Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kasus penggunaan propagasi identitas tepercaya
Sebagai administrator Pusat Identitas IAM, Anda mungkin diminta untuk membantu mengonfigurasi propagasi identitas tepercaya dari aplikasi yang menghadap pengguna ke aplikasi. Layanan AWS Untuk mendukung permintaan ini, Anda memerlukan informasi berikut:
+ Aplikasi yang menghadap klien apa yang akan berinteraksi dengan pengguna Anda?
+ Yang Layanan AWS digunakan untuk menanyakan data dan untuk mengotorisasi akses ke data?
+ Yang Layanan AWS mengotorisasi akses ke data?
Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang tidak melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** adalah untuk:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md).
1. [Hubungkan sumber identitas Anda yang ada ke IAM Identity Center](tutorials.md).
Langkah-langkah yang tersisa dari konfigurasi identitas tepercaya untuk kasus penggunaan ini dilakukan dalam terhubung Layanan AWS dan aplikasi. Administrator yang terhubung Layanan AWS atau aplikasi harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif.
Peran Anda dalam mengaktifkan **kasus penggunaan propagasi identitas tepercaya yang melibatkan aplikasi pihak ketiga atau aplikasi yang dikembangkan khusus** mencakup langkah-langkah [Aktifkan Pusat Identitas IAM](enable-identity-center.md) dan [menghubungkan sumber identitas Anda](tutorials.md) serta:
1. Mengkonfigurasi koneksi penyedia identitas Anda (IDP) ke pihak ketiga atau aplikasi yang dikembangkan khusus.
1. Mengaktifkan IAM Identity Center untuk mengenali aplikasi pihak ketiga atau yang dikembangkan khusus.
1. Mengonfigurasi IDP Anda sebagai penerbit token tepercaya di IAM Identity Center. Untuk informasi selengkapnya, lihat [Menggunakan aplikasi dengan penerbit token tepercaya](using-apps-with-trusted-token-issuer.md).
Administrator aplikasi yang terhubung dan Layanan AWS harus merujuk pada panduan pengguna masing-masing untuk panduan khusus layanan yang komprehensif.
## Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin
Anda dapat mengaktifkan kasus penggunaan propagasi tepercaya dengan layanan analisis dan pembelajaran mesin berikut:
+ **Amazon Redshift** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Untuk panduan, lihat. [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Untuk panduan, lihat[Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Kasus penggunaan tambahan
Anda dapat mengaktifkan Pusat Identitas IAM dan propagasi identitas tepercaya dengan tambahan ini: Layanan AWS
+ **Amazon Q Business** - untuk panduan, lihat:
+ [Alur kerja admin untuk aplikasi yang menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Mengkonfigurasi aplikasi Amazon Q Business menggunakan IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Konfigurasikan Amazon Q Business dengan propagasi identitas tepercaya IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ ** OpenSearch Layanan Amazon** - untuk panduan, lihat:
+ [IAM Identity Center Dukungan Propagasi Identitas Tepercaya untuk Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Antarmuka OpenSearch pengguna terpusat (Dasbor) dengan Layanan Amazon OpenSearch ](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- untuk panduan, lihat:
+ [Aplikasi web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Kasus penggunaan analitik, data lakehouse, dan pembelajaran mesin](#tip-data-analytic-usecases-overview)
+ [Kasus penggunaan tambahan](#tip-additional-usecases)
+ [Perbanyakan identitas tepercaya dengan Amazon Redshift](tip-usecase-redshift.md)
+ [Perbanyakan identitas tepercaya dengan Amazon EMR](tip-usecase-emr.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Athena](tip-usecase-ate.md)
+ [Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Perbanyakan identitas tepercaya dengan Amazon Redshift
Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola atau eksternal AWS - yang menanyakan data Amazon Redshift dengan kontrol akses yang disediakan baik oleh Amazon Redshift atau oleh layanan otorisasi, seperti atau Amazon S3. AWS Lake Formation Access Grants
![\[Diagram propagasi identitas tepercaya menggunakan Amazon Redshift, Quick, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Saat propagasi identitas tepercaya ke Amazon Redshift diaktifkan, administrator Redshift dapat mengonfigurasi Redshift [untuk secara otomatis membuat peran untuk](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Pusat Identitas IAM sebagai penyedia identitas, memetakan peran Redshift ke grup di Pusat Identitas IAM, dan menggunakan kontrol akses berbasis peran Redshift untuk memberikan akses.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplikasi yang menghadap klien yang didukung
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ [Pergeseran Merah Amazon Query Editor V2](setting-up-tip-redshift.md)
+ [Quick](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**catatan**
Jika Anda menggunakan Amazon Redshift Spectrum untuk mengakses database atau tabel AWS Glue Data Catalog eksternal, pertimbangkan untuk menyiapkan [Lake Formation](tip-tutorial-lf.md) dan [Amazon Access Grants S3](tip-tutorial-s3.md) untuk memberikan kontrol akses halus.
