sessions.html) untuk informasi tentang cara mengatur runtime.
# Cara terhubung dengan AWS layanan lain dengan propagasi identitas tepercaya diaktifkan
Saat propagasi identitas tepercaya diaktifkan untuk domain SageMaker AI Amazon Anda, pengguna domain dapat terhubung ke layanan berkemampuan AWS propagasi identitas tepercaya lainnya. Ketika propagasi identitas tepercaya diaktifkan, konteks identitas Anda secara otomatis disebarkan ke layanan yang kompatibel, memungkinkan kontrol akses yang halus dan audit yang ditingkatkan di seluruh alur kerja pembelajaran mesin Anda. Integrasi ini menghilangkan kebutuhan untuk peralihan peran IAM yang kompleks dan memberikan pengalaman identitas terpadu di seluruh AWS layanan. Halaman berikut memberikan informasi tentang cara menghubungkan Amazon SageMaker Studio ke AWS layanan lain saat propagasi identitas tepercaya diaktifkan.
**Topics**
+ [Hubungkan JupyterLab notebook Studio ke Amazon S3 Access Grants dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-s3-access-grants.md)
+ [Hubungkan JupyterLab notebook Studio ke Amazon EMR dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-emr-ec2.md)
+ [Hubungkan JupyterLab notebook Studio Anda ke EMR Tanpa Server dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-emr-serverless.md)
+ [Hubungkan JupyterLab notebook Studio ke Redshift Data API dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-redshift-data-apis.md)
+ [Hubungkan JupyterLab notebook Studio ke Lake Formation dan Athena dengan propagasi identitas tepercaya diaktifkan](trustedidentitypropagation-lake-formation-athena.md)
# Hubungkan JupyterLab notebook Studio ke Amazon S3 Access Grants dengan propagasi identitas tepercaya diaktifkan
Anda dapat menggunakan [Amazon S3 Access Grants untuk secara fleksibel memberikan kontrol akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) butir halus berbasis identitas ke lokasi Amazon S3. Ini memberikan akses bucket Amazon S3 langsung ke pengguna dan grup perusahaan Anda. Halaman berikut memberikan informasi dan instruksi tentang cara menggunakan Amazon S3 Access Grants dengan propagasi identitas tepercaya untuk AI. SageMaker
## Prasyarat
Untuk menghubungkan Studio ke Lake Formation dan Athena dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan prasyarat berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ Ikuti cara [memulai dengan Amazon S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html) untuk menyiapkan Amazon S3 Access Grants untuk bucket Anda. Lihat [penskalaan akses data dengan Amazon S3 Access](https://aws.amazon.com/blogs/storage/scaling-data-access-with-amazon-s3-access-grants/) Grants untuk informasi selengkapnya.
**catatan**
Amazon S3 standar APIs tidak secara otomatis berfungsi dengan Hibah Akses Amazon S3. Anda harus secara eksplisit menggunakan Hibah Akses Amazon S3. APIs Lihat [Mengelola akses dengan Hibah Akses Amazon S3 untuk informasi selengkapnya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
**Topics**
+ [Prasyarat](#s3-access-grants-prerequisites)
+ [Hubungkan Hibah Akses Amazon S3 dengan notebook Studio JupyterLab](s3-access-grants-setup.md)
+ [Hubungkan JupyterLab notebook Studio ke Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan](trustedidentitypropagation-s3-access-grants-jobs.md)
# Hubungkan Hibah Akses Amazon S3 dengan notebook Studio JupyterLab
Gunakan informasi berikut untuk memberikan Hibah Akses Amazon S3 di buku catatan Studio. JupyterLab
[Setelah Amazon S3 Access Grants disiapkan, [tambahkan izin berikut ke peran eksekusi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) domain atau pengguna Anda.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)
+ `us-east-1`adalah Anda Wilayah AWS
+ `111122223333`adalah Akun AWS ID Anda
+ `S3-ACCESS-GRANT-ROLE`adalah peran Hibah Akses Amazon S3 Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForTIP",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
Pastikan kebijakan kepercayaan peran Amazon S3 Access Grants memungkinkan dan tindakan. `sts:SetContext` `sts:AssumeRole` Berikut ini adalah contoh kebijakan ketika Anda [memperbarui kebijakan kepercayaan peran Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"access-grants.s3.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:s3:us-east-1:111122223333:access-grants/default"
}
}
}
]
}
```
------
## Gunakan Hibah Akses Amazon S3 untuk memanggil Amazon S3
Berikut ini adalah contoh skrip Python yang menunjukkan bagaimana Amazon S3 Access Grants dapat digunakan untuk memanggil Amazon S3. Ini mengasumsikan Anda telah berhasil mengatur propagasi identitas tepercaya dengan SageMaker AI.