**Aplikasi yang dikelola pelanggan**
Aplikasi yang dikelola pelanggan berikut mendukung propagasi identitas tepercaya ke Amazon Redshift:
+ **Tableau**termasuk TableauDesktop, TableauServer, dan Tableau Prep
+ *Untuk mengaktifkan propagasi identitas tepercaya bagi penggunaTableau, lihat [Integrasikan Tableau dan Okta dengan Amazon Redshift menggunakan Pusat Identitas IAM](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) di AWS Blog Big Data.*
+ **Klien SQL** (DBeaverdanDBVisualizer)
+ *Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna Klien SQL (DBeaverdanDBVisualizer), lihat [Integrate Identity Provider (iDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *
# Menyiapkan propagasi identitas tepercaya dengan Amazon Redshift Query Editor V2
Prosedur berikut memandu Anda melalui cara mencapai propagasi identitas tepercaya dari Amazon Redshift Query Editor V2 ke Amazon Redshift.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
Mengaktifkan propagasi identitas tepercaya mencakup tugas yang dilakukan oleh administrator Pusat Identitas IAM di konsol Pusat Identitas IAM dan tugas yang dilakukan oleh administrator Amazon Redshift di konsol Amazon Redshift.
## Tugas yang dilakukan oleh administrator Pusat Identitas IAM
Tugas-tugas berikut harus diselesaikan oleh administrator Pusat Identitas IAM:
1. **Buat [peran IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** di akun tempat klaster Amazon Redshift atau instance Tanpa Server ada dengan kebijakan izin berikut. Untuk informasi selengkapnya, lihat [Pembuatan Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Contoh kebijakan berikut mencakup izin yang diperlukan untuk menyelesaikan tutorial ini. Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Kebijakan izin:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Kebijakan kepercayaan:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Buat set izin** di akun AWS Organizations manajemen tempat Pusat Identitas IAM diaktifkan. Anda akan menggunakannya di langkah berikutnya untuk memungkinkan pengguna federasi mengakses Redshift Query Editor V2.
1. **Buka konsol **Pusat Identitas IAM**, di bawah izin **Multi-Akun, pilih Set izin**.**
1. Pilih **Buat set izin**.
1. Pilih **Set izin khusus** dan kemudian pilih **Berikutnya**.
1. Di bawah **kebijakan AWS terkelola**, pilih **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Di bawah **kebijakan Inline**, tambahkan kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya** dan kemudian berikan nama untuk nama set izin. Misalnya, **Redshift-Query-Editor-V2**.
1. Di bawah **status Relay — opsional**, atur status relai default ke URL Query Editor V2, menggunakan format:`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Tinjau pengaturan dan pilih **Buat**.
1. Arahkan ke Dasbor Pusat Identitas IAM dan salin URL portal AWS akses dari bagian **Ringkasan Pengaturan**.
![\[Langkah i, Salin URL portal AWS akses dari konsol IAM Identity Center.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Buka Jendela Browser Penyamaran baru dan tempel URL.
Ini akan membawa Anda ke portal AWS akses Anda, memastikan Anda masuk dengan pengguna Pusat Identitas IAM.
![\[Langkah j, Masuk untuk AWS mengakses portal.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Untuk informasi selengkapnya tentang set izin, lihat[Kelola Akun AWS dengan set izin](permissionsetsconcept.md).
1. **Aktifkan akses pengguna federasi ke Redshift Query** Editor V2.
1. Di akun AWS Organizations manajemen, buka konsol **Pusat Identitas IAM**.
1. Di panel navigasi, di bawah **Izin multi-akun, pilih**. **Akun AWS**
1. Pada Akun AWS halaman, pilih Akun AWS yang ingin Anda tetapkan aksesnya.
1. Pilih **Tetapkan pengguna atau grup**.
1. Pada halaman **Tetapkan pengguna dan grup**, pilih pengguna dan atau grup yang ingin Anda buat set izin. Lalu, pilih **Selanjutnya**.
1. Pada halaman **Tetapkan set izin**, pilih set izin yang Anda buat di langkah sebelumnya. Lalu, pilih **Selanjutnya**.
1. **Pada halaman **Tinjau dan kirimkan tugas**, tinjau pilihan Anda dan pilih Kirim.**
## Tugas yang dilakukan oleh administrator Amazon Redshift
Mengaktifkan propagasi identitas tepercaya ke Amazon Redshift memerlukan administrator klaster Amazon Redshift atau administrator Amazon Redshift Tanpa Server untuk melakukan sejumlah tugas di konsol Amazon Redshift. *Untuk informasi selengkapnya, lihat [Mengintegrasikan Penyedia Identitas (IDP) dengan Amazon Redshift Query Editor V2 dan SQL Client menggunakan IAM Identity Center untuk Single Sign-On yang mulus](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) di Big Data Blog.AWS *
# Perbanyakan identitas tepercaya dengan Amazon EMR
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk Amazon EMR Studio menggunakan Amazon EMR di Amazon EC2 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants
![\[Diagram propagasi identitas tepercaya menggunakan Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplikasi yang menghadap klien yang didukung**
+ Amazon EMR Studio
**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk klaster EMR Amazon.
+ Siapkan [Amazon EMR Cluster di Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) dengan. Apache Spark
+ *Direkomendasikan*: [AWS Lake Formation](tip-tutorial-lf.md)dan [Amazon S3 Access Grants](tip-tutorial-s3.md) untuk menyediakan kontrol akses berbutir halus ke AWS Glue Data Catalog dan lokasi data yang mendasarinya di S3.
# Menyiapkan propagasi identitas tepercaya dengan Amazon EMR Studio
Prosedur berikut memandu Anda melalui pengaturan EMR Amazon Studio untuk propagasi identitas tepercaya dalam kueri terhadap kelompok kerja Amazon Athena atau kluster EMR Amazon yang berjalan. Apache Spark
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
Untuk menyelesaikan penyiapan propagasi identitas tepercaya dari Amazon EMR Studio, administrator EMR Studio harus melakukan langkah-langkah berikut.
## Langkah 1. Buat peran IAM yang diperlukan untuk EMR Studio
Pada langkah ini, Studio administrator Amazon EMR membuat dan peran layanan IAM dan peran pengguna IAM untuk EMR. Studio
1. **[Buat peran layanan EMR Studio - EMR Studio mengasumsikan peran](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM ini untuk mengelola ruang kerja dan notebook dengan aman, terhubung ke cluster, dan menangani interaksi data.
1. Arahkan ke konsol IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) dan buat peran IAM.
1. Pilih **Layanan AWS**sebagai entitas tepercaya dan kemudian pilih **Amazon EMR**. Lampirkan kebijakan berikut untuk menentukan izin peran dan hubungan kepercayaan.
Untuk menggunakan kebijakan ini, ganti kebijakan contoh *italicized placeholder text* dalam dengan informasi Anda sendiri. Untuk petunjuk tambahan, lihat [Membuat kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) atau [Mengedit kebijakan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Untuk referensi semua izin peran layanan, lihat Izin peran [layanan EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Buat peran pengguna EMR Studio untuk otentikasi IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - EMR Studio mengasumsikan peran ini ketika pengguna masuk melalui IAM Identity Center untuk mengelola ruang kerja, kluster EMR, pekerjaan, repositori git. **Peran ini digunakan untuk memulai alur kerja propagasi identitas tepercaya**.
**catatan**
Peran pengguna EMR Studio tidak perlu menyertakan izin untuk mengakses lokasi Amazon S3 dari tabel di Katalog. AWS Glue AWS Lake Formation izin dan lokasi danau terdaftar akan digunakan untuk menerima izin sementara.