```
import boto3
from botocore.config import Config
def get_access_grant_credentials(account_id: str, target: str,
permission: str = 'READ'):
s3control = boto3.client('s3control')
response = s3control.get_data_access(
AccountId=account_id,
Target=target,
Permission=permission
)
return response['Credentials']
def create_s3_client_from_credentials(credentials) -> boto3.client:
return boto3.client(
's3',
aws_access_key_id=credentials['AccessKeyId'],
aws_secret_access_key=credentials['SecretAccessKey'],
aws_session_token=credentials['SessionToken']
)
# Create client
credentials = get_access_grant_credentials('111122223333',
"s3://tip-enabled-bucket/tip-enabled-path/")
s3 = create_s3_client_from_credentials(credentials)
s3.list_objects(Bucket="tip-enabled-bucket", Prefix="tip-enabled-path/")
```
Jika Anda menggunakan jalur ke bucket Amazon S3 di mana hibah akses Amazon S3 tidak diaktifkan, panggilan akan gagal.
Untuk bahasa pemrograman lainnya, lihat [Mengelola akses dengan Hibah Akses Amazon S3 untuk informasi selengkapnya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html).
# Hubungkan JupyterLab notebook Studio ke Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan
Gunakan informasi berikut untuk memberikan Hibah Akses Amazon S3 untuk mengakses data dalam pekerjaan SageMaker Pelatihan dan Pemrosesan Amazon.
Saat pengguna dengan propagasi identitas tepercaya diaktifkan meluncurkan pekerjaan SageMaker Pelatihan atau Pemrosesan yang perlu mengakses data Amazon S3:
+ SageMaker AI memanggil Amazon S3 Access Grants untuk mendapatkan kredensyal sementara berdasarkan identitas pengguna
+ Jika berhasil, kredensyal sementara ini mengakses data Amazon S3
+ Jika tidak berhasil, SageMaker AI kembali menggunakan kredensyal peran IAM
**catatan**
[Untuk menegakkan bahwa semua izin diberikan melalui Hibah Akses Amazon S3, Anda harus menghapus izin akses Amazon S3 terkait peran eksekusi Anda dan melampirkannya ke Hibah Akses Amazon S3 yang sesuai.](https://docs.aws.amazon.com/singlesignon/latest/userguide/tip-tutorial-s3.html#tip-tutorial-s3-create-grant)
**Topics**
+ [Pertimbangan-pertimbangan](#s3-access-grants-jobs-considerations)
+ [Siapkan Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan](#s3-access-grants-jobs-setup)
## Pertimbangan-pertimbangan
Hibah Akses Amazon S3 tidak dapat digunakan dengan [mode Pipa](https://docs.aws.amazon.com/sagemaker/latest/dg/augmented-manifest-stream.html) untuk SageMaker Pelatihan dan Pemrosesan untuk input Amazon S3.
Ketika propagasi identitas tepercaya diaktifkan, Anda tidak dapat meluncurkan SageMaker Training Job dengan fitur berikut
+ Debug Jarak Jauh
+ Debugger
+ Profiler
Ketika propagasi identitas tepercaya diaktifkan, Anda tidak dapat meluncurkan pekerjaan Pemrosesan dengan fitur berikut
+ DatasetDefinition
## Siapkan Hibah Akses Amazon S3 dengan pekerjaan Pelatihan dan Pemrosesan
[Setelah Amazon S3 Access Grants disiapkan, [tambahkan izin berikut ke peran eksekusi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) domain atau pengguna Anda.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role)
+ `us-east-1`adalah Anda Wilayah AWS
+ `111122223333`adalah Akun AWS ID Anda
+ `S3-ACCESS-GRANT-ROLE`adalah peran Hibah Akses Amazon S3 Anda
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDataAccessAPI",
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": [
"arn:aws:s3:us-east-1:111122223333:access-grants/default"
]
},
{
"Sid": "RequiredForIdentificationPropagation",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "arn:aws:iam::111122223333:role/S3-ACCESS-GRANT-ROLE"
}
]
}
```
------
# Hubungkan JupyterLab notebook Studio ke Amazon EMR dengan propagasi identitas tepercaya diaktifkan
Menghubungkan JupyterLab notebook Amazon SageMaker Studio ke kluster EMR Amazon memungkinkan Anda memanfaatkan daya komputasi terdistribusi Amazon EMR untuk pemrosesan data skala besar dan beban kerja analitik. Dengan mengaktifkan propagasi identitas tepercaya, konteks identitas Anda disebarkan ke EMR Amazon, memungkinkan kontrol akses yang halus dan jejak audit yang komprehensif. Halaman berikut memberikan petunjuk tentang cara menghubungkan notebook Studio Anda ke klaster EMR Amazon. Setelah diatur, Anda dapat menggunakan `Connect to Cluster` opsi di notebook Studio Anda.
Untuk menghubungkan Studio ke Amazon EMR dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan pengaturan berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ [Memulai AWS IAM Identity Center integrasi untuk Amazon EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-idc-start.html)
+ [Aktifkan komunikasi antara kluster EMR Studio dan Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-cluster.html)
**Connect ke Amazon EMR cluster**
Untuk daftar lengkap opsi tentang cara menghubungkan JupyterLab notebook Anda ke Amazon EMR, lihat [Connect to an Amazon EMR cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-clusters.html).