Contoh kebijakan berikut dapat digunakan dalam peran yang memungkinkan pengguna EMR Studio menggunakan workgroup Athena untuk menjalankan kueri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Kebijakan kepercayaan berikut memungkinkan EMR Studio untuk mengambil peran:
**catatan**
Izin tambahan diperlukan untuk memanfaatkan EMR Studio Workspaces dan EMR Notebooks. Lihat [Membuat kebijakan izin untuk pengguna EMR Studio untuk](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) informasi selengkapnya.
**Anda dapat menemukan informasi lebih lanjut dengan tautan berikut:**
+ [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Izin peran layanan EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Langkah 2. Buat dan konfigurasikan EMR Studio Anda
Pada langkah ini, Anda akan membuat Amazon EMR Studio di konsol EMR Studio dan menggunakan peran IAM yang Anda buat. [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1)
1. Arahkan ke konsol EMR Studio, pilih **Buat Studio** dan opsi **Pengaturan Kustom**. Anda dapat membuat bucket S3 baru atau menggunakan bucket yang sudah ada. Anda dapat mencentang kotak untuk **Enkripsi file ruang kerja dengan kunci KMS Anda sendiri**. Untuk informasi selengkapnya, lihat [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Langkah 1 Buat EMR Studio di konsol EMR.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Di bawah **Peran layanan untuk memungkinkan Studio mengakses sumber daya Anda**, pilih peran layanan yang dibuat [Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1) dari menu.
1. Pilih **Pusat Identitas IAM** di bawah **Otentikasi**. Pilih peran pengguna yang dibuat di[Langkah 1. Buat peran IAM yang diperlukan untuk EMR StudioLangkah 2. Buat dan konfigurasikan EMR Studio Anda](#setting-up-tip-emr-step1).
![\[Langkah 3 Buat EMR Studio di konsol EMR, pilih IAM Identity Center untuk metode otentikasi.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Centang kotak **propagasi identitas tepercaya**. Pilih **Hanya pengguna dan grup yang ditetapkan** di bawah bagian Akses aplikasi, yang akan memungkinkan Anda untuk memberikan hanya pengguna dan grup yang berwenang untuk mengakses studio ini.
1. *(Opsional)* - Anda dapat mengkonfigurasi VPC dan subnet jika Anda menggunakan Studio ini dengan cluster EMR.
![\[Langkah 4 Buat EMR Studio di konsol EMR, memilih pengaturan jaringan dan keamanan.\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Tinjau semua detail dan pilih **Buat Studio**.
1. Setelah mengonfigurasi klaster WorkGroup Athena atau EMR, masuk ke URL Studio untuk:
1. Jalankan kueri Athena dengan Editor Kueri.
1. Jalankan pekerjaan Spark di ruang kerja menggunakan Jupyter notebook.
# Perbanyakan identitas tepercaya dengan Amazon Athena
Langkah-langkah untuk mengaktifkan propagasi identitas tepercaya bergantung pada apakah pengguna Anda berinteraksi dengan aplikasi AWS terkelola atau aplikasi yang dikelola pelanggan. Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk aplikasi yang menghadap klien - baik AWS dikelola maupun eksternal AWS - yang menggunakan Amazon Athena untuk menanyakan data Amazon S3 dengan kontrol akses yang disediakan oleh dan Amazon S3. AWS Lake Formation Access Grants
**catatan**
Perbanyakan identitas tepercaya dengan Amazon Athena membutuhkan penggunaan Trino.
Klien Apache Spark dan SQL yang terhubung ke Amazon Athena melalui driver ODBC dan JDBC tidak didukung.
![\[Diagram propagasi identitas tepercaya menggunakan Athena, Amazon EMR, Lake Formation, dan IAM Identity Center\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya dengan Athena:
+ Amazon EMR Studio
**Untuk mengaktifkan propagasi identitas tepercaya, ikuti langkah-langkah berikut:**
+ [Siapkan Amazon EMR Studio](setting-up-tip-emr.md) sebagai aplikasi yang menghadap klien untuk Athena. Editor Kueri di EMR Studio diperlukan untuk menjalankan Kueri Athena saat propagasi identitas tepercaya diaktifkan.
+ [Mengatur Athena Workgroup](setting-up-tip-ate.md).
+ [Siapkan AWS Lake Formation](tip-tutorial-lf.md) untuk mengaktifkan kontrol akses berbutir halus untuk AWS Glue tabel berdasarkan pengguna atau grup di Pusat Identitas IAM.
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di S3.
**catatan**
Baik Lake Formation dan Amazon S3 Access Grants diperlukan untuk kontrol akses ke AWS Glue Data Catalog dan untuk hasil kueri Athena di Amazon S3.
**Aplikasi yang dikelola pelanggan**
*Untuk mengaktifkan propagasi identitas tepercaya bagi pengguna *aplikasi yang dikembangkan khusus*, lihat [Akses Layanan AWS secara terprogram menggunakan propagasi identitas tepercaya](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) di Blog Keamanan.AWS *
# Menyiapkan propagasi identitas tepercaya dengan kelompok kerja Amazon Athena
Prosedur berikut memandu Anda melalui pengaturan kelompok kerja Amazon Athena untuk propagasi identitas tepercaya.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus mengatur yang berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). [Contoh organisasi](organization-instances-identity-center.md) direkomendasikan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
1. Konfigurasi ini memerlukan [Amazon EMR Studio](setting-up-tip-emr.md), [AWS Lake Formation](tip-tutorial-lf.md), dan [Amazon S3 Access Grants](tip-tutorial-s3.md).
## Menyiapkan propagasi identitas tepercaya dengan Athena
Untuk mengatur propagasi identitas tepercaya dengan Athena, administrator Athena harus:
1. Tinjau [Pertimbangan dan batasan dalam menggunakan IAM Identity Center mengaktifkan kelompok kerja Athena](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Buat grup kerja Athena yang diaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Perbanyakan identitas tepercaya dengan Amazon Studio SageMaker
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) terintegrasi dengan IAM Identity Center, dan mendukung [sesi latar belakang pengguna](user-background-sessions.md) dan propagasi identitas tepercaya. Sesi latar belakang pengguna memungkinkan pengguna untuk memulai pekerjaan yang berjalan lama di SageMaker Studio, tanpa pengguna tersebut harus tetap masuk saat pekerjaan berjalan. Pekerjaan berjalan segera dan di latar belakang, menggunakan izin pengguna yang memulai pekerjaan. Pekerjaan dapat terus berjalan bahkan jika pengguna mematikan komputer mereka, sesi masuk Pusat Identitas IAM mereka kedaluwarsa, atau pengguna keluar dari portal akses. AWS Durasi sesi default untuk sesi latar belakang pengguna adalah 7 hari, tetapi Anda dapat menentukan durasi maksimum 90 hari. Propagasi identitas tepercaya memungkinkan akses berbutir halus diberikan ke AWS sumber daya seperti bucket Amazon S3 berdasarkan identitas pengguna atau keanggotaan grup.
Diagram berikut menunjukkan konfigurasi propagasi identitas tepercaya untuk SageMaker Studio, dengan akses ke data yang disimpan dalam bucket Amazon S3. Sesi latar belakang pengguna diaktifkan untuk IAM Identity Center, yang memungkinkan pekerjaan pelatihan SageMaker Studio berjalan di latar belakang. Kontrol akses untuk data pelatihan disediakan oleh Amazon S3Access Grants.
![\[Diagram propagasi identitas tepercaya untuk SageMaker Studio, dengan pekerjaan pelatihan SageMaker Studio berjalan di sesi latar belakang pengguna, dan akses ke data pelatihan di Amazon S3 yang disediakan oleh Amazon S3. Access Grants\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplikasi terkelola**
Aplikasi yang dihadapi klien AWS terkelola berikut ini mendukung propagasi identitas tepercaya:
+ [ SageMaker Studio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Untuk mengaktifkan propagasi identitas tepercaya dan sesi latar belakang pengguna, ikuti langkah-langkah berikut:**
+ [Siapkan SageMaker Studio sebagai aplikasi yang menghadap klien.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Siapkan Amazon S3 Access Grants](tip-tutorial-s3.md) untuk mengaktifkan akses sementara ke lokasi data yang mendasarinya di Amazon S3.
# Menyiapkan propagasi identitas tepercaya dengan Studio SageMaker
Prosedur berikut memandu Anda melalui pengaturan SageMaker Studio untuk propagasi identitas tepercaya dan sesi latar belakang pengguna.