# Hubungkan JupyterLab notebook Studio Anda ke EMR Tanpa Server dengan propagasi identitas tepercaya diaktifkan
Amazon EMR Serverless menyediakan opsi tanpa server untuk menjalankan aplikasi Apache Spark dan Apache Hive tanpa mengelola cluster. Ketika terintegrasi dengan propagasi identitas tepercaya, EMR Serverless secara otomatis menskalakan sumber daya komputasi sambil mempertahankan konteks identitas Anda untuk kontrol akses dan audit. Pendekatan ini menghilangkan overhead operasional manajemen klaster sambil menjaga manfaat keamanan dari kontrol akses berbasis identitas. Bagian berikut memberikan informasi tentang cara menghubungkan Studio yang diaktifkan propagasi identitas tepercaya Anda dengan EMR Tanpa Server.
Untuk menghubungkan Studio ke Amazon EMR Tanpa Server dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan pengaturan berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ [Propagasi identitas tepercaya dengan EMR Tanpa Server](https://docs.aws.amazon.com/emr/latest/EMR-Serverless-UserGuide/security-iam-service-trusted-prop.html)
+ [Aktifkan komunikasi antara Studio dan EMR Tanpa Server](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-notebooks-emr-serverless.html)
**Connect ke aplikasi EMR Serverless**
Untuk daftar lengkap opsi tentang cara menghubungkan JupyterLab notebook Anda ke EMR Tanpa Server, lihat Connect [to an EMR](https://docs.aws.amazon.com/sagemaker/latest/dg/connect-emr-serverless-application.html) Serverless aplikasi.
# Hubungkan JupyterLab notebook Studio ke Redshift Data API dengan propagasi identitas tepercaya diaktifkan
Amazon Redshift Data API memungkinkan Anda berinteraksi dengan kluster Amazon Redshift secara terprogram tanpa mengelola koneksi persisten. Bila dikombinasikan dengan propagasi identitas tepercaya, Redshift Data API menyediakan akses berbasis identitas yang aman ke gudang data Anda, memungkinkan Anda menjalankan kueri SQL dan mengambil hasil sambil mempertahankan jejak audit penuh aktivitas pengguna. Integrasi ini sangat berharga untuk alur kerja ilmu data yang memerlukan akses ke data terstruktur yang disimpan di Redshift. Halaman berikut mencakup informasi dan petunjuk tentang cara menghubungkan propagasi identitas tepercaya dengan Amazon SageMaker Studio ke Redshift Data API.
Untuk menghubungkan Studio ke Redshift Data API dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan pengaturan berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ [Menggunakan Redshift Data API dengan propagasi identitas tepercaya](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-trusted-identity-propagation.html)
+ Pastikan peran eksekusi Anda memiliki izin yang relevan untuk Redshift Data API. Lihat [otorisasi akses](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api-access.html) untuk informasi lebih lanjut.
+ [Sederhanakan manajemen akses dengan Amazon Redshift AWS Lake Formation dan untuk pengguna di Penyedia Identitas Eksternal](https://aws.amazon.com/blogs/big-data/simplify-access-management-with-amazon-redshift-and-aws-lake-formation-for-users-in-an-external-identity-provider/)
# Hubungkan JupyterLab notebook Studio ke Lake Formation dan Athena dengan propagasi identitas tepercaya diaktifkan
AWS Lake Formation dan Amazon Athena bekerja sama untuk menyediakan solusi data lake yang komprehensif dengan kontrol akses berbutir halus dan kemampuan kueri tanpa server. Lake Formation memusatkan manajemen izin untuk data lake Anda, sementara Athena menyediakan layanan kueri interaktif. Ketika terintegrasi dengan propagasi identitas tepercaya, kombinasi ini memungkinkan ilmuwan data untuk mengakses hanya data yang diizinkan untuk mereka lihat, dengan semua kueri dan akses data secara otomatis dicatat untuk tujuan kepatuhan dan audit. Halaman berikut memberikan informasi dan instruksi tentang cara menghubungkan propagasi identitas tepercaya dengan Amazon SageMaker Studio ke Lake Formation dan Athena
Untuk menghubungkan Studio ke Lake Formation dan Athena dengan propagasi identitas tepercaya diaktifkan, pastikan Anda telah menyelesaikan pengaturan berikut:
+ [Menyiapkan propagasi identitas tepercaya untuk Studio](trustedidentitypropagation-setup.md)
+ [Buat peran Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/prerequisites-identity-center.html)
+ [Connect Lake Formation dengan IAM Identity Center](https://docs.aws.amazon.com/lake-formation/latest/dg/connect-lf-identity-center.html)
+ Buat sumber daya Lake Formation:
+ [Basis Data](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-database.html)
+ [Tabel](https://docs.aws.amazon.com/lake-formation/latest/dg/creating-tables.html)
+ [Buat workgroup Athena](https://docs.aws.amazon.com/athena/latest/ug/creating-workgroups.html)
+ Pilih **AthenaSQL** untuk mesin
+ Pilih **Pusat Identitas IAM untuk metode** otentikasi
+ Buat peran layanan baru
+ Pastikan bahwa pengguna IAM Identity Center memiliki akses ke lokasi hasil kueri menggunakan Amazon S3 Access Grants
+ [Memberikan izin database menggunakan metode sumber daya bernama](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-database-permissions.html)