## Prasyarat
Sebelum Anda dapat memulai dengan tutorial ini, Anda harus menyelesaikan tugas-tugas berikut:
1. [Aktifkan Pusat Identitas IAM](enable-identity-center.md). Sebuah contoh organisasi diperlukan. Untuk informasi selengkapnya, lihat [Prasyarat dan pertimbangan](trustedidentitypropagation-overall-prerequisites.md).
1. [Menyediakan pengguna dan grup dari sumber identitas Anda ke Pusat Identitas IAM](tutorials.md).
1. [Konfirmasikan bahwa sesi latar belakang pengguna diaktifkan](user-background-sessions.md) di konsol Pusat Identitas IAM. Secara default, sesi latar belakang pengguna diaktifkan dan durasi sesi diatur ke 7 hari. Anda dapat mengubah durasi ini.
Untuk menyiapkan propagasi identitas tepercaya dari SageMaker Studio, administrator SageMaker Studio harus melakukan langkah-langkah berikut.
## Langkah 1: Aktifkan propagasi identitas tepercaya di domain SageMaker Studio baru atau yang sudah ada
SageMaker Studio menggunakan domain untuk mengatur profil pengguna, aplikasi, dan sumber daya terkait. Untuk mengaktifkan propagasi identitas tepercaya, Anda harus membuat domain SageMaker Studio atau memodifikasi domain yang ada seperti yang dijelaskan dalam prosedur berikut.
1. Buka konsol SageMaker AI, navigasikan ke **Domain**, dan lakukan salah satu hal berikut.
+ **Buat domain SageMaker Studio baru dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Pilih **Siapkan untuk organisasi**, lalu lakukan hal berikut:
+ Pilih **Pusat AWS Identitas** sebagai metode otentikasi.
+ Pilih kotak centang **Aktifkan propagasi identitas tepercaya untuk semua pengguna di domain ini**.
+ **Ubah domain SageMaker Studio yang ada.**
+ Pilih domain yang sudah ada yang menggunakan IAM Identity Center untuk autentikasi.
**penting**
Propagasi identitas tepercaya hanya didukung di domain SageMaker Studio yang menggunakan IAM Identity Center untuk autentikasi. Jika domain menggunakan IAM untuk otentikasi, Anda tidak dapat mengubah metode otentikasi, dan oleh karena itu Anda tidak dapat mengaktifkan propagasi identitas tepercaya.
+ [Edit pengaturan domain](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Edit pengaturan **Autentikasi dan izin** untuk mengaktifkan propagasi identitas tepercaya.
1. Lanjutkan ke [Langkah 2: Konfigurasikan peran eksekusi domain default](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Peran ini diperlukan bagi pengguna domain SageMaker Studio untuk mengakses AWS layanan lain seperti Amazon S3.
## Langkah 2: Konfigurasikan peran eksekusi domain default dan kebijakan kepercayaan peran
*Peran eksekusi domain adalah peran* [IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) yang diasumsikan oleh domain SageMaker Studio atas nama semua pengguna dalam domain. Izin yang Anda tetapkan untuk peran ini menentukan tindakan yang dapat dilakukan SageMaker Studio.
1. Untuk membuat atau memilih peran eksekusi domain, lakukan salah satu hal berikut:
+ **Buat atau pilih peran dengan menggunakan [Pengaturan untuk organisasi](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Buka konsol SageMaker AI dan ikuti panduan konsol di **Langkah 2: Konfigurasikan peran dan aktivitas ML** untuk membuat peran eksekusi domain baru atau memilih peran yang sudah ada.
+ Selesaikan langkah-langkah penyiapan lainnya untuk membuat domain SageMaker Studio Anda.
+ **Buat peran eksekusi secara manual.**
+ Buka konsol IAM dan [buat peran eksekusi sendiri](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Perbarui kebijakan kepercayaan](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) yang dilampirkan ke peran eksekusi domain sehingga mencakup dua tindakan berikut: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)dan [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Untuk informasi tentang cara menemukan peran eksekusi untuk domain SageMaker Studio Anda, lihat [Mendapatkan peran eksekusi domain](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
*Kebijakan kepercayaan* menentukan identitas yang dapat mengambil peran. Kebijakan ini diperlukan untuk mengizinkan layanan SageMaker Studio mengambil peran eksekusi domain. Tambahkan kedua tindakan ini sehingga muncul sebagai berikut dalam kebijakan Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Langkah 3: Verifikasi izin Amazon S3 Access Grant yang diperlukan untuk peran eksekusi domain
Untuk menggunakan Amazon S3 Access Grants, Anda harus memiliki kebijakan izin yang dilampirkan (baik sebagai kebijakan inline atau kebijakan terkelola pelanggan) ke peran eksekusi domain SageMaker Studio Anda yang berisi izin berikut.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
*Jika Anda tidak memiliki kebijakan yang berisi izin ini, ikuti petunjuk di [Menambahkan dan menghapus izin identitas IAM di Panduan](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Pengguna.AWS Identity and Access Management *
## Langkah 4: Tetapkan grup dan pengguna ke domain
Tetapkan grup dan pengguna ke domain SageMaker Studio dengan mengikuti langkah-langkah di [Tambahkan grup dan pengguna](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Langkah 5: Siapkan Hibah Akses Amazon S3
Untuk menyiapkan Hibah Akses Amazon S3, ikuti langkah-langkah dalam Mengonfigurasi Hibah Akses [Amazon S3 untuk propagasi identitas tepercaya melalui Pusat Identitas](tip-tutorial-s3.md#tip-tutorial-s3-configure) IAM. Gunakan step-by-step instruksi untuk menyelesaikan tugas-tugas berikut:
1. Buat instance Amazon S3 Access Grants.
1. Daftarkan lokasi dalam contoh itu.
1. Buat hibah untuk memungkinkan pengguna atau grup Pusat Identitas IAM tertentu mengakses lokasi atau subset Amazon S3 yang ditentukan (misalnya, awalan tertentu) di dalam lokasi tersebut.
## Langkah 6: Kirim pekerjaan SageMaker pelatihan dan lihat detail sesi latar belakang pengguna
Di SageMaker Studio, luncurkan notebook Jupyter baru dan kirimkan pekerjaan pelatihan. Saat pekerjaan sedang berjalan, selesaikan langkah-langkah berikut untuk melihat informasi sesi dan untuk memverifikasi bahwa konteks sesi latar belakang pengguna aktif.
1. Buka konsol Pusat Identitas IAM.
1. Pilih **Pengguna**.
1. Pada halaman **Pengguna**, pilih nama pengguna pengguna yang sesinya ingin Anda kelola. Ini membawa Anda ke halaman dengan informasi pengguna.
1. Pada halaman pengguna, pilih tab **Sesi aktif**. Angka dalam tanda kurung di samping **sesi Aktif menunjukkan jumlah sesi** aktif untuk pengguna ini.
1. Untuk mencari sesi berdasarkan Nama Sumber Daya Amazon (ARN) dari pekerjaan yang menggunakan sesi, dalam daftar **Jenis sesi**, pilih Sesi **latar belakang pengguna**, lalu masukkan ARN pekerjaan di kotak pencarian.
Berikut ini adalah contoh bagaimana pekerjaan pelatihan yang menggunakan sesi latar belakang pengguna muncul di tab **sesi ctive** untuk pengguna.
![\[alt text not found\]](http://docs.aws.amazon.com/id_id/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Langkah 7: Lihat CloudTrail log untuk memverifikasi propagasi identitas tepercaya di CloudTrail
Saat propagasi identitas tepercaya diaktifkan, tindakan muncul di log CloudTrail peristiwa di bawah `onBehalfOf` elemen. Ini `userId` mencerminkan ID pengguna Pusat Identitas IAM yang memulai pekerjaan pelatihan. CloudTrail Peristiwa berikut menangkap proses propagasi identitas tepercaya.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Pertimbangan runtime
Jika administrator menetapkan pelatihan yang berjalan **MaxRuntimeInSeconds**lama atau memproses pekerjaan yang lebih rendah dari durasi sesi latar belakang pengguna, SageMaker Studio menjalankan pekerjaan untuk minimum salah satu **MaxRuntimeInSeconds **atau durasi sesi latar belakang pengguna.
Untuk informasi selengkapnya **MaxRuntimeInSeconds**, lihat panduan untuk `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parameter di *Referensi Amazon SageMaker API*.